ESET Remote Administrator 6.5 Manuel du propriétaire

ESET Remote Administrator
Guide de l'utilisateur
Cliquez ici pour afficher la version de l'aide en ligne de ce document
Copyright © 2020 par ESET, spol. s r.o.
ESET Remote Administrator a été développé par ESET, spol. s r.o.
Pour plus d'informations, visitez www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système
d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique,
photocopie, enregistrement, numérisation ou autre sans l'autorisation écrite de l'auteur.
ESET, spol. s r.o. se réserve le droit de modifier les applications décrites sans préavis.
Service client : www.eset.com/support
RÉV. 10/08/2020
1 Préface
............................................................................................................................................................. 1
1.1 À propos de l'aide .................................................................................................................................... 1
1.1.1 Aide hors ligne .......................................................................................................................................... 2
1.2 Produits de sécurité ESET et navigateurs Web pris en charge ........................................................ 4
1.3 Légende des icônes ................................................................................................................................. 5
2 Prise en main de ESET Remote Administrator Web Console
2.1
2.2
2.3
2.4
2.5
2.6
............................................ 7
Présentation de ESET Remote Administrator ..................................................................................... 7
Ouverture d'ERA Web Console .............................................................................................................. 8
Utilisation de l'assistant de démarrage ............................................................................................... 9
ERA Web Console ................................................................................................................................... 11
Gestion des produits Endpoint dans ESET Remote Administrator ................................................ 14
Après une mise à niveau à partir d'une version précédente d'ERA .............................................. 15
3 Utilisation d'ERA Web Console
......................................................................................................... 16
3.1 Écran de connexion ............................................................................................................................... 17
3.1.1 Dépannage - Console Web ......................................................................................................................... 18
3.2 Tableau de bord ..................................................................................................................................... 19
3.2.1 Paramètres utilisateur .............................................................................................................................. 20
3.2.2 Paramètres de tableau de bord ................................................................................................................... 22
3.2.3 Descendre dans la hiérarchie ..................................................................................................................... 23
3.2.4 Modifier le modèle de rapport ..................................................................................................................... 24
3.3 Ordinateurs ............................................................................................................................................. 29
3.3.1 Détails de l'ordinateur .............................................................................................................................. 31
3.3.2 Importer un fichier CSV ............................................................................................................................. 33
3.4 Menaces .................................................................................................................................................. 33
3.5 Rapports .................................................................................................................................................. 35
3.5.1 Créer un modèle de rapport ....................................................................................................................... 38
3.5.2 Générer un rapport .................................................................................................................................. 41
3.5.3 Planifier un rapport .................................................................................................................................. 41
3.5.4 Applications obsolètes .............................................................................................................................. 42
3.5.5 Visionneuse des journaux SysInspector ......................................................................................................... 42
4 Configuration initiale de ESET Remote Administrator
4.1
4.2
4.3
4.4
4.5
........................................................ 44
Aperçu de l’état ..................................................................................................................................... 44
Nouveau compte d'utilisateur natif .................................................................................................... 45
Certificats ................................................................................................................................................ 47
Licences - ajouter une nouvelle licence ............................................................................................. 47
Déploiement ........................................................................................................................................... 52
4.5.1 Ajouter un ordinateur client à la structure ERA ................................................................................................ 53
4.5.1.1 Utilisation de la synchronisation d'Active Directory ........................................................................................ 53
4.5.1.2 Utilisation de RD Sensor ......................................................................................................................... 53
4.5.1.3 Ajouter des ordinateurs .......................................................................................................................... 55
4.5.2 Processus de déploiement de l'Agent ............................................................................................................ 57
4.5.2.1 Déploiement local ................................................................................................................................. 58
4.5.2.1.1 Création d'un programme d'installation tout en un de l'agent ......................................................................... 59
4.5.2.1.2 Créer le programme d’installation Agent Live ............................................................................................. 60
4.5.2.1.3 Télécharger l’agent depuis le site Web d’ESET ........................................................................................... 62
4.5.2.1.3 Déployer l'agent localement .................................................................................................................. 63
4.5.2.2 Déploiement à distance .......................................................................................................................... 66
4.5.2.2.1 Déploiement de l'Agent à l'aide de GPO et SCCM ........................................................................................ 66
4.5.2.2.1 Étapes de déploiement - GPO ................................................................................................................ 66
4.5.2.2.1 Étapes de déploiement - SCCM ............................................................................................................... 71
4.5.2.2.2 Outil de déploiement ........................................................................................................................... 88
4.5.2.3 Paramètres d'ERA Agent ......................................................................................................................... 88
4.5.2.3.1 Création d'une politique pour l'intervalle de connexion d'ERA Agent ................................................................ 90
4.5.2.3.2 Créer une politique pour qu'ERA Agent se connecte au nouveau serveur ERA Server ............................................ 93
4.5.2.3.3 Créer une politique pour activer la protection par mot de passe d'ERA Agent ..................................................... 97
.............................................................................................................................. 98
4.5.3 Dépannage - Connexion de l'Agent .............................................................................................................. 98
4.5.4 Dépannage - Déploiement de l'Agent ............................................................................................................ 99
4.5.5 Exemples de scénario de déploiement d'ERA Agent ........................................................................................ 102
4.5.5.1 Exemples de scénario de déploiement d'ERA Agent sur des cibles n'appartenant pas à un domaine ......................... 102
4.5.5.2 Exemples de scénario de déploiement d'ERA Agent sur des cibles appartenant à un domaine ................................. 103
4.5.6 Installation du produit ............................................................................................................................. 105
4.5.6.1 Installation du produit (ligne de commande) .............................................................................................. 107
4.5.6.2 Liste des problèmes en cas d'échec de l'installation ..................................................................................... 109
4.5.7 Mise en service d'un poste de travail .......................................................................................................... 109
4.6 Configuration supplémentaire ........................................................................................................... 109
4.5.2.4 Protection de l'agent
5 Mobile Device Management
............................................................................................................ 110
5.1 Inscription de périphérique ...............................................................................................................
5.1.1 Inscription par courrier électronique ...........................................................................................................
5.1.2 Inscription distincte via un lien ou un code QR ..............................................................................................
5.1.3 Inscription de périphérique Android ............................................................................................................
5.1.4 Inscription de périphérique iOS .................................................................................................................
5.1.4.1 Inscription d'appareils iOS avec le Programme d'inscription d'appareils .............................................................
5.2 Créer une politique pour MDM iOS - Compte Exchange ActiveSync ...........................................
5.3 Créer une politique pour MDC afin d'activer APNS/DEP pour l'inscription iOS .........................
5.4 Créer une politique pour appliquer des restrictions sur iOS et ajouter une connexion Wi-Fi
................................................................................................................................................................
5.4.1 Profil de configuration MDM .....................................................................................................................
6 Admin
111
114
116
117
125
129
133
137
140
144
........................................................................................................................................................... 144
6.1 Groupes ................................................................................................................................................. 145
6.1.1 Créer un groupe statique ......................................................................................................................... 147
6.1.2 Créer un groupe dynamique ..................................................................................................................... 148
6.1.3 Attribuer une tâche à un groupe ................................................................................................................ 150
6.1.4 Attribuer une politique à un groupe ............................................................................................................ 151
6.1.5 Groupes statiques ................................................................................................................................. 154
6.1.5.1 Assistant Groupe statique ..................................................................................................................... 155
6.1.5.2 Gérer les groupes statiques ................................................................................................................... 155
6.1.5.3 Déplacer un groupe statique .................................................................................................................. 157
6.1.5.4 Importer des clients à partir d'Active Directory ........................................................................................... 158
6.1.5.5 Exporter des groupes statiques .............................................................................................................. 158
6.1.5.6 Importer des groupes statiques .............................................................................................................. 159
6.1.6 Groupes dynamiques ............................................................................................................................. 160
6.1.6.1 Règles d'un modèle de groupe dynamique ................................................................................................ 163
6.1.6.1.1 Quand un ordinateur figure-t-il dans un groupe dynamique ? ....................................................................... 163
6.1.6.1.2 Description des opérations .................................................................................................................. 163
6.1.6.1.3 Règles et connecteurs logiques ............................................................................................................ 164
6.1.6.1.4 Évaluation des règles de modèle .......................................................................................................... 165
6.1.6.1.5 Comment automatiser ESET Remote Administrator ................................................................................... 166
6.1.6.2 Assistant Groupe dynamique ................................................................................................................. 167
6.1.6.3 Modèles de groupe dynamique ............................................................................................................... 168
6.1.6.3.1 Nouveau modèle de groupe dynamique .................................................................................................. 169
6.1.6.3.2 Créer un groupe dynamique ................................................................................................................ 169
6.1.6.3.3 Gérer les modèles de groupe dynamique ................................................................................................ 171
6.1.6.3.4 Déplacer un groupe dynamique ............................................................................................................ 172
6.1.6.3.5 Modèle de groupe dynamique : exemples ............................................................................................... 173
6.1.6.3.5 Groupe dynamique : un produit de sécurité est installé .............................................................................. 174
6.1.6.3.5 Groupe dynamique : une version de logiciel spécifique est installée ............................................................... 174
6.1.6.3.5 Groupe dynamique : une version spécifique d'un logiciel n'est pas du tout installée ........................................... 175
6.1.6.3.5 Groupe dynamique : une version spécifique d'un logiciel n'est pas installée mais une autre version existe ............... 175
6.1.6.3.5 Groupe dynamique : un ordinateur se trouve dans un sous-réseau spécifique ................................................... 175
6.1.6.3.5 Groupe dynamique : version d'un produit de sécurité serveur installée mais non activée ..................................... 176
6.2 Gestion des utilisateurs ...................................................................................................................... 176
6.2.1 Ajouter de nouveaux utilisateurs ............................................................................................................... 179
6.2.2 Modifier des utilisateurs .......................................................................................................................... 180
6.2.3 Créer un groupe d’utilisateurs .................................................................................................................. 183
6.3 Programmes d'installation ................................................................................................................. 183
6.4 Quarantaine .......................................................................................................................................... 186
6.5 Politiques .............................................................................................................................................. 187
6.5.1 Assistant Politiques ................................................................................................................................ 188
6.5.2 Indicateurs .......................................................................................................................................... 189
6.5.3 Gérer les politiques ................................................................................................................................ 190
6.5.4 Application des politiques aux clients ......................................................................................................... 191
6.5.4.1 Classement des groupes ....................................................................................................................... 191
6.5.4.2 Énumération des politiques ................................................................................................................... 192
6.5.4.3 Fusion des politiques ........................................................................................................................... 193
6.5.4.3.1 Exemple de fusion de politiques ........................................................................................................... 194
6.5.5 Configuration d'un produit à partir d'ERA ..................................................................................................... 197
6.5.6 Attribuer une politique à un groupe ............................................................................................................ 197
6.5.7 Attribuer une politique à un client .............................................................................................................. 200
6.5.8 Paramètres de politique d'ERA Proxy .......................................................................................................... 201
6.5.9 Paramètres de politique d'ESET Rogue Detection Sensor ................................................................................. 202
6.5.10 Utilisation du mode de remplacement ....................................................................................................... 203
6.6 Tâches client ........................................................................................................................................ 204
6.6.1 Exécutions des tâches client .................................................................................................................... 205
6.6.1.1 Indicateur de progression ...................................................................................................................... 208
6.6.1.2 Icône d'état ....................................................................................................................................... 209
6.6.1.3 Descendre dans la hiérarchie ................................................................................................................. 209
6.6.1.4 Déclencheur ...................................................................................................................................... 211
6.6.2 Arrêter l’ordinateur ................................................................................................................................ 212
6.6.3 Analyse à la demande ............................................................................................................................ 213
6.6.4 Mise à jour du système d’exploitation ......................................................................................................... 215
6.6.5 Gestion de la quarantaine ........................................................................................................................ 217
6.6.6 Réinitialiser la base de données de Rogue Detection Sensor ............................................................................. 218
6.6.7 Mettre à jour les composants d'ESET Remote Administrator .............................................................................. 219
6.6.8 Redéfinir l’agent cloné ............................................................................................................................ 221
6.6.9 Exécuter une commande ......................................................................................................................... 222
6.6.10 Exécuter un script SysInspector ............................................................................................................... 223
6.6.11 Analyse du serveur .............................................................................................................................. 224
6.6.12 Installer un logiciel ............................................................................................................................... 225
6.6.13 Désinstaller un logiciel .......................................................................................................................... 227
6.6.14 Activation du produit ............................................................................................................................ 229
6.6.15 Demande de journal SysInspector (Windows uniquement) .............................................................................. 230
6.6.16 Charger un fichier mis en quarantaine ....................................................................................................... 231
6.6.17 Mise à jour des modules ........................................................................................................................ 233
6.6.18 Restauration de la mise à jour des modules ................................................................................................ 234
6.6.19 Afficher le message .............................................................................................................................. 235
6.6.20 Actions Antivol .................................................................................................................................... 236
6.6.21 Arrêter l'administration (désinstaller l'agent ERA) ......................................................................................... 238
6.6.22 Exporter la configuration des produits administrés ....................................................................................... 239
6.6.23 Attribuer une tâche à un groupe .............................................................................................................. 241
6.6.24 Attribuer une tâche à un ou des ordinateurs ............................................................................................... 241
6.6.25 Déclencheurs ...................................................................................................................................... 243
6.7 Tâches serveur ..................................................................................................................................... 244
6.7.1 Types de tâches serveur ......................................................................................................................... 245
6.7.1.1 Synchronisation des groupes statiques ..................................................................................................... 246
6.7.1.1.1 Mode de synchronisation - Active Directory ............................................................................................. 246
6.7.1.1.2 Mode de synchronisation - Réseau MS Windows ........................................................................................ 247
6.7.1.1.3 Mode de synchronisation - VMware ....................................................................................................... 248
6.7.1.1.4 Synchronisation des groupes statiques - Ordinateurs Linux .......................................................................... 250
.................................................................................................................... 250
6.7.1.3 Déploiement d’agent ........................................................................................................................... 252
6.7.1.4 Générer un rapport .............................................................................................................................. 253
6.7.1.5 Renommer les ordinateurs .................................................................................................................... 255
6.7.1.6 Supprimer les ordinateurs non connectés .................................................................................................. 256
6.7.2 Déclencheurs ....................................................................................................................................... 257
6.7.2.1 Intervalle d'expression CRON ................................................................................................................. 259
6.7.3 Paramètres avancés de la limitation ........................................................................................................... 261
6.7.3.1 Exemples de limitation ......................................................................................................................... 264
6.8 Notifications ......................................................................................................................................... 265
6.8.1 Gérer les notifications ............................................................................................................................. 266
6.8.2 Comment configurer un service d'interruption SNMP ...................................................................................... 270
6.9 Certificats .............................................................................................................................................. 271
6.9.1 Certificats homologues ........................................................................................................................... 272
6.9.1.1 Créer un nouveau certificat ................................................................................................................... 273
6.9.1.2 Exporter un certificat homologue ............................................................................................................ 275
6.9.1.3 Certificat APN/DEP ............................................................................................................................... 275
6.9.1.4 Afficher les certificats révoqués .............................................................................................................. 277
6.9.1.5 Définir un nouveau certificat ERA Server ................................................................................................... 278
6.9.1.6 Certificats personnalisés et ESET Remote Administrator ................................................................................ 279
6.9.1.7 Certificat en cours d'expiration : signalement et remplacement ...................................................................... 292
6.9.2 Autorités de certification ......................................................................................................................... 293
6.9.2.1 Créer une nouvelle autorité de certification ............................................................................................... 294
6.9.2.2 Exporter une clé publique ..................................................................................................................... 295
6.9.2.3 Importer une clé publique ..................................................................................................................... 296
6.10 Droits d'accès ..................................................................................................................................... 296
6.10.1 Utilisateurs ........................................................................................................................................ 297
6.10.1.1 Créer un utilisateur natif ..................................................................................................................... 300
6.10.1.2 Mapper un groupe sur un groupe de sécurité de domaine ............................................................................ 301
6.10.1.3 Attribuer un jeu d'autorisations à un utilisateur ......................................................................................... 303
6.10.1.4 Authentification à 2 facteurs ................................................................................................................ 304
6.10.2 Jeux d’autorisations .............................................................................................................................. 304
6.10.2.1 Gérer les jeux d'autorisations ............................................................................................................... 306
6.10.2.2 Liste des autorisations ........................................................................................................................ 307
6.11 Paramètres du serveur ..................................................................................................................... 310
6.11.1 Serveur SMTP ..................................................................................................................................... 312
6.11.2 Coupler automatiquement les ordinateurs détectés ...................................................................................... 313
6.11.3 Serveur Syslog .................................................................................................................................... 313
6.11.4 Exporter les journaux vers Syslog ............................................................................................................ 314
6.11.4.1 Événements exportés au format JSON ..................................................................................................... 314
6.11.4.2 Événements exportés au format LEEF ..................................................................................................... 316
6.7.1.2 Synchronisation utilisateur
7 Gestion de licences
.............................................................................................................................. 316
7.1 Ajouter une licence - Clé de licence .................................................................................................. 320
8 FAQ ................................................................................................................................................................ 324
9 À propos d'ESET Remote Administrator ................................................................................... 326
11 Politique de confidentialité ............................................................................................................ 332
Préface
Bienvenue dans le guide d'administration ERA. Ce document explique comment gérer les solutions ESET pour les
professionnels au sein de votre infrastructure. Il présente également les principales modifications apportées dans
la dernière version d'ERA et fournit des scénarios aux administrateurs et aux utilisateurs qui utiliseront ERA Web
Console.
À propos de l'aide
Le but du Guide d'administration est de vous aider à vous familiariser avec ESET Remote Administrator. Il contient
en outre des instructions pour utiliser ce composant.
Pour des questions de cohérence et afin d'éviter toute confusion, la terminologie employée dans ce guide est
basée sur les noms des paramètres ESET Remote Administrator. Un ensemble uniforme de symboles est
également utilisé pour souligner des informations importantes.
REMARQUE
Les remarques peuvent fournir des informations précieuses (fonctionnalités spécifiques ou lien vers une rubrique
connexe, par exemple).
IMPORTANT
Ces informations requièrent votre attention et ne doivent pas être ignorées. Il s'agit généralement d'informations
importantes mais qui ne sont pas critiques.
AVERTISSEMENT
Informations critiques qui requièrent toute votre attention. Les avertissements ont pour but de vous empêcher de
commettre des erreurs préjudiciables. Veuillez lire attentivement le texte des avertissements car il fait référence à
des paramètres système très sensibles ou à des actions présentant des risques.
EXEMPLE
L'exemple a pour objectif de décrire un cas pratique en relation avec le thème abordé. Il sert notamment à
expliquer des thèmes plus complexes.
Convention
Gras
Italique
Signification
Noms des éléments de l'interface (boutons d'option ou boîtes de dialogue, par exemple).
Espaces réservés indiquant les informations que vous devez fournir. Par exemple, nom du fichier
ou chemin d'accès indique que vous devez saisir un chemin d'accès ou un nom de fichier.
Courier New Exemples de code ou commandes
Lien hypertexte Permet d'accéder facilement et rapidement à des références croisées ou à une adresse Internet
externe. Les liens hypertexte sont mis en surbrillance en bleu et peuvent être soulignés.
%ProgramFiles%Répertoire système de Windows qui contient les programmes Windows et les autres programmes
installés.
• L'aide en ligne est la principale source de contenu d'aide. La dernière version de l'aide en ligne s'affiche
automatiquement lorsque vous disposez d'une connexion Internet. Les pages de l'aide en ligne de ESET Remote
Administrator contiennent trois onglets actifs qui se trouvent dans la barre de navigation supérieure :
Installation/mise à niveau, Administration et Déploiement de l'appliance virtuelle.
1
• Les rubriques de ce guide sont divisées en plusieurs chapitres et sous-chapitres. Vous trouverez des
informations pertinentes en parcourant le Sommaire des pages d'aide. Vous pouvez également utiliser l'Index
pour naviguer à l'aide des mots-clés ou utiliser la Recherche en texte intégral.
ESET Remote Administrator permet de rechercher une rubrique dans les pages d'aide au moyen de mots-clés ou
en tapant des mots ou des expressions dans le guide de l'utilisateur. La différence entre ces deux méthodes est
qu'un mot-clé peut être associé à des pages d'aide qui ne contiennent pas le mot-clé précis dans le texte. La
recherche de mots et expressions examine le contenu de toutes les pages et affiche uniquement les pages
contenant effectivement le mot ou l'expression en question.
IMPORTANT
Lorsque vous ouvrez un guide de l'utilisateur à partir de la barre de navigation située dans la partie supérieure de
la page, les recherches sont limitées au contenu de ce guide. Par exemple, si vous ouvrez un guide de
l'administrateur, les rubriques des guides Installation/mise à niveau et Déploiement de l'appliance virtuelle ne sont
pas inclus dans les résultats de recherche.
• La base de connaissances ESET contient des réponses aux questions les plus fréquentes et les solutions
recommandées pour résoudre divers problèmes. Régulièrement mise à jour par les spécialistes techniques
d'ESET, la base de connaissances est l'outil le plus puissant pour résoudre différents types de problèmes.
• Le forum ESET permet aux utilisateurs ESET d'obtenir facilement de l'aide et d'aider les autres utilisateurs.
Vous pouvez publier tout problème ou toute question relative aux produits ESET.
• Vous pouvez publier votre évaluation et/ou faire part de vos commentaires sur une rubrique spécifique de
l'aide. Pour ce faire, cliquez sur le lien Was this information helpful? (Ces informations sont-elles
utiles ?) ou Rate this article: (Évaluer cet article :) Helpful (Utile) / Not Helpful (Pas utile) dans la base
de connaissances ESET, sous la page d'aide.
Aide hors ligne
L'aide hors ligne d'ESET Remote Administrator n'est pas installé par défaut. Si vous avez besoin d'une aide sur
ESET Remote Administrator que vous pouvez utiliser lorsque vous êtes en mode hors connexion (lorsque vous
n'avez pas accès à Internet), suivez la procédure ci-après pour ajouter l'aide hors ligne.
Pour télécharger l'aide hors ligne sur ESET Remote Administrator dans la langue de votre choix, cliquez sur le code
de langue correspondant. Vous pouvez installer l'aide hors ligne en plusieurs langues.
Instructions de configuration de l'aide hors ligne pour Windows
2
1. Pour télécharger l'aide hors ligne sur ESET Remote Administrator dans la langue de votre choix, téléchargez
un fichier .zip en cliquant sur un code de langue dans le tableau ci-dessous.
2. Enregistrez le fichier .zip (sur une clé USB, par exemple).
3. Sur le serveur exécutant ERA Web Console, créez un dossier appelé help à l'emplacement suivant :
%ProgramFiles%\Apache Software Foundation\Tomcat 7.0\webapps\era\webconsole\ et copiez le fichier .zip
dans le dossier help.
4. Extrayez le contenu du fichier .zip , (en-US.zip, par exemple) dans un dossier portant le même nom (en-US
dans le cas présent) pour que la structure des dossiers ressemble à celle-ci : %ProgramFiles%\Apache Software
Foundation\Tomcat 7.0\webapps\era\webconsole\help\en-US
Vous pouvez à présent ouvrir ERA Web Console, sélectionner la langue et vous connecter. Pour afficher la page
d'aide hors ligne, cliquez sur l'icône ? située dans le coin supérieur droit.
REMARQUE
Si nécessaire, vous pouvez ajouter l'aide hors ligne en plusieurs langues en suivant la même procédure que
celle décrite ci-dessus.
IMPORTANT
Si l'ordinateur ou le périphérique mobile sur lequel vous accédez à ERA Web Console ne dispose pas d'un
accès Internet, vous devez modifier le paramètre d'ERA Web Console pour forcer l'aide hors ligne d'ERA (à
la place de l'aide en ligne). Pour ce faire, suivez les instructions en dessous du tableau.
Instructions de configuration de l'aide hors ligne pour Linux
1. Pour télécharger l'aide hors ligne sur ESET Remote Administrator dans la langue de votre choix, téléchargez
un fichier .tar en cliquant sur un code de langue dans le tableau ci-dessous.
2. Enregistrez le fichier .tar (sur une clé USB, par exemple).
3. Ouvrez le terminal et accédez à /usr/share/tomcat/webapps/era/webconsole
4. Créez un dossier appelé help en exécutant la commande mkdir help.
5. Copiez le fichier .tar dans le dossier help et extrayez-le contenu à l'aide de la commande tar -xvf enUS.tar, par exemple.
Vous pouvez à présent ouvrir ERA Web Console, sélectionner la langue et vous connecter. Pour afficher la page
d'aide hors ligne, cliquez sur l'icône ? située dans le coin supérieur droit.
REMARQUE
Si nécessaire, vous pouvez ajouter l'aide hors ligne en plusieurs langues en suivant la même procédure que
celle décrite ci-dessus.
IMPORTANT
Si l'ordinateur ou le périphérique mobile sur lequel vous accédez à ERA Web Console ne dispose pas d'un
accès Internet, vous devez modifier le paramètre d'ERA Web Console pour forcer l'aide hors ligne d'ERA (à
la place de l'aide en ligne). Pour ce faire, suivez les instructions en dessous du tableau.
Langues prises en charge Aide HTML hors ligne Aide HTML hors ligne
.zip
.tar
Anglais
en-US.zip
en-US.tar
Arabe
ar-EG.zip
ar-EG.tar
Chinois simplifié
zh-CN.zip
zh-CN.tar
Chinois traditionnel
zh-TW.zip
zh-TW.tar
Croate
hr-HR.zip
hr-HR.tar
Tchèque
cs-CZ.zip
cs-CZ.tar
Français
fr-FR.zip
fr-FR.tar
Français (Canada)
fr-CA.zip
fr-CA.tar
Allemand
de-DE.zip
de-DE.tar
Grec
el-GR.zip
el-GR.tar
Italien
it-IT.zip
it-IT.tar
Japonais
ja-JP.zip
ja-JP.tar
Coréen
ko-KR.zip
ko-KR.tar
Polonais
pl-PL.zip
pl-PL.tar
Portugais (Brésil)
pt-BR.zip
pt-BR.tar
3
Russe
ru-RU.zip
ru-RU.tar
Espagnol
es-ES.zip
es-ES.tar
Espagnol (Amérique latine)
es-CL.zip
es-CL.tar
Slovaque
sk-SK.zip
sk-SK.tar
Turc
tr-TR.zip
tr-TR.tar
Forcer l'aide hors ligne sous Windows
1. Ouvrez C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps/era/WEB-
INF/classes/sk/eset/era/g2webconsole/server/modules/config/EraWebServerConfig.properties dans un éditeur de
texte.
2. Recherchez la ligne help_show_online=true, remplacez la valeur de ce paramètre par false, puis
enregistrez les modifications.
3. Redémarrez le service Tomcat à partir des services ou via une ligne de commande.
L'aide hors ligne d'ERA s'ouvre lorsque vous cliquez sur l'icône ? dans le coin supérieur droit d'ERA Web Console
ou que vous cliquez sur Aide dans la partie inférieure du volet gauche.
Forcer l'aide hors ligne sous Linux
1. Ouvrez le fichier de configuration /usr/share/tomcat/webapps/era/WEB-
INF/classes/sk/eset/era/g2webconsole/server/modules/config/EraWebServerConfig.properties dans un éditeur de texte (nano, par
exemple).
2. Recherchez la ligne help_show_online=true, remplacez la valeur de ce paramètre par false, puis enregistrez les
modifications.
3. Arrêtez le service tomcat (exécutez la commande tomcat stop).
4. Arrêtez le service tomcat (exécutez la commande tomcat start).
L'aide hors ligne d'ERA s'ouvre lorsque vous cliquez sur l'icône ? dans le coin supérieur droit d'ERA Web Console ou que vous
cliquez sur Aide dans la partie inférieure du volet gauche.
Produits de sécurité ESET et navigateurs Web pris en charge
Les systèmes d'exploitation, les navigateurs Web et les produits de sécurité ESET ci-dessous sont pris en charge
par ESET Remote Administrator.
• Windows, Linux et macOS
• ESET Remote Administrator Web Console peut être exécuté dans les navigateurs Web suivants :
Navigateur Web
Versions
Mozilla Firefox
20+
Microsoft Internet Explorer 10+
Microsoft Edge
25+
Google Chrome
23+
Safari
6+
Opera
15+
REMARQUE
Il est recommandé de conserver les navigateurs Web à jour.
• ESET Remote Administrator peut déployer, activer et gérer les produits ESET suivants :
Nouvelles versions des produits ESET pouvant être gérées dans ESET Remote Administrator 6 :
Produit
Version du produit
Méthode d'activation
ESET Endpoint Security pour Windows
5.x, 6.x, 7.x
6.x, 7.x - Clé de licence
5.x - Nom d'utilisateur/mot de passe
ESET Endpoint Antivirus pour Windows
5.x, 6.x, 7.x
6.x, 7.x - Clé de licence
5.x - Nom d'utilisateur/mot de passe
ESET Endpoint Security pour OS X
6.x
Clé de licence
ESET Endpoint Antivirus pour OS X
6.x
Clé de licence
ESET Endpoint Security pour Android
2.x
Clé de licence
4
Produit
Version du produit
Méthode d'activation
ESET File Security pour Windows Server
6.x, 7.x
Clé de licence
ESET Mail Security pour Microsoft Exchange Server 6.x, 7.x
Clé de licence
ESET Security for Microsoft SharePoint Server
6.x, 7.x
Clé de licence
ESET Mail Security pour IBM Domino Server
6.x, 7.x
Clé de licence
Anciennes versions des produits ESET pouvant être gérées dans ESET Remote Administrator 6 :
Produit
Version du
produit
Méthode d'activation
ESET File Security pour Microsoft Windows Server
4.5.x
Nom d'utilisateur/mot de passe
ESET NOD32 Antivirus 4 Business Edition pour Mac OS X
4.x
Nom d'utilisateur/mot de passe
ESET NOD32 Antivirus 4 Business Edition pour Linux Desktop
4.x
Nom d'utilisateur/mot de passe
ESET Mail Security pour Microsoft Exchange Server
4.5.x
Nom d'utilisateur/mot de passe
ESET Mail Security pour IBM Lotus Domino
4.5.x
Nom d'utilisateur/mot de passe
ESET Security pour Microsoft Windows Server Core
4.5.x
Nom d'utilisateur/mot de passe
ESET Security for Microsoft SharePoint Server
4.5.x
Nom d'utilisateur/mot de passe
ESET Security for Kerio
4.5.x
Nom d'utilisateur/mot de passe
ESET NOD32 Antivirus Business Edition
4.2.76
Nom d'utilisateur/mot de passe
ESET Smart Security Business Edition
4.2.76
Nom d'utilisateur/mot de passe
Légende des icônes
Cette section présente l'ensemble d'icônes utilisées dans ERA Web Console et les décrit. Certaines icônes
représentent des actions, des types d'élément ou l'état actuel. La plupart des icônes sont affichées dans une
couleur (parmi trois) pour indiquer l'accessibilité d'un élément :
Icône par défaut : action disponible
Icône bleue : élément mis en surbrillance lorsque vous pointez dessus
Icône grise : action non disponible
Icône
d'état
Description
Afficher les détails : informations détaillées sur le périphérique client.
Afficher les alertes : informations détaillées sur les alertes sur le périphérique client cible.
Ajouter : permet d'ajouter de nouveaux périphériques.
Nouvelle tâche : permet d'ajouter une nouvelle tâche.
Nouvelle notification : permet d'ajouter une nouvelle notification.
Nouveaux groupes dynamiques/statiques... : permet d'ajouter de nouveaux groupes.
Modifier : vous pouvez modifier les tâches, les notifications, les modèles de rapport, les groupes, les
politiques et d'autres éléments que vous avez créés.
Dupliquer : permet de créer une nouvelle politique sur la base de la politique existante sélectionnée.
Un nouveau nom est requis pour la politique en double.
Déplacer : permet de déplacer des ordinateurs, des politiques et des groupes statiques ou
dynamiques.
Groupe d'accès : permet de déplacer un élément vers un groupe statique différent.
Supprimer : supprime entièrement le client ou groupe sélectionné.
Renommer plusieurs éléments : si vous sélectionnez plusieurs éléments, vous pouvez les
renommer un par un dans une liste ou utiliser une recherche Regex pour remplacer
plusieurs éléments à la fois.
Ajouter : permet d'ajouter de nouveaux périphériques.
Analyser : cette option permet d'exécuter la tâche Analyse à la demande sur le client qui a signalé la
menace.
5
Icône
d'état
Description
Mettre à jour les modules : cette option permet d'exécuter la tâche Mise à jour des modules
(déclenche manuellement une mise à jour).
Exécuter la tâche : cette option est destinée aux périphériques mobiles.
Réinscrire : permet d'ouvrir la fenêtre Ajouter un périphérique mobile via courrier électronique.
Déverrouiller : le périphérique est déverrouillé.
Verrouiller : le périphérique est verrouillé lorsqu'une activité suspecte est détectée ou que le
périphérique est signalé comme manquant.
Rechercher : utilisez cette option si vous souhaitez obtenir les coordonnées GPS de votre
périphérique mobile.
Sirène :déclenche à distance une sirène sonore. Celle-ci est déclenchée même si le périphérique est
défini sur muet.
Effacer : toutes les données stockées sur votre périphérique sont effacées de manière définitive.
Redémarrer : si vous sélectionnez un ordinateur et si vous cliquez sur Redémarrer, celui-ci est
redémarré.
Restaurer : permet de restaurer le fichier mis en quarantaine à son emplacement d'origine.
Arrêter : si vous sélectionnez un ordinateur et si vous cliquez sur Arrêter, celui-ci est arrêté.
Exécuter la tâche... : sélectionnez une tâche et configurez la limitation (facultatif) de cette dernière.
La tâche est alors mise en file d'attente selon les paramètres de celle-ci. Cette option déclenche
immédiatement une tâche existante sélectionnée dans une liste de tâches disponibles.
Dernières tâches utilisées : permet d'afficher les dernières tâches utilisées. Vous pouvez
cliquer sur une tâche pour la réexécuter.
Attribuer un utilisateur... : permet d'attribuer un utilisateur à un périphérique. Vous
pouvez gérer les utilisateurs dans Gestion des utilisateurs.
Gérer les politiques : une politique peut être également attribuée directement à un client (ou
plusieurs clients), et pas seulement à un groupe. Sélectionnez cette option pour attribuer la politique
aux clients sélectionnés.
Envoyer un appel de mise en éveil : ERA Server exécute une réplication instantanée d'ERA Agent
sur un ordinateur client. Les ports UDPv4 et UDPv6 sont utilisés avec les numéros de port par défaut
1237 et 1238. Cela s'avère utile lorsque vous ne souhaitez pas attendre l'intervalle régulier de
connexion d'ERA Agent à ERA Server, quand vous souhaitez exécuter immédiatement une tâche de
client sur les clients ou appliquer tout de suite une politique, par exemple.
Déployer l'Agent : à l'aide de cette option, vous pouvez créer une tâche serveur.
Désactiver le produit : permet de supprimer la licence de tous les périphériques
sélectionnés via le serveur de licences ESET.
Connexion : permet de générer et de télécharger un fichier .rdp qui vous permettra de vous
connecter au périphérique cible via RDP (Remote Desktop Protocol).
Désactiver : si vous sélectionnez un ordinateur et cliquez sur Désactiver, l’Agent de ce client arrête
d’envoyer des rapports à ERA. Il agrège uniquement les informations. Une icône de désactivation
s’affiche en regard du nom de l’ordinateur dans la colonne Désactivé.
Une fois que l'option de désactivation est désactivée en cliquant sur Activer > Désactiver,
l'ordinateur désactivé renvoie des rapports et la communication entre ERA et le client est restaurée.
Désactiver : permet de désactiver un paramètre ou une sélection.
Attribuer : permet d'attribuer une politique à un client ou à des groupes.
Importer : sélectionnez les rapports, les politiques ou la clé publique à importer.
Exporter : sélectionnez les rapports, les politiques ou le certificat homologue à exporter.
Bureau
Machine virtuelle (sans agent)
Mobile
Server (Serveur)
Serveur de fichiers
Serveur de messagerie
Serveur de passerelle
Serveur de collaboration
Agent
Connecteur de périphérique mobile
Rogue Detection Sensor
Hôte de l’agent virtuel
6
Icône
d'état
Description
Proxy
ERA Server
Cache local partagé
Appliance de sécurité virtuelle
Enterprise Inspector Agent
Enterprise Inspector Server
Prise en main d'ESET Remote Administrator Web
Console
ESET Remote Administrator peut être configuré et géré par le biais d'ERA Web Console. Une fois que vous avez
installé ESET Remote Administrator ou déployé l'appliance virtuelle ERA, vous pouvez vous connecter à ERA Server
à l'aide d'ERA Web Console.
Les sections suivantes décrivent les fonctionnalités d'ERA Web Console et expliquent comment utiliser la console.
Vous pouvez créer des programmes d'installation et déployer ERA Agent et le produit de sécurité ESET sur les
ordinateurs clients. Après le déploiement d'ERA Agent, vous pourrez gérer des groupes, créer et affecter des
politiques et configurer des notifications et des rapports. Pour plus d'informations, sélectionnez une des rubriques
suivantes :
• Ouverture d'ERA Web Console
• Utilisation de l'assistant de démarrage
• ERA Web Console
• Aperçu de l’état
Présentation de ESET Remote Administrator
ESET Remote Administrator (ERA) version 6 vous permet de gérer les produits ESET de manière centralisée sur les
postes de travail, les serveurs et les périphériques mobiles dans un environnement réseau. À l'aide d'ESET Remote
Administrator Web Console (ERA Web Console), vous pouvez déployer des solutions ESET, gérer des tâches,
appliquer des politiques de sécurité, surveiller l'état du système et résoudre rapidement les problèmes ou
menaces sur les ordinateurs distants. ERA est constitué des composants suivants :
• ESET Remote Administrator Server : ERA Server peut être installé sur des serveurs Windows et Linux. Il est
également proposé sous la forme d'une appliance virtuelle. Il gère les communications avec les Agents, collecte
les données d'application et les stocke dans la base de données.
• ERA Web Console : ERA Web Console remplace ESET Remote Administrator Console (ERAC) des anciennes
versions et constitue l'interface principale qui permet d'administrer les ordinateurs clients de votre
environnement. La console affiche une vue d'ensemble de l'état des clients sur le réseau et permet de déployer
à distance les solutions ESET sur des ordinateurs non administrés. Une fois ESET Remote Administrator Server
(ERA Server) installé, vous pouvez accéder à la console Web à l'aide de votre navigateur Web. Si vous décidez
de rendre le serveur Web disponible via Internet, vous pouvez utiliser ERA à partir de presque n'importe quel
emplacement et/ou périphérique disposant d'une connexion Internet.
• ERA Agent : ESET Remote Administrator Agent facilite la communication entre ERA Server et les ordinateurs
clients. Vous devez installer l'Agent sur les ordinateurs clients pour établir une communication entre ces derniers
et ERA Server. Dans la mesure où ERA Agent est situé sur l'ordinateur client et peut stocker plusieurs scénarios
de sécurité, son utilisation réduit considérablement le délai de réaction face aux nouvelles menaces. À l'aide
d'ERA Web Console, vous pouvez déployer ERA Agent sur des ordinateurs non administrés qui ont été reconnus
par le biais d'Active Directory ou ESET Rogue Detection Sensor. Vous pouvez également installer manuellement
ERA Agent sur les ordinateurs clients, si nécessaire.
• ERA Proxy : bien qu'ERA Proxy ne soit pas nécessaire pour le déploiement de votre solution ESET, ce
composant assure une évolutivité. Vous pouvez déployer le serveur proxy dans des réseaux de grande taille
7
pour optimiser les requêtes de base de données, améliorer les performances globales du réseau et répartir la
charge sur ERA Server. ERA Proxy est également chargé de la distribution des données de configuration aux
Agents clients. Vous devez installer ERA Agent sur le même ordinateur que le serveur ERA Proxy afin de faciliter
la communication entre ERA Server et le proxy.
• Rogue Detection Sensor : ERA Rogue Detection Sensor détecte les ordinateurs non administrés présents sur le
réseau et envoie leurs informations à ERA Server. Vous pouvez ainsi ajouter facilement de nouveaux ordinateurs
clients à votre réseau sécurisé. RD Sensor mémorise les ordinateurs qui ont été détectés et n'envoie pas deux
fois les mêmes informations.
• Proxy HTTP Apache : service qui peut être utilisé conjointement avec ESET Remote Administrator 6 (et version
ultérieure) pour distribuer des mises à jour aux ordinateurs clients et des packages d'installation à ESET Remote
Administrator Agent.
• Connecteur de périphérique mobile : composant qui permet de gérer les périphériques mobiles avec ESET
Remote Administrator, ce qui vous permet de gérer les périphériques mobiles (Android et iOS) et de gérer ESET
Endpoint Security pour Android.
• Déploiement de l'appliance virtuelle ERA : l'appliance virtuelle ERA (ERA VA) est proposée aux utilisateurs qui
souhaitent exécuter ESET Remote Administrator (ERA) dans un environnement virtualisé.
• Hôte de l’agent virtuel ESET Remote Administrator : composant d'ESET Remote Administrator qui virtualise les
entités de l'agent pour permettre la gestion des machines virtuelles sans agent. Cette solution active la fonction
VMotion des machines virtuelles et par conséquent l'automatisation, l'utilisation des groupes dynamiques et le
même niveau de gestion des tâches qu'ERA Agent sur les ordinateurs physiques. L'Agent virtuel collecte les
informations des machines virtuelles et les envoie à ERA Server.
• Outil Miroir : l'outil Miroir est nécessaire pour les mises à jour des modules hors ligne. Si vos ordinateurs clients
ne disposent pas d'une connexion Internet et nécessitent des mises à jour de modules, vous pouvez utiliser
l'outil Miroir pour télécharger les fichiers de mise à jour depuis les serveurs de mise à jour ESET et les stocker
localement.
• Outil de migration : pour effectuer une mise à niveau ou une migration depuis les anciennes versions d'ESET
Remote Administrator 5 vers ESET Remote Administrator 6, vous pouvez utiliser l'outil de migration d'ESET pour
faciliter la mise à niveau. L'outil de migration est une application autonome qui utilise un assistant qui simplifie
la migration des données d'ERA 4.x/5.x dans une base de données intermédiaire et leur importation dans
ERA 6.x.
• Outil de déploiement autonome : cet outil sert à déployer les packages tout-en-un qui ont été créés dans ERA
Web Console. Il permet de distribuer de manière efficace ERA Agent avec un produit ESET sur les ordinateurs via
un réseau.
• ESET License Administrator : ESET License Administrator, nouveau portail de licences pour les produits ESET,
vous permet de gérer les licences en tant que propriétaire de licence (privilèges de renouvellement/d'achat) ou
Administrateur Sécurité (privilège d'administration du produit) et d'observer les événements liés aux licences
(expiration, utilisation et autorisation, par exemple). Reportez-vous à la section ESET License Administrator de ce
document pour des instructions sur l'activation de votre produit ou consultez le Guide de l'utilisateur ESET
License Administrator pour en savoir plus sur l'utilisation d'ESET License Administrator. Si vous possédez déjà un
nom d’utilisateur et un mot de passe fournis par ESET et que vous voulez les convertir en clé de licence,
consultez la section Convertir les informations d’identification de licence héritée.
Ouverture d'ERA Web Console
ESET Remote Administrator Web Console est l’interface principale pour communiquer avec ERA Server. Vous
pouvez comparer la console à un panneau de commandes centralisé à partir duquel vous pouvez gérer toutes les
solutions de sécurité ESET. Il s’agit d’une interface Web qui est accessible à partir d’un navigateur depuis
n’importe quel emplacement et tout périphérique ayant accès à Internet.
Il existe plusieurs méthodes pour ouvrir ERA Web Console :
• Sur le serveur local (l'ordinateur hébergeant la console Web), saisissez cette URL dans le navigateur Web :
8
https://localhost/era/
• À partir de n'importe quel emplacement ayant un accès Internet au serveur Web, saisissez l'URL dans le
format suivant :
https://yourservername/era/
Remplacez « nomvotreserveur » par le nom ou l'adresse IP du serveur Web.
▪Pour vous connecter à l'appliance virtuelle ERA, utilisez l'URL suivante :
https://[IP address]/
Remplacez "[IP address]" par l'adresse IP de votre machine virtuelle ERA. Si vous ne vous souvenez pas de
l'adresse IP, reportez-vous à l'étape 9 des instructions pour le déploiement de l'appliance virtuelle.
▪Sur le serveur local (la machine hébergeant la console Web), cliquez sur Démarrer > Tous les
programmes > ESET > ESET Remote Administrator > ESET Remote Administrator Web Console. Un
écran de connexion s'affiche dans votre navigateur Web par défaut. Cela ne s'applique pas à l'appliance virtuelle
ERA.
Lorsque le serveur Web (qui exécute ERA Web Console) est fonctionnel, l'écran suivant s'affiche.
REMARQUE
Si vous rencontrez des problèmes lors de la connexion et que des messages d'erreur s'affichent, consultez la
section Dépannage de la console Web.
Utilisation de l'assistant de démarrage
Lorsque vous vous connectez à la console Web pour la première fois, l'assistant de démarrage d'ESET Remote
Administrator s'affiche. Cet assistant donne des informations de base sur les sections importantes d'ERA Web
Console, ERA Agent et des produits de sécurité ESET. Vous obtiendrez des informations sur les sections
Ordinateurs, Groupes, Tâches client, ERA Agent et ESET Endpoint Security 6 ou ESET Endpoint Antivirus 6.
La dernière étape de l'assistant qui est appelée Déploiement permet de créer un package d'installation tout en un
(contenant ERA Agent et le produit de sécurité ESET).
9
IMPORTANT
Le package d'installation est un fichier .exe valide pour Windows
uniquement.
Si vous ne souhaitez pas utiliser l'assistant, cliquez sur Fermer l’assistant de démarrage. ERA Web Console
s'ouvre. L'assistant ne s'affichera pas à la prochaine connexion à ERA Web Console. Pour le réafficher, cliquez sur ?
(Aide) > Assistant de démarrage.
L'utilisation de l'assistant n'est pas obligatoire. Vous pouvez créer un programme d'installation tout-en-un de
l'agent en cliquant sur Déployer ERA Agent... dans la section Liens rapides.
IMPORTANT
Si vous souhaitez créer un package d'installation, l'autorisation Déploiement de l'agent doit être attribuée à
votre compte d'utilisateur. Si un compte d'utilisateur ne dispose pas de cette autorisation, l'assistant de
démarrage s'affiche sans l'étape de déploiement et l'utilisateur n'a pas la possibilité de créer un package
d'installation.
Pour créer un package d'installation, procédez comme suit :
1. Langue : sélectionnez la langue du programme d'installation dans la liste déroulante des langues prises en
charge.
2. Produit : sélectionnez un fichier d'installation du produit de sécurité ESET dans la liste. Si vous sélectionnez
la version 6.3 ou une version antérieure, l'activation automatique du produit ne fonctionne pas. Vous devrez
activer le produit ultérieurement. La version 6.4 ou ultérieure du produit de sécurité ESET est activée
automatiquement pendant l'installation.
REMARQUE
Si aucun fichier d'installation du produit n'est visible, vérifiez que le référentiel est défini sur SÉLECTION
AUTOMATIQUE. dans la section Paramètres avancée de Paramètres du serveur.
3. Choisir une licence (facultatif) : vous pouvez ajouter une licence à l'aide de l'une des méthodes décrites
dans la section Licences. Si des licences figurent déjà dans Gestion de licences, sélectionnez la licence qui sera
utilisée pour activer le produit de sécurité ESET pendant l'installation. Si vous ne choisissez pas de licence, vous
pouvez créer un programme d'installation sans et activer le produit ultérieurement. L'ajout et la suppression
d'une licence ne peuvent être effectués que par un administrateur dont le groupe résidentiel est défini sur
Tous et qui possède l'autorisation Écrire sur les licences contenues dans ce groupe.
4. Si vous cochez la case Avancé, vous pouvez choisir un certificat d'agent et saisir la phrase secrète du
certificat, si nécessaire (si vous avez spécifié une phrase secrète pendant l'installation d'ERA ou si vous
utilisez un certificat personnalisé avec une phrase secrète, par exemple). Sinon, laissez le champ Phrase
secrète du certificat vide.
10
5. Cliquez sur Créer le programme d'installation. Les fichiers du package d'installation tout-en-un sont alors
générés pour les systèmes d'exploitation 32 et 64 bits. Cliquez sur la version de votre choix pour commencer à
la télécharger. Une fois le téléchargement terminé, vous serez invité à spécifier l'emplacement où stocker le
fichier (ERA_Installer_x32_en_US.exe ou ERA_Installer_x64_en_US.exe, par exemple). Cliquez sur Enregistrer
le fichier.
6. Exécutez le fichier du package d'installation tout-en-un sur un ordinateur client. Pour obtenir des
instructions détaillées, consultez Assistant de configuration tout-en-un de l'agent.
ERA Web Console
La console Web ESET Remote Administrator est l’interface principale pour communiquer avec ERA Server. Vous
pouvez la comparer à un panneau de commandes centralisé dans lequel vous pouvez gérer toutes les solutions de
sécurité ESET. Il s’agit d’une interface Web qui est accessible à partir d’un navigateur (voir Navigateurs Web pris
en charge) depuis n’importe quel emplacement et tout périphérique ayant accès à Internet.
Dans la présentation classique de la console Web ERA :
• L'utilisateur actuel est toujours affiché dans le coin supérieur droit, où le délai d'expiration de la session fait
l'objet d'un compte à rebours. Vous pouvez cliquer sur Déconnexion à tout moment pour vous déconnecter. Si
une session expire en raison de l’inactivité de l’utilisateur, celui-ci doit se reconnecter.
• Pour modifier les paramètres utilisateur, cliquez sur votre nom d'utilisateur situé dans le coin supérieur droit
d'ERA Web Console.
• Vous pouvez cliquer sur ? dans la partie supérieure de n'importe quel écran pour afficher le menu d'aide. Le
premier lien de ce menu pointe toujours vers l'aide en ligne de l'écran actuel.
• Le menu est accessible à tout moment à gauche, sauf lors de l'utilisation d'un assistant. Cliquez sur pour
développer le menu à gauche de l'écran. Vous pouvez le réduire en cliquant sur
• Le fichier signale toujours un menu contextuel.
• Cliquez sur
11
Rafraîchir pour recharger/actualiser les informations affichées.
Réduire le menu.
L'aperçu de l'état vous indique comment tirer pleinement parti d’ESET Remote Administrator. Il vous guide tout
au long des étapes recommandées.
Les écrans contenant une arborescence possède des contrôles spécifiques. L'arborescence est affichée à gauche
et les actions apparaissent en dessous. Cliquez sur un élément de l'arborescence pour afficher des options pour
celui-ci.
12
Les tables vous permettent de gérer les unités d'une ligne ou dans un groupe (lorsque plusieurs lignes sont
sélectionnées). Cliquez sur une ligne pour afficher les options des unités de celle-ci. Les données des tables
peuvent être filtrées et triées.
Dans ERA, les objets peuvent être modifiés à l'aide d'assistants. Tous les assistants partagent les comportements
suivants :
• Les étapes s'affichent verticalement, de haut en bas.
13
• Vous pouvez revenir à une étape à tout moment.
• Les données d'entrée non valides sont signalées lorsque vous placez le curseur dans un nouveau champ.
L'étape de l'assistant contenant des données d'entrée non valides est indiquée également.
• Vous pouvez vérifier à tout moment les données non valides en cliquant sur Paramètres obligatoires.
• Le bouton Terminer n'est pas disponible tant que toutes les données d'entrée ne sont pas correctes.
Gestion des produits Endpoint dans ESET Remote Administrator
L'administrateur peut effectuer diverses tâches dans ERA Console pour installer des produits et contrôler les
ordinateurs clients. Cliquez sur les liens ci-après pour en savoir plus.
Installation d'ERA Agent et des produits de sécurité Endpoint
ESET Remote Administrator requiert qu'ERA Agent soit installé sur chaque ordinateur client administré. ERA Agent
peut être installé avec votre produit de sécurité Endpoint à l'aide de l'outil de déploiement ou du programme
d'installation tout-en-un. Avant de procéder à l'installation, il est recommandé d'importer votre licence dans ESET
Remote Administrator pour qu'elle puisse être utilisée pour les installations. Il existe deux méthodes pour installer
le produit Endpoint :
• Utilisez l'outil de déploiement ou le programme d'installation tout-en-un pour installer simultanément le
produit Endpoint et ERA Agent.
• Installez le produit ESET Endpoint sur les clients sur lesquels vous avez déjà installé ERA Agent à l'aide
d'une tâche client.
Gestion du produit de sécurité Endpoint dans ESET Remote
Administrator
Tous les produits de sécurité Endpoint peuvent être gérés dans ERA Web Console. Des politiques sont utilisées
pour appliquer des paramètres à des ordinateurs ou des groupes. Vous pouvez par exemple créer une politique
pour bloquer l'accès à certains emplacements web ou modifier tous les autres paramètres à partir du produit. Les
politiques peuvent être fusionnées, comme le montre cet exemple. Les politiques qui ont été définies à l'aide d'ERA
14
ne peuvent pas être remplacées sur un ordinateur client par un utilisateur. L'administrateur peut toutefois utiliser
la fonctionnalité de remplacement pour autoriser un utilisateur à apporter des modifications temporaires à un
client. Lorsque vous avez terminé d'apporter des modifications, vous pouvez demander la configuration finale du
client et l'enregistrer en tant que nouvelle politique.
Des tâches client peuvent être également utilisées pour administrer les clients. Elles sont déployées à partir de la
console Web et exécutées sur le client par ERA Agent. Les tâches les plus courantes pour les terminaux Windows
sont les suivantes :
• Mise à jour des modules (met également à jour la base des virus)
• Exécution d'une analyse à la demande
• Exécution d'une commande personnalisée
• Demande de la configuration de l'ordinateur et du produit
Obtention d'informations des clients et signalement de l'état de
l'ordinateur à ESET Remote Administrator
Chaque ordinateur client est connecté à ESET Remote Administrator via ERA Agent. L'Agent communique toutes
les informations demandées sur l'ordinateur client et ses logiciels à ERA Server. La connexion entre l'agent et le
serveur est définie par défaut sur 1 minute, mais ce paramètre peut être changé dans votre politique ERA Agent.
Tous les journaux des produits Endpoint ou d'autres produits de sécurité ESET sont envoyés à ERA Server.
Des informations sur les produits ESET installés et le système d'exploitation et l'état d'un client figurent dans
Admin > Ordinateurs. Sélectionnez un client et cliquez sur Afficher les détails. Dans la section
Configuration de cette fenêtre, un utilisateur peut rechercher d'anciennes configurations ou demander la
configuration actuelle. Dans la section SysInspector, un utilisateur peut demander des journaux (pour les
ordinateurs Windows uniquement).
La console Web permet également d'accéder à la liste de toutes les menaces (accédez à Menaces) à partir des
périphériques client. Les menaces d'un périphérique peuvent être affichées dans Admin > Ordinateurs.
Sélectionnez un client et cliquez sur Afficher les détails > Menaces et quarantaine.
Vous pouvez générer des rapports personnalisés à la demande ou à l'aide d'une tâche planifiée pour afficher les
données sur les clients du réseau. Des modèles de rapport prédéfinis permettent de rassembler rapidement des
données importantes. Vous pouvez également créer vos propres modèles. Les exemples de rapport comprennent
des informations agrégées sur les ordinateurs, les menaces, la mise en quarantaine et les mises à jour nécessaires.
IMPORTANT
Un utilisateur ne peut utiliser que des modèles de rapport pour lesquels ils disposent d'autorisations suffisantes.
Par défaut, tous les modèles sont stockés dans le groupe Tous. Un rapport ne peut contenir que des informations
sur des ordinateurs et des événements qui entrent dans le cadre des autorisations de l'utilisateur. Même si un
modèle de rapport est partagé entre plusieurs utilisateurs, le rapport d'un utilisateur ne contient que des
informations sur les périphériques pour lesquels ils disposent d'autorisations. Pour plus d'informations sur les
droits d'accès, reportez-vous à la liste des autorisations.
Après une mise à niveau à partir d'une version précédente d'ERA
Dans ESET Remote Administrator 6.5, les mises à jour apportées à la sécurité rendent nécessaires l'examen des
paramètres desutilisateurs, des autorisations et des paramètres du serveur après une mise à niveau à partir d'une
version antérieure d'ERA.
Utilisateurs et jeux d'autorisations
L'administrateur doit passer en revue tous les utilisateurs et les jeux d'autorisations. Le nouveau modèle de
sécurité repose fortement sur les groupes statiques. Il est donc recommandé de planifier la structure des groupes
et de créer ensuite les jeux d'autorisations. L'administrateur peut également créer des utilisateurs natifs.
15
IMPORTANT
N'oubliez pas d'attribuer à chaque utilisateur un groupe résidentiel et un jeu d'autorisations accordant des
autorisations sur ce groupe. Tous les objets créés par un utilisateur sont toujours automatiquement contenus dans
le groupe résidentiel de celui-ci.
Après une mise à niveau, les utilisateurs sont divisés en deux catégories :
• Les utilisateurs auxquels un jeu d'autorisations pour le groupe Tous n'a pas été affecté dans la version
précédente d'ERA ne disposeront pas d'un groupe résidentiel dans la nouvelle version d'ERA. Ils ne possèderont
pas d'autorisations pour Groupes et ordinateurs : ils ne pourront donc pas afficher les périphériques.
• Les utilisateurs auxquels un jeu d'autorisations pour le groupe Tous n'a pas été affecté dans la version
précédente d'ERA conserveront leurs autorisations pour le groupe Tous. De plus, ils se verront accorder une
nouvelle autorisation pour la fonctionnalité Groupes et ordinateurs.
Déclencheurs et tâches serveur
ESET Remote Administrator 6.5 autorise uniquement un déclencheur par tâche serveur. Le nombre de
déclencheurs de tâches serveur est automatiquement ajusté après une mise à niveau afin de correspondre au
nombre de tâches serveur. Dans Admin > Tâches serveur, sélectionnez une tâche pour afficher des informations
détaillées sur son déclencheur.
Rapports, modèles et tous les autres objets
Après une mise à niveau, tous les objets figurent dans le groupe statique Tous. L'administrateur peut partager les
objets avec les utilisateurs de plusieurs manières différentes :
• en dupliquant les objets pour les rendre accessibles aux utilisateurs qui ne sont pas administrateurs ;
• en déplaçant les objets vers des groupes partagés où d'autres utilisateurs peuvent y accéder ;
• en attribuant aux utilisateurs d'autres jeux d'autorisations qui leur accorderont des droits limités sur certains
objets (les politiques) sur le groupe Tous, par exemple).
Groupes statiques et dynamiques
Les groupes statiques sont essentiels au nouveau modèle de sécurité d'ESET Remote Administrator 6.5. Chaque
objet est situé dans un groupe statique. Après une mise à niveau, la structure des groupes dynamiques et
statiques reste la même. Les utilisateurs doivent se voir attribuer les autorisations adéquates pour leur groupe afin
qu'ils puissent afficher les autres membres et interagir avec ces derniers.
Utilisation d'ERA Web Console
Tous les clients sont gérés par le biais d'ERA Web Console. Cette console est accessible à l’aide d’un navigateur
compatible depuis n’importe quel périphérique. ERA Web Console est divisé en trois sections principales :
1. Dans la partie supérieure d'ERA Web Console, vous pouvez utiliser l'outil Recherche rapide. Saisissez un
nom de client ou une adresse IPv4/IPv6, puis appuyez sur Entrée. Vous êtes alors redirigé vers la section
Groupes dans laquelle le client est affiché.
Accès rapides
• Ajouter un nouvel ordinateur
Politique
• Ajouter un nouveau périphérique mobile • Création de politique
• Ajouter un nouvel utilisateur
• Attribuer une politique
• Générer un rapport
• Nouvelle tâche client
Ouvrir
• Paramètres du serveur
Programmes d'installation
16
• Droits d’accès
• Créer un programme d'installation
• Tâches serveur
• Déployer ERA Agent
• Modèles de groupe dynamique
• Gestion des licences
2. Le menu situé à gauche contient les sections principales d'ESET Remote Administrator et les éléments
suivants :
• Tableau de bord
• Ordinateurs
• Menaces
• Rapports
• Admin
3. Les boutons situés dans la partie inférieure de la page sont uniques à chaque section et chaque fonction. Ils
sont décrits en détail dans les chapitres correspondants.
REMARQUE
Un bouton est commun à tous les nouveaux éléments : Paramètres obligatoires. Ce bouton rouge est affiché
lorsque des paramètres obligatoires n'ont pas été configurés et qu'ils empêchent l'achèvement de l'élément. Ces
paramètres obligatoires sont également indiqués par un point d'exclamation rouge en regard de chaque section.
Cliquez sur Paramètres obligatoires pour accéder à la section dans laquelle se trouvent les paramètres en
question.
Règles générales
oLes paramètres requis (obligatoires) sont toujours signalés par un point d'exclamation rouge situé en regard
de la section et des paramètres correspondants. Pour accéder aux paramètres obligatoires (le cas échéant),
cliquez sur Paramètres obligatoires dans la partie inférieure de chaque page.
oSi vous avez besoin d'aide lors de l'utilisation d'ESET Remote Administrator, cliquez sur l'icône ? dans le coin
supérieur droit, puis sur <Rubrique actuelle> - Aide. La fenêtre d'aide correspondant à la page actuelle
s'affiche alors.
oPour plus d'informations, reportez-vous à la section Admin.
Écran de connexion
Un utilisateur doit disposer d'informations d'identification (nom d'utilisateur et mot de passe) pour se connecter à
la console Web. Il est également possible de se connecter en tant qu'utilisateur de domaine en cochant la case en
regard de l'option Connexion au domaine (un utilisateur de domaine n'est pas associé à un groupe de domaines
mappé).
REMARQUE
Si vous rencontrez des problèmes lors de la connexion et que des messages d'erreur s'affichent, consultez la
section Dépannage de la console Web pour obtenir des suggestions pour résoudre le problème.
Vous pouvez sélectionner votre langue en cliquant sur la liste déroulante en regard de la langue actuellement
sélectionnée. Pour plus d'informations, consultez cet article de la base de connaissances.
Décochez la case Autoriser la session dans plusieurs onglets si vous ne souhaitez pas permettre aux
utilisateurs d'ouvrir ERA Web Console dans plusieurs onglets de leur navigateur Web.
Modifier le mot de passe/Utiliser un autre compte : permet de modifier le mot de passe ou de revenir à
l’écran de connexion.
17
Gestion des sessions et mesures de sécurité :
• Verrouillage de l'adresse IP de connexion
Après 10 tentatives infructueuses de connexion à partir d’une même adresse IP, les tentatives suivantes sont
bloquées pendant environ 10 minutes. Le blocage de l'adresse IP n'a aucune incidence sur les sessions
existantes.
• Verrouillage de l'adresse d'ID de session incorrect
Après avoir utilisé à 10 reprises un ID de session incorrect à partir d’une même adresse IP, les connexions
suivantes à partir de cette adresse sont bloquées pendant environ 10 minutes. Les ID de session ayant expiré
ne sont pas comptabilisé. Un ID de session expiré dans le navigateur n'est pas considéré comme une attaque.
Le blocage de 15 minutes de l’adresse IP englobe toutes les actions (y compris les demandes valides). Le
blocage peut être interrompu en redémarrant la console Web (service tomcat).
Dépannage - Console Web
Cette section a pour but de vous aider à comprendre les messages d'erreur de connexion de la console Web :
Message d'erreur
Cause possible
Vérifiez avec soin que vous avez saisi correctement le nom d'utilisateur
Échec de la connexion : nom
d'utilisateur ou mot de passe non valide. et le mot de passe.
Échec de la connexion : la connexion a Vérifiez si les services ERA Server et de base de données sont en cours
d'exécution. Consultez cet article de la base de connaissances.
échoué avec l’état « Non connecté ».
Vérifiez qu'Apache Tomcat est en cours d'exécution et fonctionne
Échec de la connexion : erreur de
correctement.
communication
Échec de la connexion : délai de
connexion.
18
Vérifiez la connexion réseau et les paramètres du pare-feu pour vous
assurer qu'ERA Web Console peut communiquer avec ERA Server. Si ERA
Server est surchargé, essayez d'effectuer un redémarrage. Ce problème
peut également se produire si vous utilisez des versions d'ERA Server et
d'ERA Web Console différentes.
Message d'erreur
Cause possible
Échec de la connexion : aucun droit Aucun droit d'accès n'est affecté à l'utilisateur. Connectez-vous en tant
qu'administrateur et modifiez le compte d'utilisateur en affectant au
d’accès n’est affecté à l’utilisateur.
moins un jeu d'autorisations à cet utilisateur.
Pour des raisons de sécurité, nous vous recommandons de configurer
Utilisation d’une connexion non
chiffrée ! Configurez le serveur Web pour ERA Web Console pour utiliser HTTPS.
utiliser le protocole HTTPS.
JavaScript est désactivé. Activez
Activez JavaScript ou mettez à jour votre navigateur Web.
JavaScript dans votre navigateur.
L'écran de connexion n'est pas visible ou Redémarrez le service ESET Remote Administrator Server. Une fois le
il semble se charger constamment.
service ESET Remote Administrator Server fonctionnel et en cours
d'exécution, redémarrez le service Apache Tomcat. Une fois cette
opération terminée, l'écran de connexion d'ESET Remote Administrator
Web Console se charge correctement.
« Une erreur inattendue s'est produite » Cette erreur se produit généralement lorsque vous accédez à ESET
ou « Une exception non interceptée s'est Remote Administrator Web Console. Consultez la liste des navigateurs
produite ».
Web pris en charge.
REMARQUE
Comme la console Web utilise un protocole sécurisé (HTTPS), un message relatif à un certificat de sécurité ou à
une connexion non approuvée peut s'afficher dans le navigateur Web (les termes exacts du message dépendent
du navigateur utilisé). Ce message s'affiche, car le navigateur demande la vérification de l'identité du site auquel
vous accédez. Cliquez sur Poursuivre sur ce site Web (Internet Explorer) ou Je comprends les risques, sur
Ajouter une exception..., puis sur Confirmer l'exception de sécurité (Firefox) pour accéder à ERA Web
Console. Cela s'applique uniquement lorsque vous accédez à l'URL d'ESET Remote Administrator Web Console.
Tableau de bord
Le tableau de bord est la page par défaut qui s'affiche lorsque vous vous connectez à ERA Web Console pour la
première fois. Elle affiche des rapports prédéfinis sur votre réseau. Vous pouvez passer d'un tableau de bord à un
autre à l'aide des onglets situés dans la barre de menus supérieure. Chaque tableau de bord est composé de
plusieurs rapports. Vous pouvez personnaliser les tableaux de bord en ajoutant des rapports, en modifiant ceux
existants, en les redimensionnant, en les déplaçant et en les réorganisant. Vous pouvez utiliser l'option Définir
par défaut pour définir le tableau de bord personnalisé comme tableau de bord par défaut pour les nouveaux
utilisateurs. Pour rétablir les paramètres, cliquez sur Rétablir les valeurs par défaut (cliquez sur le symbole
situé en regard du titre Tableau de bord).
ESET Remote Administrator contient cinq tableaux de bord préconfigurés :
Ordinateurs
Ce tableau de bord vous donne une vue d'ensemble des ordinateurs clients : état de la protection, systèmes
d'exploitation et état de mise à jour.
Remote Administrator Server
Ce tableau de bord affiche des informations sur ESET Remote Administrator Server : charge du serveur, clients
présentant des problèmes, charge CPU et connexions de base de données.
Menaces virales
Ce tableau de bord contient des rapports sur le module antivirus des produits de sécurité des clients : menaces
actives, menaces au cours des 7/30 derniers jours, etc.
Menaces liées au pare-feu
Événements de pare-feu des clients connectés classés selon la gravité, l'heure de signalement, etc.
Applications ESET
Ce tableau de bord permet de consulter des informations sur les applications ESET installées.
19
Fonctionnalités des tableaux de bord :
Autorisations pour les tableaux de bord
Pour utiliser des tableaux de bord, un utilisateur doit disposer de l'autorisation adéquate. Seuls les modèles de
rapport figurant dans un groupe pour lequel l'utilisateur possède des droits d'accès peuvent être utilisés dans un
tableau de bord. Si aucun droit n'est attribué à l'utilisateur pour Rapports et tableau de bord, il ne verra pas de
données dans la section Tableau de bord. L'administrateur peut afficher toutes les données par défaut.
IMPORTANT
Lire : l'utilisateur peut répertorier les modèles de rapport et leurs catégories. Il peut également générer des
rapports à partir des modèles de rapport. L'utilisateur peut consulter son tableau de bord.
Utiliser : l'utilisateur peut modifier son tableau de bord à l'aide des modèles de rapport disponibles.
Écrire : permet de créer, modifier et supprimer des modèles et leurs catégories.
Tous les modèles par défaut figurent dans le groupe Tous.
Paramètres utilisateur
Dans cette section, vous pouvez personnaliser les paramètres utilisateur. Cliquez sur le compte d'utilisateur
dans le coin supérieur droit d'ERA Web Console (à gauche du bouton Déconnexion) pour afficher tous les
utilisateurs actifs. Vous pouvez vous connecter à ERA Web Console à partir de différents navigateurs Web,
ordinateurs et périphériques mobiles en même temps. Toutes vos sessions s'affichent dans cette section.
REMARQUE
Les paramètres utilisateur s'appliquent uniquement à l'utilisateur actuellement connecté. Chaque utilisateur peut
posséder ses paramètres d'heure préférés pour ERA Web Console. Les paramètres d'heure propres à l'utilisateur
sont appliqués quel que soit l'emplacement d'accès à ERA Web Console.
• Paramètres d’heure :
Toutes les informations sont stockées en interne dans ESET Remote Administrator à l'aide de la norme UTC
(Coordinated Universal Time, temps universel coordonné). L'heure UTC est automatiquement convertie dans le
fuseau horaire utilisé par ERA Web Console (en tenant compte du changement d'heure hiver/été). ERA Web
Console affiche l'heure locale du système sur lequel la console est exécutée (et non pas l'heure UTC interne). Vous
20
pouvez remplacer ce paramètre pour définir manuellement l'heure dans ERA Web Console.
Si vous souhaitez remplacer le paramètre par défaut Utiliser l’heure locale du navigateur, vous pouvez
sélectionner l'option Sélectionner manuellement, puis spécifier manuellement le fuseau horaire de la
console et choisir d'utiliser ou non l'option Heure d'été.
IMPORTANT
Dans certains cas, l'option permettant d'utiliser un autre fuseau horaire (l'heure locale d'un client sur lequel
s'exécute ERA, par exemple) devient disponible. Ce paramètre peut s'avérer particulièrement utile lors de la
configuration de déclencheurs. Lorsque cette option est disponible, cela est indiqué dans ERA Web Console. Vous
avez alors la possibilité d'utiliser l'heure locale ou non.
Cliquez sur Enregistrer les paramètres d’heure pour confirmer vos modifications.
• État utilisateur stocké :
Vous pouvez rétablir l'état par défaut de l'interface utilisateur d'un utilisateur stocké en cliquant sur Réinitialiser
l’état utilisateur stocké. Cela comprend l'assistant de démarrage, les tailles des colonnes de tableau, les filtres
mémorisés, menu latéral épinglé, etc.
• Sessions actives
Les informations sur toutes les sessions actives de l'utilisateur actuelle comprennent les éléments suivants :
• Adresse IP de l'ordinateur client ou du périphérique mobile sur lequel un utilisateur est connecté à ERA Web
Console et via adresse IP (entre crochets) du serveur Web qui exécute ERA Web Console. Si ERA Web Console
s'exécute sur le même ordinateur qu'ERA Server, via 127.0.0.1 s'affiche.
• Date et heure de connexion d'un utilisateur.
• Langue sélectionnée pour ERA Web Console.
21
La session actuelle est appelée Cette session. Si vous souhaitez déconnecter une session active, cliquez sur
Déconnecter.
Paramètres de tableau de bord
Utilisez les paramètres de tableau de bord pour gérer les tableaux de bord prédéfinis et nouvellement créés. Les
options disponibles sont décrites ci-dessous.
• Ajouter un nouveau tableau de bord : cliquez sur le symbole
situé dans la partie supérieure du titre
Tableau de bord. Saisissez le nom du nouveau tableau de bord, puis cliquez sur OK pour confirmer l'opération.
Un tableau de bord avec un champ Rapports vide est créé. Une fois le tableau de bord configuré, vous pouvez
commencer à y ajouter des rapports.
• Dupliquer un tableau de bord : sélectionnez le tableau de bord à dupliquer, puis cliquez sur le symbole d'
situé en regard de son nom. Pour créer un tableau de bord dupliqué, sélectionnez Dupliquer dans la liste.
• Cliquez sur
Rafraîchir la page pour recharger/actualiser les informations affichées sur le tableau de bord
sélectionné.
• Déplacer un tableau de bord : cliquez sur le nom d'un tableau de bord et faites-le glisser pour modifier sa
position par rapport aux autres tableaux de bord.
• Modifier la taille du tableau de bord (nombre de rapports affichés) : cliquez sur le symbole
>
Changer de structure. Sélectionnez le nombre de rapports à afficher dans le tableau de bord et cliquez sur ces
derniers. La structure du tableau de bord change.
• Renommer un tableau de bord : cliquez sur le symbole situé en regard du nom du tableau de bord, puis
sur Renommer. Saisissez un nouveau nom pour le tableau de bord, puis cliquez sur OK.
• Renommer un tableau de bord : cliquez sur le symbole situé en regard du nom du tableau de bord, sur
Supprimer, puis confirmez la suppression.
• Redimensionner : cliquez sur le symbole de flèche à deux pointes à droite du rapport pour redimensionner
ce dernier. Les rapports les plus pertinents sont plus grands, tandis que les moins pertinents sont plus petits.
Vous pouvez également basculer en mode Plein écran pour afficher un rapport plein écran.
• Changer de type de diagramme : cliquez sur le symbole de diagramme situé dans le coin supérieur
gauche, puis sélectionnez Diagramme sectoriel, Diagramme linéaire ou une autre option pour modifier le
type de diagramme.
22
• Cliquez sur Rafraîchir pour actualiser les informations affichées dans le rapport sélectionné.
• Cliquez sur Modifier pour afficher un autre rapport.
• Cliquez sur Modifier le modèle de rapport pour ajouter ou modifier un modèle.
• Cliquez sur Définir l'intervalle de rafraîchissement pour définir la fréquence de rafraîchissement des
données d'un rapport. L'intervalle de rafraîchissement par défaut est de 120 secondes.
• Cliquez sur Planifier pour ajouter/modifier les paramètres de planification du rapport.
• Renommez/Supprimez le rapport.
Descendre dans la hiérarchie
Cette fonctionnalité du tableau de bord s'avère utile pour examiner les données avec davantage de précision. Elle
vous permet de sélectionner de manière interactive un élément spécifique d'un résumé et d'en afficher les
données détaillées. Concentrez-vous sur l'élément qui vous intéresse en allant des informations de synthèse aux
informations les plus détaillées sur celui-ci. En règle générale, vous pouvez descendre de plusieurs niveaux dans la
hiérarchie.
Il existe quatre types de descentes dans la hiérarchie :
• Affichez des informations détaillées : nom de l'ordinateur et description, nom du groupe statique, etc.
Permet d'afficher les données d'origine (non agrégées) de la ligne qui a fait l'objet d'un clic.
• Affichez uniquement la « valeur » : informations, informations critiques, risque de sécurité, notification de
sécurité, etc.
• Développer la colonne « valeur » : cette option permet d'afficher des informations agrégées (généralement
pour des additions ou des comptabilisations). Par exemple, si la colonne ne contient qu'un nombre et si vous
cliquez sur Développer la colonne Ordinateur, tous les détails sur les ordinateurs seront affichés.
• Affichez Dans la page Ordinateurs (tous) : vous redirige vers la page Ordinateurs (affiche un résultat
comprenant 100 éléments uniquement).
REMARQUE
les résultats que vous obtenez lorsque vous descendez dans la hiérarchie d'autres rapports affichent les 1 000
premiers éléments uniquement.
Cliquez sur le bouton Générer et télécharger si vous souhaitez générer et télécharger le rapport. Vous pouvez
choisir : .pdf, .ps ou .csv (uniquement des données de tableau).
23
Modifier le modèle de rapport
Cette section décrit comment modifier des modèles de rapport existants (pour plus d'informations sur la création
d'un modèle de rapport, cliquez ici).
Cliquez sur un cadre vide dans le nouveau tableau de bord. La fenêtre Ajouter un rapport s'affiche. Sélectionnez
des applications installées, puis cliquez sur Modifier le modèle.
24
General
Modifiez les informations de base sur le modèle. Conservez ou modifiez le nom, la description et la catégorie.
Ces informations sont prédéfinies selon le type de rapport sélectionné.
Diagramme
Dans la section Diagramme, sélectionnez le type de rapport. Dans cet exemple, l'option Afficher la table n'est
pas sélectionnée, tandis que l'option Afficher le diagramme l'est.
25
REMARQUE
Tous les types de diagramme sélectionnés s'affichent dans la section Aperçu. Vous pouvez ainsi déterminer
l'aspect du rapport en temps réel.
Lorsque vous sélectionnez un diagramme, vous disposez de plusieurs options. Pour une meilleure vue
d'ensemble, le type Diagramme linéaire empilé est sélectionné. Ce type de diagramme est utilisé pour
analyser des données avec des unités de mesure différentes.
Vous pouvez éventuellement saisir un titre pour les axes X et Y du diagramme pour en faciliter la lecture et
détecter des tendances.
Données
26
La section Données contient les informations saisies à afficher sur les axes X et Y du diagramme. Lorsque vous
cliquez sur l'un des symboles
, la fenêtre correspondante s'affiche pour proposer des options. Les options
disponibles pour l'axe Y dépendent toujours des informations sélectionnées pour l'axe X, et inversement. Comme
le diagramme affiche leur relation, les données doivent être compatibles.
Pour l'axe X, sélectionnez Ordinateur > Nom de l'ordinateur pour déterminer quels ordinateurs envoient du
courrier indésirable. Le format est défini sur Ordinateur > Nom de l'ordinateur. La couleur est les icônes sont
définies par l'administrateur.
Pour l'axe Y, sélectionnez Logiciel installé > Taille en Mo pour déterminer le nombre absolu de messages
indésirables. Le format est défini sur Logiciel installé > Taille en Mo. La couleur est les icônes sont définies par
l'administrateur.
Tri
27
Utilisez l'option Ajouter un tri pour définir la relation entre les données sélectionnées. Sélectionnez les
informations de début et la méthode de tri (Croissant ou Décroissant). Il est également possible de trier les
données à l'aide des deux options (voir ci-dessus).
Filtre
Les options affichées dans cette section dépendent des paramètres précédemment configurés (informations pour
les axes X et Y). Sélectionnez une option et une fonction mathématique pour déterminer le filtrage des données.
28
Dans cet exemple, les options et fonctions suivantes ont été sélectionnées : Logiciel installé et Nom de
l'application > est égal à > ESS et Logiciel installé. Taille en Mo > est supérieur à > 50.
Résumé
Dans la section Résumé, passez en revue les options sélectionnées et les informations. Si elles vous conviennent,
cliquez sur Terminer pour créer un modèle de rapport.
Ordinateurs
Tous les ordinateurs clients ayant été ajoutés à ESET Remote Administrator sont affichés dans cette section. Ils
sont répartis dans des groupes. Lorsque vous cliquez sur un groupe dans la liste (à gauche), les membres (clients)
de ce dernier sont affichés dans le volet droit. Vous pouvez filtrer les clients à l'aide des filtres situés en haut de la
page. Il existe également quelques filtres prédéfinis qui sont facilement accessibles :
• Vous pouvez appliquer un filtre par gravité à l'aide des icônes d'état :
rouge - Erreurs,
jaune -
Avertissements,
vert - OK et
gris - Ordinateurs non administrés. L'icône de gravité représente l'état
actuel du produit ESET sur un ordinateur client spécifique. Vous pouvez utiliser une combinaison de ces icônes
en les activant ou les désactivant. Pour n'afficher par exemple que les ordinateurs avec des avertissements,
activez uniquement l'icône jaune
avertissements
et les erreurs
(les autres icônes doivent être désactivées). Pour afficher les
, activez uniquement les deux icônes correspondantes.
• Pour ajouter plusieurs critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un élément dans la liste.
Vous pouvez filtrer les résultats par nom d'ordinateur, description, heure de connexion, version du système
d'exploitation et adresse IPv4/IPv6. Les filtres actifs sont mis en surbrillance en bleu.
REMARQUE
Si vous ne parvenez pas à trouver un ordinateur spécifique dans la liste alors qu'il figure dans l'infrastructure ERA,
vérifiez que tous les filtres sont désactivés.
• Cliquez sur l'icône
pour effectuer un choix dans Actions. Vous pouvez actualiser la liste des ordinateurs,
modifier les colonnes, utiliser la fonctionnalité Ajuster automatiquement les colonnes, effacer la
sélection ou utiliser le tri de table.
29
• Case à cocher Afficher les sous-groupes : affiche les sous-groupes du groupe actuellement sélectionné.
• Les ordinateurs non administrés (clients du réseau sur lesquels ERA Agent ou un produit de sécurité ESET
n'est pas installé) apparaissent généralement dans le groupe Perdu et trouvé.
• Vous pouvez sélectionner un périphérique spécifique ou désélectionner des entrées en particulier lorsque
vous cochez la case Sélectionner tout dans la partie supérieure.
• Vous pouvez effectuer un glisser-déposer des clients pour les déplacer entre les groupes.
À l'aide du menu déroulant situé sous les filtres, vous pouvez limiter l'affichage des clients
(ordinateurs/périphériques mobiles). Plusieurs catégories sont disponibles :
• Tous les périphériques : sélectionnez cette option dans le menu déroulant pour réafficher tous les
ordinateurs clients, sans limiter (filtrer) les clients affichés. Vous pouvez utiliser une combinaison de toutes les
options de filtrage ci-dessus lors de la limitation de l'affichage.
• Protégé par ESET (protégé par un produit ESET).
• ESET Remote Administrator (composants ERA distincts, tels que l'Agent, RD Sensor, le proxy, le serveur,
etc.).
• Autre (cache local partagé, appliance virtuelle, Enterprise Inspector Agent et Enterprise Inspector Server).
Lorsque vous effectuez une sélection, seuls les clients correspondants sont affichés.
• Vous pouvez utiliser le menu contextuel (icône
) en regard d'un groupe existant pour créer un groupe
statique ou dynamique, une tâche ou effectuer une sélection parmi d'autres actions disponibles.
Lorsque vous cliquez sur un périphérique, vous pouvez ouvrir un nouveau menu contenant des actions disponibles
pour celui-ci. Vous pouvez également ouvrir ce menu en cliquant sur le bouton Actions dans la barre inférieure.
30
• Cliquez sur Actions pour exécuter des actions. Pour plus d'informations sur les différents types d'icône et les
états, reportez-vous à Légende des icônes.
Détails de l'ordinateur
Pour afficher les détails d'un ordinateur, sélectionnez un ordinateur client dans un groupe statique ou dynamique,
puis cliquez sur Afficher les détails.
La fenêtre d'informations est composée de sept parties différentes :
Aperçu :
• Nom : modifiez le nom de l'ordinateur ou la description.
• Description : ajoutez une description personnalisée ou des informations supplémentaires sur le
périphérique.
• Groupe parent : modifiez le groupe statique parent de l'ordinateur.
• Utilisateurs connectés : domaine et nom d'utilisateur des derniers utilisateurs connectés sur le
périphérique.
• Utilisateurs affectés : modifiez les utilisateurs affectés à l'ordinateur actuel.
• Alertes : lien vers la liste des problèmes liés à l'ordinateur actuel.
• Nombre de menaces non résolues : nombre de menaces non résolues.
• Dernière connexion et Durée d'analyse : informations temporelles concernant la dernière connexion ou
analyse.
• Base des signatures de virus : version de la base des signatures de virus sur le périphérique cible.
• Produits de sécurité ESET : liste des composants ESET installés sur l'ordinateur.
Configuration :
• Configuration : contient la liste des configurations des produits ESET installés (ERA Agent, ERA Proxy, ESET
Endpoint, etc.). Ouvrez une configuration via le menu contextuel et convertissez-la en politique. Cliquez sur
31
une configuration pour l'afficher dans la visionneuse. Cliquez sur Demander la configuration pour créer une
tâche afin qu'ERA Agent collecte toutes les configurations des produits gérés. Lorsque la tâche est remise à
ERA Agent, elle est exécutée immédiatement. Les résultats sont ensuite remis à ERA Server lors de la
connexion suivante, afin que vous puissiez consulter la liste de toutes les configurations des produits gérés.
Cliquez sur Convertir en politique pour ouvrir une configuration et la convertir en politique.
• Politiques appliquées : liste des politiques appliquées à un ordinateur. Pour gérer, modifier, affecter ou
supprimer une politique, cliquez sur Gérer les politiques.
SysInspector :
Affiche les résultats de SysInspector les plus récents. Cliquez sur Demander un journal (Windows
uniquement) pour exécuter la tâche Demander un rapport SysInspector sur les clients sélectionnés.
Exécutions de tâche :
Liste des tâches exécutées. Vous pouvez filtrer la vue pour limiter les résultats, descendre dans la hiérarchie et
modifier, dupliquer, supprimer et exécuter ou réexécuter une tâche.
Applications installées :
Affiche la liste des programmes installés sur un client avec des informations telles que la version, la taille,
l'état de sécurité, etc. Pour supprimer un programme, sélectionnez-le, puis cliquez sur Désinstaller. Vous
serez invité à saisir les paramètres de désinstallation. Il s'agit de paramètres facultatifs de ligne de
commande pour le programme d'installation (package d'installation). Les paramètres de désinstallation sont
uniques pour chaque programme d'installation de logiciel. Vous trouverez des informations supplémentaires
dans la documentation du produit spécifique.
Alertes :
Affiche la liste des alertes et les détails de ceux-ci : Problème, État, Produit, Survenance, Gravité, etc. Cette
catégorie est accessible dans la section Ordinateurs, en sélectionnant Afficher les alertes. Vous pouvez
également exécuter certaines actions dans l'écran Détails de l'ordinateur en cliquant sur Actions dans le
coin inférieur gauche.
Menaces et quarantaine :
Tous les types de menaces sont affichés. Vous pouvez toutefois appliquer un filtre par menaces virales, liées
au pare-feu et au système HIPS pour obtenir une vue plus spécifique.
• Quarantaine : liste des menaces mises en quarantaine avec des détails tels que le nom de la menace, le
type de menace, le nom de l'objet, la taille, la première survenance, le nombre, le motif utilisateur, etc.
Détails :
32
• Général : informations sur la gestion de périphérique. Elles indiquent si le périphérique est désactivé et
administré, la date de la dernière mise à jour et le nombre de politiques appliquées.
• Périphérique : informations sur le fabricant et le modèle de l'ordinateur.
• Informations sur le SE : nom, type, version et autres informations sur le système d'exploitation.
• Cartes réseau : informations sur le réseau, IPv4 et IPv6 , le sous-réseau, etc.
• Identifiants de périphérique : numéro de série, nom FQDN, etc.
Cliquez sur Actions pour exécuter des actions. Pour obtenir des informations sur les actions, reportez-vous aux
légendes des icônes.
Importer un fichier CSV
• Charger : cliquez sur Sélectionner un fichier, puis accédez au fichier .csv que vous souhaitez charger.
• Délimiteur : caractère qui sert à séparer des chaînes de texte. Sélectionnez le délimiteur (Point-virgule,
Virgule, Espace ou Tabulation) qui correspond à celui utilisé par le fichier .csv. Si le fichier .csv utilise un
autre caractère en tant que délimiteur, cochez la case Autre, puis saisissez-le. Aperçu des données : affiche le
contenu du fichier .csv, ce qui permet de déterminer le type de délimiteur utilisé pour séparer les chaînes.
• Mappage des colonnes : une fois que le fichier .csv a été chargé et analysé, vous pouvez mapper
chaque colonne de votre choix du fichier CSV importé sur une colonne ERA (Nom, Adresse
électronique, Nom du périphérique, Description, etc.) affichée dans le tableau. Utilisez les listes
déroulantes pour sélectionner la colonne CSV à associer à une colonne ERA spécifique. Si le fichier
.csv ne contient pas de ligne d'en-tête, décochez la case En-tête CSV. Regardez l'aperçu du tableau pour
vérifier que le mappage des colonnes est correctement défini et que l'opération d'importation fonctionnera
comme vous le souhaitez.
Une fois que chaque colonne a été mappée et que l'aperçu du tableau semble correct, cliquez sur Importer pour
commencer l'opération.
Menaces
La section Menaces donne une vue d'ensemble de toutes les menaces détectées sur les périphériques
33
administrés par le compte d'utilisateur cible. La structure de groupes est affichée à gauche. Vous pouvez y
parcourir les groupes et afficher les menaces détectées sur les membres d'un groupe donné. Sélectionnez le
groupe Tous et utilisez le filtre Tous les types de menace pour afficher toutes les menaces détectées sur
les clients de tous les groupes attribués au compte d'utilisateur cible.
Filtrage des menaces
Par défaut, tous les types de menaces des 7 derniers jours sont affichés. Pour ajouter plusieurs critères de filtre,
cliquez sur Ajouter un filtre dans la barre supérieure et sélectionnez un élément dans la liste. Vous pouvez filtrer
les résultats par Ordinateur désactivé, Menace résolue, Nom (nom de la menace), Cause (cause de la
menace) ou Adresse IP du client ayant signalé cette menace. Par défaut, tous les types de menaces sont
affichés. Vous pouvez toutefois appliquer un filtre par menaces virales,liées au pare-feu et au système HIPS
pour obtenir une vue plus spécifique.
Analyse à la demande
Cette option permet d'exécuter la tâche Analyse à la demande sur le client qui a signalé la menace.
Marquer comme étant résolu(e)/Marquer comme étant non résolu(e)
Les menaces peuvent désormais être marquées comme étant résolues dans la section des menaces ou sous les
détails d'un client spécifique.
Déplacer vers le groupe
Cette option déplace un ordinateur vers un groupe statique différent. Elle devient ainsi accessible pour
l'administrateur local du groupe cible. L'administrateur local dispose de droits d'accès complet dans son groupe.
Désactiver
Lorsque vous sélectionnez Désactiver pour une menace spécifique, cette menace est désactivée (et non le client).
Ce rapport ne sera plus affiché comme étant actif. Vous pouvez également choisir de désactiver le client
(sélectionnez Désactiver dans le menu déroulant de la menace) qui a signalé cette menace.
34
Cliquez sur une menace spécifique pour exécuter des actions sur celle-ci. Pour plus d'informations sur les différents
types d'icône et les états, reportez-vous à Légende des icônes.
Colonnes de table :
Résolu, Objet, Nom du processus, Description, Utilisateur, Description de l’ordinateur, Détails de l’action,
Redémarrage requis, Analyseur, Type d’objet, Circonstances, Nombre d’occurrences, Adresse source, Port source,
Adresse cible, etc.
Rapports
Les rapports permettent d’accéder de manière efficace aux données de la base de données et de les filtrer. Les
rapports sont classés dans des catégories. Chaque catégorie contient une brève description du rapport. Vous ne
pouvez afficher que les modèles de rapport qui ont été déplacés vers votre groupe par un administrateur. Cliquez
sur Générer maintenant dans la partie inférieure de la page pour créer un rapport basé sur un modèle
sélectionné et l’afficher.
Vous pouvez utiliser des modèles de rapport prédéfinis de la liste Catégories et modèles ou créer un modèle de
rapport avec des paramètres personnalisés. Cliquez sur Créer un modèle de rapport pour afficher en détail les
paramètres de chaque rapport et spécifier des paramètres personnalisés pour un nouveau rapport.
35
Sélectionnez un rapport et cliquez sur Modèles de rapports pour ouvrir le menu contextuel Actions. Les options
disponibles sont les suivantes :
Générer maintenant
Le rapport est alors généré et vous pouvez examiner les données de sortie.
Planifier
Planifier le rapport : la fenêtre Modèle s'ouvre. Elle permet de modifier le déclencheur, la limitation et la remise du
rapport. Tous les rapports planifiés figurent dans l'onglet Rapports planifiés.
Nouvelle catégorie
Saisissez un nom et une description pour créer une catégorie de modèles de rapport.
Nouveau modèle de rapport
Créez un modèle de rapport personnalisé.
Modifier
Modifiez un modèle de rapport existant. Les mêmes paramètres et options que ceux utilisés lors de la création d’un
modèle de rapport s’appliquent.
Dupliquer
Cette option permet de créer un nouveau rapport selon le rapport sélectionné. Un nouveau nom est requis pour le
rapport en double.
Supprimer
Supprime entièrement le modèle de rapport sélectionné.
36
Importer
Cliquez sur Sélectionner un fichier et accédez au fichier que vous souhaitez importer.
Exporter
Sélectionnez le modèle de rapport à exporter dans la liste, puis cliquez sur Modèles de rapport > Exporter. Le
ou les modèles de rapport seront exportés dans un fichier .dat. Pour exporter plusieurs modèles de rapport,
changez le mode de sélection (voir les Modes ci-dessous). Vous pouvez également exporter toute la catégorie de
modèles en englobant tous les modèles de rapport.
Groupe d'accès : déplacez la catégorie de modèles de rapport vers un autre groupe statique. Elle devient ainsi
accessible pour l'administrateur local du groupe cible. L'administrateur local dispose de droits d'accès complet
dans son groupe.
Vous pouvez utiliser l'option Modes pour modifier le mode de sélection (unique ou multiple). Cliquez sur la flèche
dans le coin supérieur droit et sélectionnez l'une des options suivantes dans le menu contextuel :
Mode de sélection unique : vous pouvez sélectionner un seul élément.
Mode de sélection multiple : permet d'utiliser les cases à cocher pour sélectionner plusieurs éléments.
Rafraîchir : recharge/actualise les informations affichées.
Développer tout : permet d'afficher toutes les informations.
Réduire tout : permet de masquer toutes les informations.
REMARQUE
La fonctionnalité Exporter exporte le modèle de rapport sélectionné, qui peut ensuite être importé sur un autre
ERA Server à l'aide de la commande Importer. Cela s'avère pratique, par exemple, lorsque vous souhaitez migrer
vos modèles de rapport personnalisés sur un autre ERA Server.
IMPORTANT
La fonctionnalité
Importer /
Exporter est conçue pour l'importation et l'exportation de modèles de rapport
uniquement, et non d'un rapport généré contenant des données.
Télécharger
Sélectionnez un modèle de rapport, cliquez sur Télécharger et sélectionnez le format de fichier .pdf, .ps ou
.csv (le format de fichier .csv est adapté uniquement aux données des tableaux). Le rapport est généré et
téléchargé.
Autorisations pour les rapports
Filtre Accéder au groupe
Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les
objets visualisés selon le groupe qui les contient.
IMPORTANT
Lire : l'utilisateur peut répertorier les modèles de rapport et leurs catégories. Il peut également générer des
rapports à partir des modèles de rapport. L'utilisateur peut consulter son tableau de bord.
Utiliser : l'utilisateur peut modifier son tableau de bord à l'aide des modèles de rapport disponibles.
Écrire : permet de créer, modifier et supprimer des modèles et leurs catégories.
Tous les modèles par défaut figurent dans le groupe Tous.
37
Créer un modèle de rapport
Accédez à Rapports, puis cliquez sur Modèles de rapport dans l'onglet Catégories et modèles. Dans la
fenêtre indépendante, sélectionnez Nouveau modèles de rapport....
Général
Modifiez les informations de base sur le modèle. Saisissez un nom, une description et une catégorie. Vous ne
pouvez effectuer un choix que parmi les catégories prédéfinies. Si vous souhaitez en créer une autre, utilisez
l'option Nouvelle catégorie (décrite dans le chapitre précédent).
38
Diagramme
Dans la section Diagramme, sélectionnez le type de rapport. Il peut s'agir d'une table, dans laquelle les
informations sont triées dans des lignes et des colonnes, ou d'un diagramme qui représente les données à l'aide
d'axes X et Y.
REMARQUE
le type de diagramme sélectionné s'affiche dans la section Aperçu. Vous pouvez ainsi déterminer l'aspect du
rapport en temps réel.
Lorsque vous sélectionnez un diagramme, vous avez plusieurs options :
• Diagramme : diagramme avec des barres rectangulaires proportionnelles aux valeurs qu'elles représentent.
• Diagramme en nuages de points : dans ce diagramme, des points sont utilisés pour afficher des valeurs
quantitatives (similaire à un diagramme).
• Diagramme sectoriel : il s'agit d'un diagramme circulaire divisé en secteurs proportionnels représentant des
valeurs.
• Diagramme en anneau : similaire à un diagramme sectoriel, il contient toutefois plusieurs types de données.
• Diagramme linéaire : affiche les informations sous la forme d'une série de points de données reliés par des
segments de ligne droite.
• Diagramme linéaire simple : affiche les informations sous la forme d'une ligne reposant sur les valeurs sans
points de données visibles.
• Diagramme linéaire empilé : ce type de diagramme est utilisé pour analyser des données avec des unités
de mesure différentes.
• Diagramme empilé : similaire à un diagramme simple, il contient toutefois plusieurs types de données avec
des unités de mesure différentes représentées par des barres empilées.
Vous pouvez éventuellement saisir un titre pour les axes X et Y du diagramme pour en faciliter la lecture et
détecter des tendances.
39
Données
Dans la section Données, sélectionnez les informations à afficher :
a.Colonnes de table : les informations de la table sont automatiquement ajoutées en fonction du type de
rapport sélectionné. Vous pouvez personnaliser le nom, l'étiquette et le format (voir ci-dessus).
b.Axes de diagramme : sélectionnez les données pour les axes X et Y. Lorsque vous cliquez sur l'un des
symboles, la fenêtre correspondante s'affiche pour proposer des options. Les options disponibles pour l'axe
Y dépendent toujours des informations sélectionnées pour l'axe X, et inversement. Comme le diagramme
affiche leur relation, les données doivent être compatibles. Sélectionnez les informations souhaitées, puis
cliquez sur OK.
Vous pouvez remplacer le format sous lequel les données s'affichent par l'un des formats suivants :
• Barre de données (uniquement pour les diagrammes) / Valeur / Couleur / Icônes
Tri
Utilisez l'option Ajouter un tri pour définir la relation entre les données sélectionnées. Sélectionnez les
informations de début (valeur de tri) et la méthode de tri (Croissant ou Décroissant. Ces options définissent le
résultat affiché dans le diagramme.
Filtre
Définissez ensuite la méthode de filtrage. Dans la liste, sélectionnez la méthode de filtrage et sa valeur. Les
informations affichées dans le diagramme sont ainsi définies.
Résumé
Dans la section Résumé, passez en revue les options sélectionnées et les informations. Si elles vous conviennent,
cliquez sur Terminer pour créer un modèle de rapport.
40
Dans le tableau de bord, chaque rapport dispose d'options de personnalisation. Pour les afficher, cliquez sur le
symbole de roue situé dans le coin supérieur droit. Vous pouvez rafraîchir les informations affichées, remplacer
le rapport par un autre, modifier le modèle de rapport (voir les options ci-dessus), définir un nouvel intervalle de
rafraîchissement qui définit la fréquence d'actualisation des données du rapport ou renommer/supprimer le
rapport. À l'aide des flèches dans le symbole ci-dessous, vous pouvez personnaliser la taille du rapport. Vous
pouvez agrandir les rapports les plus pertinents et rendre plus petits les rapports les moins pertinents. Cliquez sur
Basculer le mode plein écran pour afficher un rapport en mode plein écran.
Générer un rapport
Il existe trois méthodes pour générer un rapport à partir d'un modèle de rapport :
1. Accédez aux Liens rapides dans la barre supérieure et cliquez sur Générer un rapport. Sélectionnez un
modèle de rapport existant, puis cliquez sur Générer maintenant.
2. Cliquez sur Rapports et sur l'onglet Catégories et modèles. Sélectionnez un modèle de rapport à partir
duquel générer un rapport. (Vous pouvez modifier un modèle de rapport prédéfini ou créer un modèle de
rapport. Vous devez toutefois enregistrer le modèle de rapport avant de générer un rapport à partir de celui-ci.)
• Vous pouvez utiliser la commande Générer maintenant pour générer le rapport et l'afficher dans ERA
Web Console ou le générer et le télécharger (le rapport est enregistré sur le périphérique à partir duquel
vous accédez à la console Web).
3. Cliquez sur Admin > Tâches serveur > Nouveau pour créer une tâche Générer un rapport.
• La tâche est créée et affichée dans la liste Types de tâche. Sélectionnez la tâche et cliquez sur Exécuter
maintenant dans la partie inférieure de la page. La tâche est immédiatement exécutée.
• Configurez les paramètres (comme décrit dans la tâche Générer un rapport), puis cliquez sur Terminer.
Planifier un rapport
Il existe deux méthodes pour planifier un rapport :
1. Accédez à Admin > Tâches serveur. Sélectionnez Nouveau pour créer une tâche Générer un rapport.
2. Sélectionnez un modèle de rapport à partir duquel générer un rapport. Vous pouvez utiliser un modèle de
rapport prédéfini et le modifier ou créer un modèle de rapport.
• Vous pouvez envoyer ce rapport par courrier électronique (dans un format de fichier défini dans cette
section) ou l'enregistrer dans un fichier. Lorsque vous cliquez sur l'une des options, les paramètres
correspondants s'affichent.
• Vous pouvez sélectionner plusieurs modèles de rapport pour un rapport.
• Configurez les paramètres (comme décrit dans la tâche Générer un rapport). Cette fois, un déclencheur
de serveur est créé pour la tâche.
• Dans la section Déclencheur, accédez à Paramètres. Sélectionnez Déclencheur planifié et la
date/heure d'exécution de la tâche.
• Cliquez sur Terminer. La tâche est créée. Elle s'exécutera à la période (une fois ou de manière répétée)
définie ici.
41
Les rapports planifiés figurent dans Rapports > onglet Rapports planifiés.
• Vous pouvez utiliser l'option Planifier pour créer une nouvelle planification pour un rapport existant.
• Cliquez sur Afficher les détails pour afficher des informations détaillées sur la planification sélectionnée.
• Vous pouvez sélectionner plusieurs modèles de rapport pour un rapport.
• Vous pouvez exécuter le rapport planifié en cliquant sur Exécuter maintenant.
• Cliquez sur Actions pour exécuter des actions. Pour plus d'informations sur les différents types d'icône et
les états, reportez-vous à Légende des icônes.
Applications obsolètes
Utilisez le rapport Applications obsolètes pour voir quels composants ERA ne sont pas à jour.
Deux méthodes permettent d'exécuter ce rapport :
1. Ajoutez un nouveau tableau de bord, puis cliquez sur l'une des mosaïques pour afficher un écran
indépendant répertoriant la liste des modèles de rapport. Sélectionnez Applications obsolètes dans la
liste, puis cliquez sur Ajouter.
2. Accédez à Rapports, puis à la catégorie Ordinateurs. Sélectionnez Applications obsolètes dans la liste et
cliquez sur Générer maintenant.... Le rapport est généré et vous pouvez consulter les données de sortie.
Pour mettre les composants à niveau, utilisez la tâche de client Mettre à jour les composants d'ESET Remote
Administrator.
Visionneuse des journaux SysInspector
La visionneuse des journaux SysInspector permet de consulter les journaux de SysInspector après son exécution
sur un ordinateur client. Vous pouvez également ouvrir les journaux SysInspector directement à partir d'une tâche
de demande de rapport SysInspector après la réussite de son exécution.
42
Pour ce faire, procédez comme suit :
1. Ajoutez un nouveau tableau de bord. Cliquez sur l'une des mosaïques. Un écran contextuel comportant les
modèles de rapport s'affiche.
2. Accédez à Rapports, puis à la catégorie Automatisation. Sélectionnez le modèle Historique des rapports
SysInspector au cours des 30 derniers jours dans la liste et cliquez sur Générer maintenant. Le rapport
est alors généré et vous pouvez examiner les données de sortie.
3. Sélectionnez un ordinateur dans un groupe dynamique ou statique, puis cliquez sur
SysInspector et sélectionnez
43
Ouvrir la visionneuse des journaux SysInspector.
Détails, sur l'onglet
Configuration initiale d'ESET Remote Administrator
Avant de commencer à gérer les solutions ESET pour les professionnels, vous devez effectuer une configuration
initiale. Il est recommandé d'utiliser l'aperçu de l'état et de suivre les étapes de haut en bas, particulièrement si
vous avez ignoré l'assistant de démarrage.
L'aperçu de l'état explique bien chaque section, mais vous pouvez aussi lire les chapitres suivants pour obtenir des
informations supplémentaires.
Aperçu de l’état
Utilisez l'option Aperçu de l'état pour consulter les statistiques d'utilisation et l'état général d'ESET Remote
Administrator. Cette option peut également vous aider pour la configuration initiale d'ESET Remote Administrator.
Cliquez sur Admin > Aperçu de l'état pour afficher des informations d'état détaillées sur ESET Remote
Administrator dans les sections suivantes (utilisez les boutons pour exécuter les tâches) :
Aide et assistance : vous pouvez regarder nos vidéos pédagogiques et consulter la base de connaissances
ESET pour obtenir des informations supplémentaires sur ESET Remote Administrator.
Utilisateurs : vous pouvez créer différents utilisateurs et configurer leurs autorisations pour permettre
différents niveaux de gestion dans ESET Remote Administrator. Le compte d'administrateur ERA par défaut a été
créé pendant l'installation. Il n'est pas recommandé d'utiliser ce compte en tant que compte d'utilisateur normal.
Créez plutôt un compte d'utilisateur natif et utilisez-le en tant que compte par défaut dans ESET Remote
Administrator.
Certificats (facultatif) : si vous souhaitez utiliser d'autres certificats que ceux par défaut fournis par ERA, vous
pouvez créer des autorités de certification et des certificats homologues pour des composants ESET Remote
Administrator distincts afin d'autoriser les communications avec ERA Server.
Licences : ESET Remote Administrator 6 utilise un système de licences ESET entièrement nouveau.
Sélectionnez la méthode de votre choix pour ajouter des licences qui seront utilisées lors de l'activation des
composants ERA et des produits de sécurité ESET sur les ordinateurs clients.
44
Ordinateurs : vous disposez de plusieurs options lorsque vous ajoutez des ordinateurs clients, des serveurs et
des périphériques mobiles du réseau à la structure ERA. Vous pouvez ajouter des ordinateurs et des périphériques
mobiles manuellement ou importer une liste de périphériques. Vous pouvez importer automatiquement les
ordinateurs détectés à l'aide d'ESET RD Sensor ou exécuter une synchronisation des groupes statiques avec Active
Directory, LDAP, VMware, etc.
Agents : il existe plusieurs méthodes pour déployer ERA Agent sur les ordinateurs clients de votre réseau. Vous
pouvez également créer une politique pour ERA Agent afin de modifier l'intervalle de connexion.
Produits : ERA Agent étant déployé, vous pouvez installer des logiciels directement depuis le référentiel ESET
ou spécifier l'emplacement du package d'installation (URL ou dossier partagé). Vous pouvez créer une politique
pour modifier la configuration du produit de sécurité ESET installé sur les ordinateurs clients. Vous pouvez
également changer les paramètres du serveur, si nécessaire.
Paramètres SMTP : ESET Remote Administrator peut être configuré pour se connecter au serveur SMTP afin
d'envoyer des messages électroniques (notifications, messages électroniques d'inscription des périphériques
mobiles, rapports, par exemple).
Objets non valides : cette zone contient la liste des tâches client et serveur, des déclencheurs ou des
notifications comportant des références aux objets non valides ou inaccessibles. Cliquez sur l'un des champs de
résultat pour afficher un menu avec la liste sélectionnée des objets.
Nouveau compte d'utilisateur natif
Une fois connecté à ERA Web Console, créez un ou plusieurs comptes d'utilisateur natif et configurez les jeux
d'autorisations pour permettre différents niveaux de gestion dans ESET Remote Administrator.
IMPORTANT
Il n'est pas recommandé d'utiliser le compte d'administrateur ERA en tant que compte d'utilisateur normal. Ce
compte sert de sauvegarde en cas de problème lié aux comptes d'utilisateur normaux ou de blocage. Vous pouvez
vous connecter à l'aide du compte d'utilisateur pour résoudre ce type de problème.
Pour créer un utilisateur natif, accédez à l'onglet Admin, cliquez sur Droits d'accès > Utilisateurs, puis
sur Nouveau dans la partie inférieure de la page.
REMARQUE
Pour créer correctement un utilisateur, il est recommandé de procéder de la manière suivante :
1. Décidez quel groupe statique sera le groupe résidentiel de l'utilisateur. Créez le groupe en cas de besoin.
2. Décidez quel jeu d'autorisations sera adapté à l'utilisateur. Créez un jeu d'autorisations, si nécessaire.
3. Lisez ce chapitre et créez l'utilisateur.
45
Général
Général
Saisissez un nom d'utilisateur et une description facultative pour le nouvel utilisateur. Sélectionnez Groupe
résidentiel. Il s'agit d'un groupe statique qui contiendra automatiquement tous les objets créés par cet utilisateur.
Définir le mot de passe
Le mot de passe de l'utilisateur doit contenir au moins 8 caractères. Il ne doit pas comporter le nom d'utilisateur.
Compte
Activé : sélectionnez cette option, sauf si vous souhaitez que le compte soit inactif (en vue de l'utiliser
ultérieurement).
Modification obligatoire du mot de passe : sélectionnez cette option pour forcer l'utilisateur à modifier son
mot de passe lors de sa première connexion à ERA Web Console.
Expiration du mot de passe : cette option définit le nombre de jours de validité du mot de passe. Lorsque ce
nombre de jours est atteint, le mot de passe doit être modifié.
Déconnexion automatique (min) : cette option définit la durée d'inactivité (en minutes) après laquelle
l'utilisateur est déconnecté de la console Web.
Les options Nom complet, Adresse électronique de contact et Numéro de téléphone du contact peuvent
être définies pour identifier l'utilisateur.
Jeu d'autorisations
Un utilisateur peut se voir attribuer plusieurs jeux d'autorisations. Vous pouvez sélectionner une compétence
prédéfinie : Jeu d’autorisations du réviseur (droits d’accès en lecture seule pour le groupe Tous), Jeu
d’autorisations de l’administrateur (accès complet au groupe Tous), Jeu d’autorisations d’installation
46
assistée du serveur (droits d'accès minimum pour l'installation assistée du serveur) ou vous pouvez utiliser un
jeu d'autorisations personnalisé. Chaque jeu d'autorisations fournit uniquement des autorisations pour les objets
contenus dans les groupes statiques sélectionnés dans le jeu d'autorisations. Les utilisateurs sans jeu
d'autorisations ne seront pas en mesure de se connecter à la console Web.
AVERTISSEMENT
Tous les jeux d'autorisations prédéfinis possèdent le groupe Tous dans la section Groupes statiques. Sachezle lorsque vous les attribuez à un utilisateur. L'utilisateur disposera de ces autorisations sur tous les objets d'ERA.
Résumé
Passez en revue les paramètres configurés pour cet utilisateur, puis cliquez sur Terminer pour le créer.
Certificats
Les certificats sont importants dans ESET Remote Administrator. Ils sont nécessaires pour que les composants ERA
puissent communiquer en toute sécurité avec ERA Server. Tous les certificats homologues doivent être valides et
signés par une même autorité de certification pour que les composants ERA puissent communiquer correctement.
IMPORTANT
Vous ne pouvez afficher que les certificats qui figurent dans votre groupe résidentiel (à condition que vous
disposiez de l'autorisation Lire pour les certificats). Les certificats qui sont créés lors de l'installation d'ERA se
trouvent dans le groupe Tous. Seuls les administrateurs y ont accès.
En ce qui concerne les certificats, vous disposez des options suivantes :
• Vous pouvez utiliser les certificats automatiquement créés lors de l’installation d’ERA.
• Vous pouvez créer une autorité de certification (AC) ou importer une clé publique que vous emploierez pour
signer le certificat homologue de chacun des composants (ERA Agent, ERA Proxy, ERA Server, ERA MDM ou
l’hôte de l’agent virtuel).
• Vous avez aussi la possibilité d’utiliser votre autorité de certification et vos certificats personnalisés.
REMARQUE
Si vous envisagez de migrer ERA Server vers un nouveau serveur, vous devez exporter ou sauvegarder toutes les
autorités de certificat que vous utilisez, ainsi que le certificat ERA Server. Dans le cas contraire, aucun composant
ERA ne sera en mesure de communiquer avec votre nouveau ERA Server.
Licences - ajouter une nouvelle licence
ESET Remote Administrator possède son propre système de gestion de licences qui est accessible à partir du menu
principal dans Admin > Gestion de licences.
Vous pouvez utiliser l'une des trois méthodes suivantes lors de l'ajout d'une licence : vous pouvez saisir la clé de
licence, fournir les informations d'identification du compte Administrateur Sécurité ou charger un fichier de
licence hors ligne.
IMPORTANT
Dans ERA 6.5, un nouveau modèle de sécurité a changé la gestion des licences. Seuls les administrateurs dont le
groupe résidentiel est défini sur Tous et qui possèdent l'autorisation Écrire sur les licences du groupe résidentiel
peuvent ajouter et supprimer des licences. Chaque licence est identifiée par un ID public et peut contenir une ou
plusieurs unités. Seul un administrateur peut distribuer des licences à d'autres utilisateurs (administrateurs de
niveau inférieur). Une licence n'est pas réductible.
Dans le champ Clé de licence, saisissez ou copiez et collez la clé de licence que vous avez reçue lors de
l'achat de votre solution de sécurité ESET. Si vous utilisez des informations d'identification de licence héritée (nom
d'utilisateur et mot de passe), convertissez-les en clé de licence. Si la licence n'est pas enregistrée, le processus
d'enregistrement est déclenché. Celui-ci a lieu sur le portail ELA (ERA fournit l'URL valide pour l'enregistrement en
fonction de l'origine de la licence).
47
Saisissez les informations d'identification du compte Administrateur Sécurité (ERA affiche toutes les licences
déléguées dans Gestionnaire de licences ERA).
48
Fichier de licence hors ligne : copiez un jeton de fichier de licence spécifique, accédez au portail ESET
License Administrator et ajoutez les informations sur les produits qu'ERA peut gérer.
REMARQUE
Pour plus d'informations sur le téléchargement d'un fichier de licence hors ligne, voir Propriétaire de licence ou
Administrateur Sécurité.
49
Une fois que vous êtes connecté au portail ESET License Administrator, cochez la case en regard de l'option
Autoriser la gestion avec Remote Administrator, puis ajoutez le jeton de serveur (jeton du fichier de licence
d'ERA) au portail ESET License Administrator lors de la génération du fichier de licence hors ligne. Sinon, le fichier
de licence hors ligne n'est pas accepté par ESET Remote Administrator.
50
Retournez dans Gestion de licences ERA, cliquez sur Parcourir pour accéder au fichier de licence hors ligne que
vous avez exporté dans ELA, cliquez sur Charger, puis sur le bouton Ajouter des licences.
Liste des licences regroupées dans les catégories (activées par)
Administrateur Sécurité.
51
Clé de licence,
Licence hors ligne ou
Les licences peuvent être distribuées aux produits de sécurité ESET depuis ERA à l'aide de deux tâches :
• Tâche Installer un logiciel
• Tâche Activation du produit
Déploiement
Après l'installation d'ESET Remote Administrator, il est nécessaire de déployer ERA Agent sur les ordinateurs
clients du réseau. Cette section décrit toutes les méthodes disponibles que vous pouvez utiliser pour déployer ERA
Agent. ERA Agent est un composant très important, car les solutions de sécurité ESET s'exécutant sur les clients
communiquent avec ERA Server exclusivement par le biais de l'Agent.
Après l'installation d'ESET Remote Administrator et la configuration initiale d'ESET Remote Administrator, le
déploiement consiste en les étapes suivantes :
1. Ajouter les ordinateurs clients à la structure de groupe ERA : il est nécessaire de déployer ERA Agent et le
produit ESET Endpoint sur les ordinateurs du réseau.
2. Déployer l'agent : vous pouvez choisir d'effectuer un déploiement local ou un déploiement à distance.
3. Créer une politique à appliquer aux paramètres personnalisés : cette politique est appliquée par l'Agent dès
que les logiciels sont installés. Pour plus d'informations, reportez-vous à l'étape 4.
4. Déployer ESET Endpoint Protection : permet d'utiliser la tâche d'installation de logiciel pour installer les
produits de sécurité ESET.
Si vous rencontrez des problèmes lors du déploiement à distance d'ERA Agent (la tâche de serveur Déploiement
d’agent échoue), reportez-vous aux ressources ESET suivantes :
Dépannage - Déploiement de l'Agent
Dépannage - Connexion de l'Agent
52
Exemples de scénario de déploiement d'ERA Agent
Ajouter un ordinateur client à la structure ERA
Avant de commencer à administrer les ordinateurs clients du réseau, vous devez les ajouter à ESET Remote
Administrator. Pour ce faire, utilisez l'une des méthodes suivantes :
• Synchronisation d'Active Directory
• Utilisation du composant RD Sensor
• Ajout manuel de nouveaux périphériques
• Installation locale d'ERA Agent
Utilisation de la synchronisation d'Active Directory
La synchronisation d'Active Directory est effectuée en exécutant la tâche de serveur Synchronisation des
groupes statiques. Il s'agit d'une tâche par défaut prédéfinie que vous pouvez choisir d'exécuter
automatiquement lors de l'installation d'ESET Remote Administrator. Si l'ordinateur se trouve dans un domaine, la
synchronisation est effectuée, et les ordinateurs d'Active Directory sont classés dans le groupe Tous par défaut.
Pour démarrer le processus de synchronisation, cliquez sur la tâche et sélectionnez Exécuter maintenant. Si
vous devez créer une autre tâche de synchronisation d'Active Directory, sélectionnez un groupe auquel ajouter les
nouveaux ordinateurs depuis Active Directory. Sélectionnez également les objets d'Active Directory à partir
desquels effectuer la synchronisation et l'action à exécuter sur les doublons. Saisissez les paramètres de
connexion au serveur Active Directory, puis définissez le mode de synchronisation sur Active Directory/Open
Directory/LDAP. Suivez les instructions détaillées de cet article de la base de connaissances ESET.
Utilisation de RD Sensor
Si vous n'utilisez pas la synchronisation d'Active Directory, la méthode la plus simple pour ajouter un ordinateur à
la structure ERA consiste à utiliser RD Sensor. Le composant RD Sensor fait partie du programme d’installation.
Vous pouvez facilement explorer au niveau du détail le rapport Ratio des ordinateurs non administrés. Un
53
graphique situé dans la partie inférieure du tableau de bord Ordinateurs vous permet de voir les ordinateurs non
administrés (cliquez sur la partie rouge du graphique).
Dans le tableau de bord, le rapport Ordinateurs non administrés répertorie maintenant les ordinateurs détectés
par RD Sensor. Pour ajouter un ordinateur, cliquez dessus, puis sur Ajouter. Vous pouvez également utiliser
l'option Ajouter tous les éléments affichés.
Si vous ajoutez un seul ordinateur, vous pouvez utiliser un nom prédéfini ou indiquer le vôtre (il s'agit d'un nom
54
d'affichage qui sera utilisé uniquement par ERA Web Console, et non d'un nom d'hôte réel). Vous pouvez
également ajouter une description si vous le souhaitez. Si cet ordinateur existe déjà dans votre répertoire ERA,
vous en êtes averti et pouvez choisir l'action à exécuter sur le doublon. Les options disponibles sont les suivantes :
Déployer l'agent, Ignorer, Réessayer, Déplacer, Dupliquer et Annuler. Une fois l'ordinateur ajouté, une
fenêtre indépendante s'affiche avec l'option Déployer l'agent.
Si vous cliquez sur Ajouter tous les éléments affichés, la liste des ordinateurs à ajouter s'affiche. Cliquez sur
en regard du nom d'un ordinateur spécifique si vous ne souhaitez pas l'inclure pour l'instant dans votre répertoire
ERA. Lorsque vous avez terminé de supprimer des ordinateurs de la liste, cliquez sur Ajouter. Après avoir cliqué
sur Ajouter, sélectionnez l'action à exécuter lorsqu'un doublon est détecté (l'affichage peut prendre quelques
instants en fonction du nombre d'ordinateurs dans la liste) : Ignorer, Réessayer, Déplacer, Dupliquer et
Annuler. Une fois une option sélectionnée, une fenêtre indépendante répertoriant tous les ordinateurs ajoutés
s'affiche. Elle propose une option Déployer les agents pour effectuer le déploiement sur ces ordinateurs.
Les résultats de l’analyse de RD Sensor sont écrits dans un fichier journal appelé detectedMachines.log. Ce
fichier contient la liste des ordinateurs détectés sur votre réseau. Vous pouvez trouver le fichier
detectedMachines.log ici :
• Windows
C:\ProgramData\ESET\Rouge Detection Sensor\Logs\detectedMachines.log
• Linux
/var/log/eset/RogueDetectionSensor/detectedMachines.log
Ajouter des ordinateurs
Cette fonctionnalité permet d'ajouter manuellement des ordinateurs ou des périphériques mobiles qui ne sont
pas détectés ou ajoutés automatiquement. L'onglet Ordinateurs ou Groupe permet d'ajouter de nouveaux
ordinateurs ou périphériques mobiles.
1. Pour ajouter un ordinateur, cliquez sur Ordinateurs, sur Ajouter, puis sélectionnez Ordinateurs (vous
pouvez également cliquer sur l'icône représentant un engrenage
cliquer sur Ajouter).
en regard du groupe statique existant et
2. Utilisez le menu déroulant Résolution des conflits pour sélectionner l'action à exécuter si un ordinateur
que vous ajoutez existe déjà dans ERA :
• Demander en cas de détection de conflits : lorsqu'un conflit est détecté, le programme vous demande
de sélectionner une action (voir les options ci-dessous).
55
• Ignorer les ordinateurs en conflit : les ordinateurs en double ne sont pas ajoutés.
• Déplacer les ordinateurs en conflit vers d’autres groupes : les ordinateurs en conflit sont déplacés de
leur groupe d'origine vers le groupe Tous.
• Dupliquer les ordinateurs en conflit : les nouveaux ordinateurs sont ajoutés avec des noms différents.
3. Groupe parent : sélectionnez un groupe parent existant, puis cliquez sur OK.
4. Saisissez l'adresse IP ou le nom d'hôte d'un ordinateur à ajouter. ESET Remote Administrator le recherche
sur le réseau. Vous pouvez éventuellement saisir une description des ordinateurs.
4. Cliquez sur + Ajouter un périphérique pour ajouter d'autres ordinateurs. Si vous souhaitez supprimer un
ordinateur de la liste des périphériques, cliquez sur l'icône de la Corbeille ou sur Supprimer tout.
5. Vous pouvez également cliquer sur Importer un fichier CSV pour charger un fichier .csv contenant la
liste des ordinateurs à ajouter. Pour plus d'informations, consultez Importer un fichier CSV.
6. Lorsque vous avez terminé vos modifications, cliquez sur Ajouter.
REMARQUE
L'ajout de plusieurs ordinateurs peut prendre plus de temps. Une recherche DNS inversée peut être effectuée.
Une fois que vous avez cliqué sur Ajouter, une fenêtre contextuelle s'ouvre. Celle-ci contient la liste des
périphériques à ajouter. Vous pouvez cliquer sur OK ou Déployer l'agent.
7. Si vous avez cliqué sur Déployer l'agent, sélectionnez le type de déploiement à effectuer :
56
Processus de déploiement de l'Agent
Le déploiement d'ERA Agent peut être effectué de plusieurs manières différentes : Vous pouvez déployer l'Agent
localement ou à distance :
• Déploiement local : à l'aide d'un package d'installation tout en un (ERA Agent et produit de sécurité ESET), des
programmes d'installation Agent Live ou du téléchargement d'ERA Agent à partir d'ESET.
• Déploiement à distance : il est recommandé d'utiliser cette méthode pour déployer ERA Agent sur un grand
nombre d'ordinateurs clients.
57
Déploiement local
Cette méthode de déploiement est destinée aux installations sur site. Elle consiste à créer ou à télécharger un
package d'installation et à autoriser l'accès à celui-ci via un dossier partagé ou à le distribuer à l'aide d'une clé USB
(ou par courrier électronique). Le package d'installation doit être installé par un administrateur ou un utilisateur
avec des privilèges d'administrateur.
REMARQUE
Il est recommandé d'utiliser un déploiement local dans le cadre d'un réseau de petite taille (50 ordinateurs au
maximum). Pour les réseaux de plus grande taille, vous pouvez déployer ERA Agent à l'aide de GPO et SCCM.
Le déploiement local peut être effectué de trois manières différentes :
Créer un programme d’installation tout-en-un (Windows uniquement)
Créer le programme d’installation Agent Live
Télécharger l’agent depuis le site Web d’ESET
Déploiement local et autorisation
58
Pour plus d'informations sur l'autorisation d'un utilisateur à déployer ERA Agent localement, suivez les instructions
fournies dans cet exemple.
REMARQUE
Souvenez-vous que l'utilisateur peut utiliser des certificats lors de la création de programmes d'installation. Un
utilisateur doit disposer de l'autorisation Utiliser pour les Certificats avec un accès au groupe statique qui
contient les certificats. Si un utilisateur souhaite déployer ERA Agent, il doit se voir attribuer l'autorisation Utiliser
pour l'autorité de certification affectée au certificat serveur actuel. Pour obtenir des informations sur la façon de
répartir l'accès aux certificats et à l'autorité de certification, consultez cet exemple. Pour plus d'informations sur
les droits d'accès, reportez-vous à la liste des autorisations.
Création d'un programme d'installation tout en un de l'agent
La procédure de création d'un package d'installation tout-en-un (comprenant ERA Agent et un produit ESET) est
similaire à celle de l'assistant de démarrage. Le programme d'installation tout-en-un offre toutefois des options de
configuration avancées. Ces options comprennent des paramètres de politique pour ERA Agent et les produits
ESET, le nom d'hôte et le port d'ERA Server, ainsi que la possibilité de sélectionner un groupe parent.
IMPORTANT
Le package d'installation est proposé sous la forme un fichier .exe valide pour les systèmes Microsoft Windows
uniquement.
Cliquez sur Déployer ERA Agent dans la section Liens rapides de la barre de menus. Dans la fenêtre Déployer
l'agent, cliquez sur Créer le programme d'installation sous Créer un programme d’installation tout-enun (Windows uniquement). La fenêtre Créer un programme d’installation tout-en-un s'ouvre.
Création du package
Produit : développez cette section pour sélectionner un fichier d'installation dans la liste des produits ESET
disponibles. Si vous sélectionnez la version 6.3 ou une version antérieure, l'activation automatique du produit ne
fonctionne pas. Vous devrez activer le produit ultérieurement. La version 6.4 ou ultérieure des produits ESET est
activée automatiquement pendant l'installation.
Si vous acceptez les termes du contrat de licence de l'utilisateur final, cochez la case en regard de l'option
J'accepte les termes du Contrat de Licence Utilisateur Final de l'application.
REMARQUE
Si aucun fichier d'installation de produit n'est visible, vérifiez que le référentiel est défini sur SÉLECTION
AUTOMATIQUE. Pour plus d'informations, reportez-vous à la section Paramètres avancés de Paramètres du
serveur.
1. Langue : sélectionnez une langue prise en charge pour le programme d'installation dans la liste déroulante.
2. Licence (facultatif) : vous pouvez utiliser cette option pour ajouter une licence à l'aide de l'une des
méthodes décrites dans la section Licences. Si des licences figurent déjà dans Gestion de licences, sélectionnez
la licence qui sera utilisée pour activer le produit ESET pendant l'installation. Si vous ne choisissez pas de
licence, vous pouvez créer un programme d'installation sans et activer le produit ultérieurement.
Certificat : un certificat homologue et une autorité de certification ERA sont automatiquement choisis en
fonction des certificats disponibles. Si vous souhaitez utiliser un autre certificat que celui qui a été
automatiquement sélectionné, cliquez sur la description du certificat ERA pour afficher la liste des certificats
disponibles et sélectionner celui que vous souhaitez utiliser. Si vous voulez utiliser votre certificat personnalisé,
cliquez sur la case d'option et chargez un fichier de certificat .pfx. Pour obtenir des instructions supplémentaires,
reportez-vous à Certificats personnalisés et ERA.
Si nécessaire, saisissez la Phrase secrète du certificat (si vous avez spécifié une phrase secrète pendant
l'installation d'ERA ou si vous utilisez un certificat personnalisé avec une phrase secrète, par exemple). Sinon,
laissez le champ Phrase secrète du certificat vide.
59
IMPORTANT
Sachez qu'il est possible d'extraire la phrase secrète du certificat, car elle est incorporée dans le fichier
.exe.
Avancé : dans cette section, vous pouvez personnaliser le package d'installation tout-en-un :
3. Vous pouvez éventuellement modifier le nom et saisir une description du package d'installation.
4. Groupe parent (facultatif) : sélectionnez le groupe parent où l'ordinateur sera placé après l'installation.
Si vous souhaitez créer un groupe statique parent, cliquez sur Nouveau groupe statique et utilisez
l'assistant. Le groupe nouvellement créé est automatiquement sélectionné.
5. ESET AV Remover vous aide a désinstaller ou supprimer entièrement d'autres antivirus. Cochez la case si
vous souhaitez l'utiliser.
6. Configuration initiale du programme d’installation : vous pouvez effectuer ici un choix parmi deux
types de configuration :
• Ne pas configurer : seules les politiques qui sont fusionnées dans un groupe statique parent sont
appliquées.
• Sélectionner une configuration dans la liste des politiques : utilisez cette option si vous souhaitez
appliquer une politique de configuration à ERA Agent et/ou au produit ESET. Cliquez sur Sélectionner, puis
effectuez un choix dans la liste des politiques disponibles. Si aucune des politiques prédéfinies ne convient,
vous pouvez créer une politique ou personnaliser d'abord une politique existante. Lorsque vous sélectionnez
de nouveau une politique, la nouvelle politique apparaît dans la liste.
7. Si nécessaire, vous pouvez spécifier le nom d’hôte du serveur et le numéro de port d'ERA Server. Sinon,
conservez les valeurs par défaut.
8. Cliquez sur Créer un package. Les fichiers du package d'installation tout en un sont alors générés pour les
systèmes d'exploitation 32 et 64 bits. Cliquez sur la version de votre choix pour commencer à la télécharger.
Une fois le téléchargement terminé, vous serez invité à sélectionner l'emplacement où stocker le fichier
(ERA_Installer_x32_en_US.exe ou ERA_Installer_x64_en_US.exe, par exemple). Cliquez sur Enregistrer le
fichier.
9. Exécutez le fichier du package d'installation tout-en-un sur un ordinateur client. Pour obtenir des
instructions détaillées, reportez-vous à l'assistant de configuration dans le manuel d'installation.
Créer le programme d’installation Agent Live
Ce type de déploiement d'agent s'avère utile lorsque les options de déploiement local et à distance ne vous
conviennent pas. Dans ce cas, vous pouvez distribuer le programme d'installation Agent Live par courrier
électronique et laisser l'utilisateur le déployer. Vous pouvez également l'exécuter à partir d'un support amovible
(clé USB, par exemple).
REMARQUE
l'ordinateur client doit disposer d'une connexion Internet pour télécharger le package d'installation de l'Agent. Il
doit être également en mesure de se connecter à ERA Server.
Cliquez sur Déployer ERA Agent dans la section Liens rapides de la barre de menus. Dans la fenêtre Déployer
l'agent, cliquez sur le bouton Créer un programme d'installation sous Créer un programme d'installation
Agent Live. La fenêtre Programmes d'installation Agent Live s'ouvre.
Création du package
Certificat : un certificat homologue et une autorité de certification ERA sont automatiquement choisis en
fonction des certificats disponibles. Si vous souhaitez utiliser un autre certificat que celui qui a été
automatiquement sélectionné, cliquez sur la description du certificat ERA pour effectuer un choix dans la liste des
certificats disponibles. Si vous voulez utiliser un certificat personnalisé, cliquez sur la case d'option et chargez
un fichier de certificat .pfx. Pour plus d'informations, reportez-vous à Certificats personnalisés et ERA.
60
Si nécessaire, saisissez la Phrase secrète du certificat (si vous avez spécifié une phrase secrète pendant
l'installation d'ERA ou si vous utilisez un certificat personnalisé avec une phrase secrète, par exemple). Sinon,
laissez le champ Phrase secrète du certificat vide.
Configuration : dans cette section, vous pouvez personnaliser les paramètres suivants du package
d'installation Agent Live :
1. Vous pouvez éventuellement modifier le nom et saisir une description du package d'installation.
2. Nom d'hôte du serveur : si nécessaire, vous pouvez spécifier le nom d'hôte du serveur et le numéro de
port. Sinon, conservez les valeurs par défaut.
3. Groupe parent (facultatif) : sélectionnez le groupe parent où l'ordinateur sera placé après l'installation.
Si vous souhaitez créer un groupe statique parent, cliquez sur Nouveau groupe statique et utilisez
l'assistant. Le groupe nouvellement créé est automatiquement sélectionné.
4. Cliquez sur Obtenir les programmes d'installation pour générer les liens pour les fichiers du
programme d'installation de l'Agent Windows, Linux et MAC.
5. Cliquez sur Télécharger situé en regard du ou des fichiers du programme d'installation à télécharger, puis
enregistrez le fichier zip. Décompressez le fichier sur l'ordinateur client sur lequel vous souhaitez déployer ERA
Agent, puis exécutez le script EraAgentOnlineInstaller.bat (Windows) ou
EraAgentOnlineInstaller.sh (Linux et macOS) pour exécuter le programme d'installation. Pour obtenir
des instructions afin de déployer ERA Agent sur un client à l'aide du programme d'installation Agent Live,
consultez notre article de la base de connaissances.
REMARQUE
si vous exécutez le script sous Windows XP SP2, vous devez installer Microsoft Windows Server 2003
Administration Tools Pack. Sinon, le programme d'installation Agent Live ne s'exécutera pas correctement. Une
fois le pack d'administration installé, vous pouvez exécuter le script du programme d'installation Agent Live.
REMARQUE
Vous pouvez consulter le journal d’état de l’ordinateur client
C:\ProgramData\ESET\RemoteAdministrator\Agent\Logs\status.html pour vérifier qu’ERA Agent fonctionne
correctement. En cas de problème lié à l'Agent (s'il ne se connecte pas à ERA Server, par exemple), reportez-vous
à la section de dépannage.
Pour déployer ERA Agent à l'aide du programme d'installation Agent Live à partir de votre dossier partagé local
sans ESET Repository Download Server, procédez comme suit :
1. Modifiez le fichier EraAgentOnlineInstaller.bat (Windows) ou le script
EraAgentOnlineInstaller.sh (Linux et Mac).
Modifiez les lignes 30 et 33 pour pointer vers les fichiers téléchargés localement. Par exemple :
61
3. Utilisez votre propre URL (dossier partagé local), au lieu de celle indiquée ci-dessous :
IMPORTANT
Vérifiez que le compte d'utilisateur sous lequel s'exécute le package d'installation possède un droit d'accès en
écriture sur le dossier partagé local. Le chemin d'accès peut contenir des espaces, par exemple
\\server\shared folder\Agent_x64.msi (n'utilisez pas des guillemets doubles "").
4. Modifiez la ligne 76 pour remplacer " echo.packageLocation = DownloadUsingHTTPProxy^("!url!",
"!http_proxy_hostname!", "!http_proxy_port!", "!http_proxy_username!",
"!http_proxy_password!"^) "
par echo.packageLocation = "!url!"
5. Enregistrez le fichier.
Télécharger l’agent depuis le site Web d’ESET
Téléchargez le package d'installation d'ERA Agent à partir du site Web d'ESET. Sélectionnez le package selon le
système d'exploitation de l'ordinateur client.
• Windows
• Linux
• macOS
Installation assistée du serveur : à l’aide du package d’installation de l’Agent, cette méthode permet de
télécharger automatiquement les certificats d’ERA Server (méthode de déploiement local recommandée).
62
REMARQUE
Si vous décidez d'autoriser l'installation assistée du serveur à un autre utilisateur, vérifiez que les autorisations
suivantes sont définies :
• L'utilisateur doit disposer de l'autorisation Utiliser pour l'autorité de certification qui a signé le certificat
homologue du serveur. Il doit également posséder l'autorisation Utiliser pour au moins un certificat homologue.
Si aucun certificat de ce type n'existe, l'utilisateur devra disposer de l'autorisation Écrire pour en créer un.
• L'autorisation Écrire pour le groupe statique auquel l'utilisateur souhaite ajouter l'ordinateur.
Installation hors ligne : à l'aide du package d'installation de l'Agent. Lorsque vous utilisez cette méthode de
déploiement, vous devez exporter les certificats et les appliquer manuellement.
Si vous rencontrez des problèmes lors de l'installation d'ERA Agent, consultez le journal d'état sur l'ordinateur
client pour vérifier qu'ERA Agent fonctionne correctement. En cas de problème lié à l'Agent (s'il ne se connecte pas
à ERA Server, par exemple), reportez-vous à Dépannage - Déploiement de l'Agent.
Déployer l'agent localement
Pour déployer ERA Agent localement sur un ordinateur client à l’aide de l’assistant d’installation, procédez comme
suit :
Installation assistée du serveur :
1. Vérifiez que l'option Installation assistée du serveur est sélectionnée, indiquez le hôte du serveur (nom
ou adresse IP) et le port du serveur d'ERA Server, puis cliquez sur Suivant. Le port du serveur par défaut est
2222. Si vous utilisez un autre port, remplacez le port par défaut par le numéro de port personnalisé.
2. Indiquez la méthode utilisée pour la connexion à Remote Administrator Server (ERA Server ou ERA Proxy
Server) dans les champs Hôte du serveur et Port de la console Web. Saisissez les informations
d’identification de connexion de la console Web dans les champs Nom d’utilisateur et Mot de passe.
63
3. Sélectionnez Choisir un groupe statique personnalisé, puis l'option adéquate pour l'ordinateur client
dans le menu déroulant Groupe statique. Cliquez ensuite sur Suivant.
4. Sélectionnez le dossier de destination, puis cliquez sur Suivant.
5. Cliquez sur Installer pour commencer l'installation.
Installation hors connexion :
1. Pour effectuer une installation hors connexion, saisissez 2222 dans le champ Port du serveur,
64
sélectionnez Installation hors connexion, puis cliquez sur Suivant.
2. Pour cette méthode, vous devez indiquer un certificat homologue et une autorité de certification. Pour
plus d'informations sur l'exportation et l'utilisation d'un certificat homologue et d'une autorité de
certification, cliquez ici.
65
REMARQUE
Consultez le journal d'état d'un ordinateur client (situé dans
C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs\status.html ou C:\Documents
and Settings\All Users\Application
Data\Eset\RemoteAdministrator\Agent\EraAgentApplicationData\Logs\status.hmtl)) pour vérifier qu'ERA Agent
fonctionne correctement. En cas de problème lié à l'Agent (s'il ne se connecte pas à ERA Server, par exemple),
reportez-vous à la section Dépannage - Déploiement de l'Agent.
Déploiement à distance
Le déploiement à distance peut être effectué de deux manières différentes :
• GPO et SCCM : cette méthode est recommandée pour le déploiement en masse d’ERA Agent sur des
ordinateurs clients.
• Tâche serveur Déploiement de l'agent : une autre solution que la méthode GPO et SCCM.
• Outil de déploiement : cet outil sert à déployer les packages tout-en-un qui ont été créés dans ERA Web
Console.
IMPORTANT
Pour les déploiements à distance, vérifiez que tous les ordinateurs clients disposent d'une connexion Internet.
Déploiement à distance et autorisations
Si vous souhaitez autoriser un utilisateur à créer des programmes d'installation GPO ou des scripts SCCM,
définissez ses autorisations pour qu'elles correspondent à cet exemple.
Les autorisations suivantes sont nécessaires pour le déploiement de la tâche serveur Agent :
• L'autorisation Écrire pour Groupes et ordinateurs sur lequel le déploiement est effectué.
• L'autorisation Utiliser pour Certificats avec un accès au groupe statique qui contient les certificats.
• L'autorisation Utiliser pour Déploiement de l'agent dans la section Déclencheurs et tâches serveur.
Déploiement de l'Agent à l'aide de GPO et SCCM
En dehors d'un déploiement local ou d'un déploiement à distance à l'aide d'une tâche serveur, vous pouvez
également utiliser des outils d'administration tels que GPO, SCCM, Symantec Altiris ou Puppet.
Pour obtenir des instructions détaillées relatives aux deux méthodes de déploiement courantes d'ERA Agent,
cliquez sur le lien adéquat suivant :
1. Déploiement d'ERA à l'aide de GPO
2. Déploiement d'ERA Agent à l'aide de SCCM
Étapes de déploiement - GPO
Pour déployer ERA Agent sur des clients à l'aide de GPO, procédez comme suit :
Téléchargez le fichier .msi du programme d'installation d' ERA Agent à partir de la page de téléchargement
ESET.
Dans la section Liens rapides de la barre de menus, cliquez sur Déployer ERA Agent.... Une fenêtre
contextuelle s'ouvre. Sélectionnez Utiliser GPO ou SCCM pour le déploiement, puis cliquez sur le bouton
Créer un script pour ouvrir une fenêtre de configuration.
Certificat : un certificat homologue et une autorité de certification ERA sont automatiquement choisis en
fonction des certificats disponibles. Si vous souhaitez utiliser un autre certificat que celui qui a été
automatiquement sélectionné, cliquez sur la description du certificat ERA pour afficher la liste des certificats
disponibles et sélectionner celui que vous souhaitez utiliser. Si vous voulez utiliser votre certificat personnalisé,
66
cliquez sur la case d'option et chargez un fichier de certificat .pfx. Pour plus d'informations, reportez-vous à
Certificats personnalisés et ERA.
Si nécessaire, saisissez la Phrase secrète du certificat (si vous avez spécifié une phrase secrète pendant
l'installation d'ERA ou si vous utilisez un certificat personnalisé avec une phrase secrète, par exemple). Sinon,
laissez le champ Phrase secrète du certificat vide.
Configuration : permet de personnaliser le package d'installation tout en un :
1. Configuration initiale du programme d’installation : vous pouvez effectuer un choix parmi deux types
de configuration :
oNe pas configurer : seules les politiques qui sont fusionnées dans un groupe statique parent sont
appliquées.
oSélectionner une configuration dans la liste des politiques : utilisez cette option si vous souhaitez
appliquer une politique de configuration à ERA Agent. Cliquez sur Sélectionner, puis effectuez un choix dans
la liste des politiques disponibles. Si aucune des politiques prédéfinies ne convient, vous pouvez créer une
politique ou personnaliser d'abord une politique existante. Lorsque vous sélectionnez de nouveau une
politique, la nouvelle politique apparaît dans la liste.
2. Autre : si nécessaire, vous pouvez spécifier le nom d'hôte et le numéro de port d'ERA Server. Sinon,
conservez les valeurs par défaut.
3. Groupe parent (facultatif) : vous pouvez sélectionner un groupe statique existant ou en créer un. Cliquez
sur Sélectionner pour choisir un groupe statique parent pour l'ordinateur client sur lequel sera utilisé le
package d'installation tout en un. Si vous souhaitez créer un groupe statique parent, cliquez sur le bouton
Nouveau groupe statique et utilisez l'assistant. Le groupe nouvellement créé est automatiquement
sélectionné.
4. Sélectionnez Créer un package. Une fenêtre contextuelle s'ouvre contenant le fichier
install_config.ini. Cliquez sur Enregistrer le fichier.
5. Placez le fichier .msi du programme d'installation ERA Agent et le fichier install_config.ini dans un
dossier partagé étant accessible par les clients cibles.
67
IMPORTANT
les ordinateurs clients nécessitent un accès en lecture/exécution à ce dossier partagé.
68
6. Utilisez un objet de politique de groupe existant ou créez-en un (cliquez avec le bouton droit sur GPO, puis
cliquez sur Nouveau). Dans l'arborescence GPMC (Console de gestion des politiques de groupe), cliquez avec
le bouton droit sur l'objet de politique de groupe à utiliser, puis sélectionnez Modifier....
7. Dans Configuration de l'ordinateur, accédez à Politiques > Paramètres du logiciel.
8. Cliquez avec le bouton droit sur Installer un logiciel, sélectionnez Nouveau, puis cliquez sur Package...
pour créer une configuration de package.
69
9. Accédez à l'emplacement du fichier .msi d'ERA Agent. Dans la boîte de dialogue Ouvrir, saisissez le chemin
UNC complet au package d'installation partagé que vous souhaitez utiliser. Par exemple :
\\fileserver\share\filename.msi
REMARQUE
Veillez à utiliser le chemin UNC du package d'installation partagé.
10. Cliquez sur Ouvrir, puis choisissez la méthode de déploiement Avancé.
70
11. Confirmez la configuration du package, puis poursuivez le déploiement GPO.
Étapes de déploiement - SCCM
Pour déployer ERA Agent sur des clients à l'aide de SCCM, procédez comme suit :
Téléchargez le fichier .msi du programme d'installation d'ERA Agent à partir de la page de téléchargement ESET.
Dans la section Liens rapides de la barre de menus, cliquez sur Déployer ERA Agent.... Une fenêtre
contextuelle s'ouvre. Sélectionnez Utiliser GPO ou SCCM pour le déploiement, puis cliquez sur le bouton
Créer un script pour ouvrir une fenêtre de configuration.
71
Certificat : un certificat homologue et une autorité de certification ERA sont automatiquement choisis en
fonction des certificats disponibles. Si vous souhaitez utiliser un autre certificat que celui qui a été
automatiquement sélectionné, cliquez sur la description du certificat ERA pour afficher la liste des certificats
disponibles et sélectionner celui que vous souhaitez utiliser. Si vous voulez utiliser votre certificat personnalisé,
cliquez sur la case d'option et chargez un fichier de certificat .pfx. Pour plus d'informations, reportez-vous à
Certificats personnalisés et ERA.
Si nécessaire, saisissez la Phrase secrète du certificat (si vous avez spécifié une phrase secrète pendant
l'installation d'ERA ou si vous utilisez un certificat personnalisé avec une phrase secrète, par exemple). Sinon,
laissez le champ Phrase secrète du certificat vide.
Configuration : permet de personnaliser le package d'installation tout en un :
1. Configuration initiale du programme d’installation : vous pouvez effectuer un choix parmi deux types
de configuration :
oNe pas configurer : seules les politiques qui sont fusionnées dans un groupe statique parent sont
appliquées.
oSélectionner une configuration dans la liste des politiques : utilisez cette option si vous souhaitez
appliquer une politique de configuration à ERA Agent. Cliquez sur Sélectionner, puis effectuez un choix dans
la liste des politiques disponibles. Si aucune des politiques prédéfinies ne convient, vous pouvez créer une
politique ou personnaliser d'abord une politique existante. Lorsque vous sélectionnez de nouveau une
politique, la nouvelle politique apparaît dans la liste.
2. Autre : si nécessaire, vous pouvez spécifier le nom d'hôte et le numéro de port d'ERA Server. Sinon,
conservez les valeurs par défaut.
3. Groupe parent (facultatif) : vous pouvez sélectionner un groupe statique existant ou en créer un. Cliquez
sur Sélectionner pour choisir un groupe statique parent pour l'ordinateur client sur lequel sera utilisé le
package d'installation tout en un. Si vous souhaitez créer un groupe statique parent, cliquez sur le bouton
Nouveau groupe statique et utilisez l'assistant. Le groupe nouvellement créé est automatiquement
sélectionné.
4. Sélectionnez Créer un package. Une fenêtre contextuelle s'ouvre contenant le fichier
install_config.ini. Cliquez sur Enregistrer le fichier.
5. Placez les fichiers .msi du programme d'installation ERA Agent et le fichier install_config.ini dans un dossier
partagé.
72
IMPORTANT
les ordinateurs clients nécessitent un accès en lecture/exécution à ce dossier partagé.
73
1. Ouvrez la console SCCM, puis cliquez sur Bibliothèque de logiciels. Dans Gestion des applications,
cliquez avec le bouton droit sur Applications, puis choisissez Créer une application. Choisissez Windows
Installer (fichier *.msi).
74
2. Fournissez toutes les informations obligatoires sur l'application, puis cliquez sur Suivant.
75
3. Cliquez avec le bouton droit sur l'application ESET Remote Administrator Agent, cliquez sur l'onglet Types de
déploiement, sélectionnez la seule option de déploiement, puis cliquez sur Modifier.
76
4. Cliquez sur l'onglet Spécifications, puis sur Ajouter. Sélectionnez Système d'exploitation dans le menu
déroulant Condition. Sélectionnez ensuite L'un des dans le menu Opérateur, puis spécifiez les systèmes
d'exploitation que vous allez installer en cochant les cases adéquates. Cliquez sur OK lorsque vous avez
terminé. Pour fermer toutes les fenêtres et enregistrer vos modifications, cliquez sur OK.
77
78
5. Dans la bibliothèque de logiciels System Center Configuration Manager, cliquez avec le bouton droit sur la
nouvelle application, puis sélectionnez Distribuer du contenu dans le menu contextuel. Suivez les
instructions de l'Assistant Déploiement logiciel pour terminer le déploiement de l'application.
79
80
6. Cliquez avec le bouton droit sur l'application, puis sélectionnez Déployer. Suivez les instructions de
l'assistant et choisissez la destination et la collection vers lesquelles déployer l'Agent.
81
82
83
84
85
86
87
Outil de déploiement
L'outil de déploiement permet de distribuer de manière efficace ERA Agent avec un produit ESET sur les
ordinateurs via un réseau. Il offre la possibilité d'utiliser des programmes d'installation personnalisés qui ont été
créés. Il est proposé gratuitement sur le site Web d'ESET sous la forme d'un composant ERA autonome. L'outil de
déploiement est principalement destiné à des déploiements sur des réseaux de petite taille ou de taille moyenne. Il
est disponible uniquement pour les systèmes Windows.
Pour plus d'informations sur les conditions préalables requises et l'utilisation de l'outil, reportez-vous au chapitre
sur l'outil de déploiement du guide d'installation.
Paramètres d'ERA Agent
Vous pouvez configurer des paramètres spécifiques pour ERA Agent à l'aide d'une politique. Il existe des politiques
prédéfinies pour ERA Agent (Connexion : se connecter toutes les (intervalle de connexion de l'Agent) ou
Signalement des applications - Signaler toutes les applications installées (pas seulement les applications
ESET), par exemple). Pour plus d'informations sur l'application d'une politique basée sur l'emplacement, consultez
cet exemple.
Cliquez sur Politiques, développez Politiques intégrées > ESET Remote Administrator Agent, puis modifiez
88
une politique ou créez-en une.
Connexion
• Serveurs auxquels seconnecter : pour ajouter les détails de la connexion à ERA Server (nom d'hôte/adresse
IP et numéro de port), cliquez sur Modifier la liste de serveurs. Il est possible de spécifier plusieurs serveurs ERA
Server. Cela peut s'avérer utile si vous avez modifié l'adresse IP d'ERA Server ou si vous effectuez une migration.
• Limite de données : sélectionnez le nombre maximal d'octets pour l'envoi des données.
• Intervalle deconnexion : sélectionnez un intervalle régulier et spécifiez une valeur pour l'intervalle de
connexion. Vous pouvez également utiliser une expression CRON.
• Certificat (redémarrage requis) : vous pouvez gérer les certificats homologues d'ERA Agent. Cliquez sur
Modifier le certificat et sélectionnez le certificat ERA Agent qu'ERA Agent doit utiliser. Pour plus
d’informations, reportez-vous au chapitre Certificats homologues.
Mises à jour
• Intervalle de mise à jour : intervalle de réception des mises à jour. Sélectionnez un intervalle régulier et
configurez les paramètres (ou vous pouvez utiliser une expression CRON.)
• Serveur de mise à jour : il s'agit du serveur de mise à jour à partir duquel ERA Server reçoit les mises à jour
pour les produits ESET et les composants ERA.
• Type de mise à jour : sélectionnez le type des mises à jour que vous souhaitez recevoir. Vous pouvez choisir
une mise à jour régulière, de version bêta ou retardée. Il n’est pas recommandé de sélectionner les mises à jour
de versions bêta pour les systèmes de production, car cela présente un risque.
Paramètres avancés
• Proxy HTTP : utilisez un serveur proxy pour faciliter le trafic Internet vers les clients de votre réseau.
• WakeUp : ERA Server peut exécuter une réplication instantanée d'ERA Agent sur un ordinateur client. Les
ports UDPv4 et UDPv6 sont utilisés avec les numéros de port par défaut 1237 et 1238. Cela s'avère utile lorsque
vous ne souhaitez pas attendre l'intervalle régulier de connexion d'ERA Agent à ERA Server, quand vous
souhaitez exécuter immédiatement une tâche client sur les clients ou appliquer tout de suite une politique, par
exemple.
• Compatibilité : pour permettre la gestion des produits ESET version 5 ou antérieure par ESET Remote
Administrator Agent, un port d'écoute spécifique doit être défini. Les produits ESET doivent en outre être
configurés pour signaler ce port. L'adresse d'ESET Remote Administrator Server doit être définie sur localhost.
• Système d'exploitation : utilisez les commutateurs (activés par défaut) pour signaler certaines informations
ou certains problèmes sur l'ordinateur client.
• Référentiel : emplacement du référentiel dans lequel sont stockés tous les fichiers d’installation.
REMARQUE
Le référentiel par défaut est SÉLECTION AUTOMATIQUE.
• Diagnostics : activez ou désactivez la transmission des rapports de défaillance à ESET.
• Journalisation : définissez le détail de journal qui détermine le niveau d’informations collectées et
journalisées, de Trace (informations) à Fatal (informations critiques les plus importantes). Le dernier fichier
journal d'ERA Agent se trouve à l'emplacement suivant sur un ordinateur client :
C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs ou C:\Documents and
Settings\All Users\Application Data\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs
• Configuration : la fonctionnalité Configuration protégée par mot de passe est une fonctionnalité de protection
d'ERA Agent (Windows uniquement). Définissez un mot de passe pour activer la protection par mot de passe
d'ERA Agent. Une fois la politique appliquée, ERA Agent ne peut pas être désinstallé ni réparé sans la fourniture
d'un mot de passe.
IMPORTANT
Si vous oubliez ce mot de passe, vous ne pourrez pas désinstaller ERA Agent de l'ordinateur cible.
89
Attribuer
Spécifiez les clients auxquels sera appliquée cette politique. Cliquez sur Attribuer pour afficher tous les groupes
statiques et dynamiques et leurs membres. Sélectionnez l'ordinateur auquel appliquer la politique, puis cliquez sur
OK.
Synthèse
Passez en revue les paramètres de cette politique, puis cliquez sur Terminer.
Création d'une politique pour l'intervalle de connexion d'ERA Agent
Dans cet exemple, une politique pour l'intervalle de connexion d'ERA Agent est créée. Il est recommandé
d'effectuer cette opération avant de tester le déploiement en masse dans votre environnement.
Créez un groupe statique. Ajoutez une nouvelle politique en cliquant sur Admin > Politiques. Cliquez ensuite sur
Politiques dans la partie inférieure, puis sélectionnez Nouveau....
General
Saisissez un nom pour la nouvelle politique (Intervalle de connexion de l'Agent, par exemple). Le champ
Description est facultatif.
Paramètres
Sélectionnez ESET Remote Administrator Agent dans le menu déroulant Produit.
90
Connexion
Sélectionnez une catégorie dans l'arborescence située à gauche. Dans le volet droit, modifiez les paramètres au
besoin. Chaque paramètre est une règle pour laquelle vous pouvez définir un indicateur. Cliquez sur Modifier
l'intervalle.
Dans le champ Intervalle régulier, remplacez la valeur par l'intervalle de votre choix (60 secondes est la valeur
recommandée), puis cliquez sur Enregistrer.
91
Affecter
Spécifiez les clients (ordinateurs/périphériques mobiles indépendants ou groupes) destinataires de cette politique.
Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez les
clients souhaités, puis cliquez sur OK.
92
Résumé
Passez en revue les paramètres de cette politique, puis cliquez sur Terminer.
Créer une politique pour qu'ERA Agent se connecte au nouveau serveur ERA Server
Cette politique permet de changer le comportement d'ERA Agent en modifiant ses paramètres. Les options
suivantes s'avèrent particulièrement utiles lors de la migration des ordinateurs client vers un nouveau serveur ERA
Server.
Créez une politique pour définir l'adresse IP du nouveau serveur ERA Server, puis attribuez la politique à tous les
ordinateurs client. Sélectionnez Admin > Politiques > Nouveau.
Général
Saisissez un nom pour la politique. Le champ Description est facultatif.
Paramètres
Sélectionnez ESET Remote Administrator Agent dans le menu déroulant, développez Connexion, puis cliquez
sur Modifier la liste de serveurs en regard des serveurs auxquels se connecter.
93
Une fenêtre s'ouvre. Elle contient la liste des serveurs ERA Server auxquels ERA Agent peut se connecter. Cliquez
sur Ajouter, puis saisissez l'adresse IP du nouveau serveur ERA Server dans le champ Hôte. Si vous utilisez un
autre port que le port 2222 par défaut d'ERA Server, indiquez votre numéro de port personnalisé.
94
Utilisez les boutons représentant des flèches pour modifier la priorité des serveurs ERA Server si plusieurs entrées
figurent dans la liste. Vérifiez que le nouveau serveur ERA Server se trouve en haut de la liste en cliquant sur le
bouton représentant une flèche pointant vers le haut, puis cliquez sur Enregistrer.
Affecter
Spécifiez les clients (ordinateurs/périphériques mobiles indépendants ou groupes) destinataires de cette politique.
95
Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez les
clients souhaités, puis cliquez sur OK.
Résumé
Passez en revue les paramètres de cette politique, puis cliquez sur Terminer.
96
Créer une politique pour activer la protection par mot de passe d'ERA Agent
Respectez la procédure suivante pour créer une politique qui appliquera un mot de passe pour protéger l'Agent
ERA. Lorsque Configuration protégée par mot de passe est utilisée, l'Agent ERA ne peut pas être désinstallé ni
réparé sans la fourniture d'un mot de passe. Consultez le chapitre Protection de l'agent pour plus d'informations.
Général
Saisissez un nom pour cette politique. Le champ Description est facultatif.
Paramètres
Sélectionnez ESET Remote Administrator Agent dans la liste déroulante, développez Paramètres avancés,
accédez à Configuration, puis saisissez le mot de passe dans le champ Configuration protégée par mot de
passe. Ce mot de passe sera nécessaire si quelqu'un tente de désinstaller ou de réparer ERA Agent sur un
ordinateur client.
IMPORTANT
Prenez soin d'enregistrer ce mot de passe à un endroit sûr. Il est indispensable de saisir le mot de passe pour
désinstaller l'Agent ERA de l'ordinateur client. Il n'existe pas d'autre moyen de désinstaller ERA Agent sans mot de
passe correct lorsque la politique Configuration protégée par mot de passe est en place.
Affecter
Spécifiez les clients (ordinateurs/périphériques mobiles indépendants ou groupes) destinataires de cette politique.
Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez les
clients souhaités, puis cliquez sur OK.
97
Résumé
Passez en revue les paramètres de cette politique, puis cliquez sur Terminer.
Protection de l'agent
L'Agent ERA est protégé par un mécanisme d'autodéfense. Rôles de cette fonctionnalité :
oProtection des entrées de Registre de l'Agent ERA contre la modification (HIPS)
oProtection des fichiers d'ERA Agent contre la modification, le remplacement, la suppression ou l'altération
(HIPS)
oProtection du processus d'ERA Agent contre l'arrêt
oProtection du service de l'Agent ERA contre l'arrêt, la pause, la désactivation, la désinstallation ou toute
autre mise en péril
Une partie de la protection est assurée par la fonctionnalité HIPS du produit ESET.
REMARQUE
Pour garantir une totale protection de l'Agent ERA, HIPS doit être activé sur un ordinateur client.
Configuration protégée par mot de passe
En plus de l'autodéfense, vous pouvez protéger par mot de passe l'accès à ERA Agent (disponible pour Windows
uniquement). Lorsque la protection par mot de passe est configurée, ERA Agent ne peut pas être désinstallé ni
réparé sans la fourniture du mot de passe correct. Pour définir un mot de passe pour ERA Agent, vous devez créer
une politique pour ERA Agent.
Dépannage - Connexion de l'Agent
Lorsqu'un ordinateur client ne semble pas se connecter à ERA Server, il est recommandé d'effectuer le dépannage
d'ERA Agent localement sur l'ordinateur client.
Par défaut, ERA Agent effectue une synchronisation avec ERA Server toutes les 20 minutes. Vous pouvez modifier
98
ce paramètre en créant une politique pour l'intervalle de connexion d'ERA Agent.
Consultez le dernier fichier journal d'ERA Agent. Il figure à cet emplacement :
C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs
Windows C:\Documents and Settings\All Users\Application
Data\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs
/var/log/eset/RemoteAdministrator/Agent/
Linux
/var/log/eset/RemoteAdministrator/EraAgentInstaller.log
/Library/Application Support/com.eset.remoteadministrator.agent/Logs/
OS X
/Users/%user%/Library/Logs/EraAgentInstaller.log
REMARQUE
pour activer la journalisation complète, créez un fichier factice appelé traceAll sans extension dans le dossier
d'un fichier journal trace.log. Redémarrez ensuite le service ESET Remote Administrator Server pour activer la
journalisation complète dans le fichier trace.log.
• last-error.html : protocole (tableau) qui affiche la dernière erreur enregistrée pendant l'exécution d'ERA
Agent.
• software-install.log : protocole de texte de la dernière tâche d'installation à distance effectuée par ERA
Agent.
• status.html : tableau indiquant l'état actuel des communications (synchronisation) d'ERA Agent avec ERA
Server.
• trace.log : rapport détaillé de toutes les activités d'ERA Agent, y compris les erreurs consignées.
Les problèmes les plus courants qui peuvent empêcher ERA Agent de se connecter à ERA Server sont les suivants :
• Votre réseau interne n'est pas configuré correctement. Vérifiez que l'ordinateur sur lequel ERA Server est
installé peut communiquer avec les ordinateurs client sur lesquels ERA Agent est installé.
• ERA Server n'est pas configuré pour l'écoute sur le port 2222.
• DNS ne fonctionne pas correctement ou les ports sont bloqués par un pare-feu : consultez la liste des ports
utilisés par ESET Remote Administrator ou l'article Quels adresses et ports dois-je ouvrir sur mon pare-feu tiers
pour permettre un fonctionnement optimal de mon produit ESET ? de la base de connaissances.
• Un certificat généré par erreur qui contient des fonctionnalités limitées ou incorrectes et qui ne correspond pas
à la clé publique de l'autorité de certification ERA Server est présent. Créez un autre certificat ERA Agent pour
résoudre ce problème.
Dépannage - Déploiement de l'Agent
Il est possible que vous rencontriez des problèmes lors du déploiement d'ERA Agent. Si c'est le cas, les causes de
l'échec peuvent être multiples. Cette section vous permet d'effectuer les opérations suivantes :
orechercher les raisons de l'échec du déploiement d'ERA Agent ;
orechercher les causes possibles dans le tableau ci-dessous ;
orésoudre le problème et réussir le déploiement.
Windows
1. Pour déterminer les raisons de l'échec du déploiement de l'Agent, accédez à Rapports > Automatisation,
sélectionnez Informations sur les tâches de déploiement d'agent au cours des 30 derniers jours, puis
cliquez sur Générer maintenant.
Un tableau comportant des informations sur le déploiement s'affiche. La colonne Progression affiche les
messages d'erreur associés à l'échec du déploiement de l'Agent.
Si vous avez besoin d'informations plus détaillées, vous pouvez modifier le niveau de détail du journal de suivi
d'ERA Server. Accédez à Admin > Paramètres du serveur > Paramètres avancés > Journalisation, puis
sélectionnez Erreur dans le menu déroulant. Réexécutez le déploiement de l'Agent et au moment de l'échec,
recherchez les dernières entrées du fichier journal de suivi d'ERA Server dans la partie inférieure du fichier. Le
rapport comprend des suggestions pour la résolution du problème.
99
Le dernier fichier figure à l'emplacement suivant :
Journal
ERA
Server
Journal
ERA
Agent
C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs\trace.log
C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs
C:\Documents and Settings\All Users\Application
Data\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs
Pour activer la journalisation complète, créez un fichier factice appelé traceAll sans extension dans le dossier d'un
fichier journal trace.log. Redémarrez le service ESET Remote Administrator Server pour activer la journalisation
complète dans le fichier trace.log.
REMARQUE
en cas de problèmes liés à la connexion d'ERA Agent, consultez Dépannage - Connexion de l'Agent pour obtenir
des informations supplémentaires.
REMARQUE
Si l'installation échoue avec l'erreur 1603, vérifiez le fichier ra-agent-install.log. Il figure à cet emplacement :
C:\Users\%user%\AppData\Local\Temp\ra-agent-install.log sur l'ordinateur cible.
2. Le tableau suivant contient les raisons possibles de l'échec du déploiement de l'Agent :
Message d'erreur
Causes possibles
• Le client n'est pas accessible sur le réseau. Le pare-feu bloque les communications.
• Les ports entrants 135, 137, 138, 139 et 445 ne sont pas ouverts dans le pare-feu sur le
Connexion
client ou dans le Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et
impossible.
d’imprimantes n'est pas utilisé.
• Impossible de résoudre le nom d'hôte du client. Utilisez des noms d'ordinateur FQDN
valides.
• Lorsque vous effectuez un déploiement d'un serveur qui a rejoint un domaine sur un
client qui a rejoint un domaine, utilisez les informations d'identification d'un utilisateur qui
appartient au groupe Administrateur de domaine au format
Domaine\AdministrateurDomaine.
• Lorsque vous effectuez un déploiement d'un serveur qui a rejoint un domaine sur un
client qui a rejoint un domaine, vous pouvez temporairement élever le service ERA Server
du service réseau pour qu'il s'exécute sous le compte d'administrateur de domaine.
• Lorsque vous effectuez un déploiement d'un serveur sur un client qui ne sont pas dans un
même domaine, désactivez le filtrage UAC distant sur l'ordinateur cible.
Accès refusé.
• Lorsque vous effectuez un déploiement d'un serveur sur un client qui ne sont pas dans un
même domaine, utilisez les informations d'identification d'un utilisateur local qui appartient
au groupe Administrateurs au format Admin. Le nom de l'ordinateur cible est
automatiquement ajouté en préfixe à l'identifiant.
• Aucun mot de passe n'est défini pour le compte administrateur.
• Les droits d'accès sont insuffisants.
• Le partage administratif ADMIN$ n'est pas disponible.
• Le partage administratif IPC$ n'est pas disponible.
• L'option Utiliser le partage de fichiers simple est activée.
• Le lien vers le référentiel est incorrect.
Package
introuvable dans le • Le référentiel n'est pas disponible.
référentiel.
• Le référentiel ne contient pas le package requis.
3. Suivez la procédure de dépannage qui correspond à la cause possible :
• Le client n'est pas accessible sur le réseau. - Effectuez un test ping du client à partir d'ERA Server. Si
vous obtenez une réponse, essayez de vous connecter à distance à l'ordinateur client (via le Bureau à distance,
par exemple).
• Le pare-feu bloque les communications. - Vérifiez les paramètres du pare-feu sur le serveur et le client,
ainsi que de tout autre pare-feu existant entre ces deux ordinateurs (le cas échéant).
100
• Impossible de résoudre le nom d'hôte du client. - Les solutions possibles aux problèmes DNS peuvent
inclure, entre autres, les solutions suivantes :
oL'utilisation de la commande nslookup de l'adresse IP et du nom d'hôte du serveur et/ou des clients
rencontrant des problèmes liés au déploiement de l'Agent. Les résultats doivent correspondre aux
informations de l'ordinateur. Par exemple, un nslookup d'un nom d'hôte doit être résolu en adresse IP
affichée par une commande ipconfig sur l'hôte en question. La commande nslookup doit être
exécutée sur les clients et le serveur.
oRecherche manuelle de doublons dans les enregistrements DNS.
• Les ports 2222 et 2223 ne sont pas ouverts dans le pare-feu. - Comme ci-dessus, vérifiez que ces ports
sont ouverts sur tous les pare-feu entre les deux ordinateurs (client et serveur).
• Aucun mot de passe n'est défini pour le compte administrateur. - Définissez un mot de passe correct
pour le compte administrateur (n'utilisez pas de mot de passe vide).
• Les droits d'accès sont insuffisants. - Essayez d'utiliser les informations d'identification de l'administrateur
de domaine lors de la création d'une tâche de déploiement d’agent. Si l'ordinateur client se trouve dans un
groupe de travail, utilisez le compte Administrateur local sur cet ordinateur spécifique.
REMARQUE
Après un déploiement, les ports 2222 et 2223 ne sont pas ouverts dans le pare-feu. Vérifiez que ces ports sont
ouverts sur tous les pare-feu entre les deux ordinateurs (client et serveur).
• Pour activer le compte d'utilisateur Administrateur :
1. Ouvrez une invite de commandes d'administration.
2. Saisissez la commande suivante :
net user administrator /active:yes
• Le partage administratif ADMIN$ n'est pas disponible. - La ressource partagée ADMIN$ doit être
activée sur l'ordinateur client. Vérifiez qu'elle se trouve parmi les autres partages (Démarrer > Panneau de
configuration > Outils d'administration > Gestion de l'ordinateur > Dossiers partagés > Partages).
• Le partage administratif IPC$ n'est pas disponible. - Vérifiez que le serveur peut accéder à IPC$ en
saisissant la commande suivante dans l'invite de commandes du serveur :
net use \\clientname\IPC$
où clientname représente le nom de l'ordinateur cible.
• L'option Utiliser le partage de fichiers simple est activée. - Si un message d'erreur Accès refusé
s'affiche et si vous disposez d'un environnement mixte (composé d'un domaine et d'un groupe de travail),
désactivez la fonctionnalité Utiliser le partage de fichiers simple ou Utiliser l'Assistant Partage sur tous
les ordinateurs rencontrant un problème lié au déploiement de l'Agent. Sous Windows 7, par exemple, procédez
comme suit :
oCliquez sur Démarrer, saisissez dossier dans la zone de Rechercher, puis cliquez sur Options des
dossiers. Cliquez sur l'onglet Affichage, puis, dans la zone Paramètres avancés, faites défiler la liste
jusqu'à la case à cocher Utiliser l'Assistant Partage et décochez-la.
• Le lien vers le référentiel est incorrect. - Dans ERA Web Console, accédez à Admin > Paramètres du
serveur, puis cliquez sur Paramètres avancés > Référentiel. Vérifiez que l'URL du référentiel est correcte.
• Package introuvable dans le référentiel - Ce message d'erreur s'affiche généralement lorsqu'il n'existe
aucune connexion au référentiel ERA. Vérifiez la connexion Internet.
Linux et Mac OS
Si le déploiement de l'Agent ne fonctionne pas sous Linux ou Mac OS, il s'agit généralement d'un problème lié à
SSH. Vérifiez l'ordinateur client pour vous assurer que le démon SSH est en cours d'exécution. Une fois ce
problème résolu, réexécutez le déploiement de l'Agent.
101
Exemples de scénario de déploiement d'ERA Agent
Cette section contient quatre scénarios vérifiés de déploiement d'ERA.
1. Déploiement d'une appliance ERA Server ou d'un serveur Linux ERA Server sur des cibles Windows
n'appartenant pas à un domaine.
2. Déploiement d'un serveur Windows ERA Server à partir d'une source Windows n'appartenant pas à un
domaine sur des cibles Windows n'appartenant pas au domaine.
3. Déploiement d'une appliance ERA Server ou d'un serveur Linux ERA Server sur des cibles Windows
appartenant à un domaine.
4. Déploiement d'un serveur Windows ERA Server à partir d'une source Windows appartenant à un domaine sur
des cibles Windows appartenant au domaine.
Exemples de scénario de déploiement d'ERA Agent sur des cibles n'appartenant pas à
un domaine
1. Déploiement d'une appliance ERA Server ou d'un serveur Linux ERA Server sur des cibles Windows
n'appartenant pas à un domaine.
2. Déploiement d'un serveur Windows ERA Server à partir d'une source Windows n'appartenant pas à un
domaine sur des cibles Windows n'appartenant pas au domaine.
Conditions préalables :
• Réseau local identique.
• Noms FQDN de travail, par exemple : desktop-win7.test.local mappe sur 192.168.1.20, et inversement.
• Nouvelle installation du système d'exploitation à partir de MSDN, avec les paramètres par défaut.
Cibles :
Windows 10 Entreprise
Windows 8.1 Entreprise
Windows 7 Entreprise
1. Créez un utilisateur avec un mot de passe qui appartient au groupe Administrateurs, par exemple « Admin ».
Ouvrez Microsoft Management Console. Pour ce faire, ouvrez la console Exécuter, saisissez « mmc » dans
le champ, puis cliquez sur OK.
2. Ajoutez le composant logiciel enfichable Utilisateurs et groupes locaux à partir du composant logiciel
enfichable Fichier > Ajouter/Supprimer. Ajoutez un nouvel utilisateur dans le dossier Utilisateurs, puis
renseignez les champs obligatoires (n'oubliez pas de renseigner le mot de passe). Dans la section Groupes,
ouvrez les propriétés du groupe Administrateurs, puis ajoutez le nouvel utilisateur au groupe en cliquant sur
le bouton Ajouter.... Saisissez le nom d'utilisateur du nouvel utilisateur dans le champ Entrez les noms
d'objets à sélectionner et vérifiez-le en cliquant sur le bouton Vérifier les noms.
3. Dans Centre Réseau et partage, remplacez le paramètre réseau Réseau public par Réseau privé en
cliquant sur Réseau public à gauche de la section Afficher vos réseaux actifs.
4. Désactivez le Pare-feu Windows pour Réseau privé en cliquant sur l'option Activer ou désactiver le
Pare-feu Windows et en sélectionnant Désactiver le Pare-feu Windows dans les paramètres des
réseaux privés et publics.
5. Vérifiez que l'option Partage de fichiers et d'imprimantes est activée pour Réseau privé en cliquant sur
Modifier les paramètres de partage avancés dans Centre Réseau et partage.
6. Ouvrez l'Éditeur du Registre en saisissant « regedit » dans la console Exécuter, puis recherchez
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
7. Dans le fichier System, créez une valeur DWORD portant le nom LocalAccountTokenFilterPolicy, puis
ouvrez le fichier créé et définissez les données de valeur sur 1.
8. Dans ESET Remote Administrator Web Console, créez une tâche serveur Déploiement d'agent affectée au
102
nom FQDN de l'ordinateur (pour trouver le nom FQDN de l'ordinateur, cliquez avec le bouton droit sur
Ordinateur, puis sélectionnez Propriétés. Le nom FQDN s'affiche en regard du nom complet de
l'ordinateur).
9. Définissez le nom d'hôte facultatif du serveur pour qu'il pointe vers le nom FQDN ou l'adresse IP d'ERA
Server.
10. Définissez le nom d'utilisateur sur « Admin » (pas de préfixe de nom d'ordinateur ou de nom de domaine) et
spécifiez le mot de passe.
11. Sélectionnez le certificat de l'Agent.
12. Exécutez la tâche.
Windows XP Professionnel
1. Créez un utilisateur avec un mot de passe qui appartient au groupe Administrateurs, par exemple « Admin ».
Ouvrez Microsoft Management Console. Pour ce faire, ouvrez la console Exécuter, saisissez « mmc » dans
le champ, puis cliquez sur OK.
2. Ajoutez le composant logiciel enfichable Utilisateurs et groupes locaux à partir du composant logiciel
enfichable Fichier > Ajouter/Supprimer. Ajoutez un nouvel utilisateur dans le dossier Utilisateurs, puis
renseignez les champs obligatoires (n'oubliez pas de renseigner le mot de passe). Dans la section Groupes,
ouvrez les propriétés du groupe Administrateurs, puis ajoutez le nouvel utilisateur au groupe en cliquant sur
le bouton Ajouter.... Saisissez le nom d'utilisateur du nouvel utilisateur dans le champ Entrez les noms
d'objets à sélectionner et vérifiez-le en cliquant sur le bouton Vérifier les noms.
3. Désactivez le Pare-feu Windows en sélectionnant Désactiver dans l'onglet Pare-feu Windows->
Général.
4. Vérifiez que l'option Partage de fichiers et d'imprimantes est activée dans l'onglet Pare-feu Windows
-> Exceptions.
5. Ouvrez la console Exécuter, saisissez secpol.msc, puis appuyez sur OK pour ouvrir Paramètres de
sécurité locaux.
6. Sélectionnez Politiques locales -> Options de sécurité ->Accès réseau : modèle de partage et de
sécurité pour les comptes locaux, puis cliquez avec le bouton droit pour ouvrir les propriétés.
7. Définissez la politique sélectionnée sur Classique - les utilisateurs locaux s'authentifient eux-mêmes.
8. Dans ESET Remote Administrator Web Console, créez une tâche serveur Déploiement d'agent affectée au
nom FQDN de l'ordinateur (pour trouver le nom FQDN de l'ordinateur, cliquez avec le bouton droit sur
Ordinateur, puis sélectionnez Propriétés. Le nom FQDN s'affiche en regard du nom complet de
l'ordinateur).
9. Définissez le nom d'hôte facultatif du serveur pour qu'il pointe vers le nom FQDN ou l'adresse IP d'ERA
Server.
10. Définissez le nom d'utilisateur sur « Admin » (pas de préfixe de nom d'ordinateur ou de nom de domaine) et
spécifiez le mot de passe.
11. Sélectionnez le certificat de l'Agent.
12. Exécutez la tâche.
Exemples de scénario de déploiement d'ERA Agent sur des cibles appartenant à un
domaine
3. Déploiement d'une appliance ERA Server ou d'un serveur Linux ERA Server sur des cibles Windows
appartenant à un domaine.
4. Déploiement d'un serveur Windows ERA Server à partir d'une source Windows appartenant à un domaine sur
des cibles Windows appartenant au domaine.
Conditions préalables :
• Réseau local identique.
• Noms FQDN de travail, par exemple : desktop-win10.era.local mappe sur 10.0.0.2, et inversement.
• Nouvelle installation du système d'exploitation à partir de MSDN, avec les paramètres par défaut.
• Création du domaine era.local avec le nom netbios ERA.
• Création d'un utilisateur AdminDomaine appartenant au groupe de sécurité Administrateurs de domaine dans
le contrôleur de domaine.
103
• Chaque ordinateur a été ajouté au domaine era.local avec l'utilisateur AdminDomaine et cet utilisateur est
Administrateur (Windows 10, 8.1, 7) ou Utilisateur standard (utilisateur avec des droits sous Windows XP).
• L'utilisateur AdminDomaine peut se connecter à chaque ordinateur et exécuter des tâches d'administration
locale.
• Le service Windows ERA Server s'exécute temporairement avec les informations d'identification
ERA\AdminDomaine. Après le déploiement, le service réseau est suffisant. (Aucune modification n'est nécessaire
dans l'appliance ou Linux.)
Cibles :
Windows 10 Entreprise
Windows 8.1 Entreprise
Windows 7 Entreprise
1. Ouvrez Centre Réseau et partage.
2. Vérifiez que le réseau est défini sur Réseau avec domaine dans la section Afficher vos réseaux actifs.
3. Désactivez le Pare-feu Windows pour Réseau avec domaine en cliquant sur l'option Activer ou
désactiver le Pare-feu Windows et en sélectionnant Désactiver le Pare-feu Windows dans les
paramètres des réseaux avec domaine.
4. Vérifiez que l'option Partage de fichiers et d'imprimantes est activée pour Réseau avec domaine en
cliquant sur Modifier les paramètres de partage avancés dans Centre Réseau et partage.
5. Dans ESET Remote Administrator Web Console, créez une tâche serveur Déploiement d'agent affectée au
nom FQDN de l'ordinateur (pour trouver le nom FQDN de l'ordinateur, cliquez avec le bouton droit sur
Ordinateur, puis sélectionnez Propriétés. Le nom FQDN s'affiche en regard du nom complet de
l'ordinateur).
6. Définissez le nom d'hôte facultatif du serveur pour qu'il pointe vers le nom FQDN ou l'adresse IP d'ERA
Server.
7. Définissez le nom d'utilisateur sur ERA\AdminDomaine (il est important d'inclure l'ensemble du domaine) et
spécifiez le mot de passe.
8. Sélectionnez le certificat de l'Agent.
9. Exécutez la tâche.
Windows XP Professionnel
1. Désactivez le Pare-feu Windows en sélectionnant Désactiver dans l'onglet Pare-feu Windows ->
Général.
2. Vérifiez que l'option Partage de fichiers et d'imprimantes est activée dans l'onglet Pare-feu Windows
-> Exceptions.
3. Dans ESET Remote Administrator Web Console, créez une tâche serveur Déploiement d'agent affectée au
nom FQDN de l'ordinateur (pour trouver le nom FQDN de l'ordinateur, cliquez avec le bouton droit sur
Ordinateur, puis sélectionnez Propriétés. Le nom FQDN s'affiche en regard du nom complet de
l'ordinateur).
4. Définissez le nom d'hôte facultatif du serveur pour qu'il pointe vers le nom FQDN ou l'adresse IP d'ERA
Server.
5. Définissez le nom d'utilisateur sur ERA\AdminDomaine (il est important d'inclure l'ensemble du domaine) et
spécifiez le mot de passe.
6. Sélectionnez le certificat de l'Agent.
7. Exécutez la tâche.
104
Installation du produit
Les produits de sécurité ESET peuvent être installés à distance en cliquant sur l'ordinateur client souhaité et en
sélectionnant Nouveau, ou en créant une tâche Installer un logiciel dans le menu Admin > Tâches client.
Cliquez sur Nouveau... pour commencer à configurer la nouvelle tâche.
L'exécution de la tâche client vous indique l'état en cours des tâches client et comprend un indicateur de
progression de la tâche sélectionnée.
General
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
105
Paramètres
Cochez la case en regard de l'option J'accepte les termes du Contrat de Licence Utilisateur Final de
l'application si vous les acceptez. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF.
Cliquez sur <Choisir une licence ESET>, puis sélectionnez la licence adéquate pour le produit installé dans la
liste des licences disponibles.
Cliquez sur <Sélectionner un package> pour sélectionner un package d'installation dans le référentiel
ou indiquez une URL de package. Une liste de packages disponibles s'affiche dans laquelle vous pouvez
sélectionner le produit ESET à installer (ESET Endpoint Security, par exemple). Sélectionnez le package
d'installation souhaité, puis cliquez sur OK. Si vous souhaitez indiquer une URL vers l'emplacement du package
d'installation, saisissez-la ou copiez-la et collez-la (par exemple file://\\pc22\install\ees_nt64_ENU.msi) dans le
champ de texte (n'utilisez pas d'URL qui requiert une authentification).
http://server_address/ees_nt64_ENU.msi : si vous effectez une installation à partir d'un serveur Web public ou
depuis votre propre serveur HTTP.
file://\\pc22\install\ees_nt64_ENU.msi : si vous effectuez l'installation à partir d'un chemin d'accès réseau.
file://C:\installs\ees_nt64_ENU.msi : si vous effectuez l'installation à partir d'un chemin d'accès local.
REMARQUE
1. ERA Server et ERA Agent doivent avoir accès à Internet pour accéder au référentiel et effectuer des
installations. Si vous ne disposez pas d'un accès Internet, vous pouvez installer manuellement le logiciel client.
2. Lorsque vous effectuez une tâche Tâche client > Système d'exploitation > Installation de logiciel sur les
ordinateurs d'un domaine sur lesquels s'exécute ERA, vous devez accorder une autorisation d'accès en lecture sur
le dossier dans lequel sont stockés les programmes d'installation. Pour cela, procédez comme suit :
a.Ajoutez un compte d'ordinateur Active Directory (NewComputer$, par exemple ).
b.Accordez un accès en lecture à NewComputer$ en cliquant avec le bouton droit sur le dossier contenant les
programmes d'installation et en sélectionnant Propriétés > Partage > Partager dans le menu contextuel.
Notez que le symbole $ doit figurer à la fin de la chaîne de nom d'ordinateur.
Si nécessaire, vous pouvez spécifier des paramètres dans le champ Paramètres d’installation. Sinon, laissez ce
106
champ vide. Cochez la case en regard de l'option Redémarrage automatique si nécessaire pour forcer un
redémarrage automatique de l'ordinateur client après l'installation. Vous pouvez également décocher cette option
pour redémarrer manuellement l'ordinateur client.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Installation du produit (ligne de commande)
Les paramètres suivants doivent être utilisés uniquement avec les paramètres réduits, de base ou néant de
l'interface utilisateur. Pour connaître les paramètres de ligne de commande appropriés, reportez-vous à la
documentation de la version de msiexec utilisée.
Paramètres pris en charge :
APPDIR=<chemin>
ochemin : chemin d'accès valide au répertoire.
oRépertoire d'installation de l'application.
oPar exemple : ees_nt64_ENU.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection
APPDATADIR=<chemin>
ochemin : chemin d'accès valide au répertoire.
oRépertoire d'installation des données de l'application.
MODULEDIR=<chemin>
ochemin : chemin d'accès valide au répertoire.
oRépertoire d'installation du module.
ADDEXCLUDE=<liste>
oLa liste ADDEXCLUDE est séparée par des virgules et contient les noms de toutes les fonctionnalités à ne pas
installer ; elle remplace la liste obsolète REMOVE.
oLors de la sélection d'une fonctionnalité à ne pas installer, le chemin d'accès dans son intégralité (c.-à-d.,
toutes ses sous-fonctionnalités) et les fonctionnalités connexes invisibles doivent être explicitement inclus
dans la liste.
oPar exemple : ees_nt64_ENU.msi /qn ADDEXCLUDE=Firewall,Network
REMARQUE
La liste ADDEXCLUDE ne peut pas être utilisée avec ADDLOCAL.
ADDLOCAL=<liste>
oInstallation du composant : liste des fonctionnalités non obligatoires à installer localement.
107
oUtilisation avec les packages .msi ESET : ees_nt64_ENU.msi /qn ADDLOCAL=<list>
oPour plus d'informations sur la propriété ADDLOCAL, voir
http://msdn.microsoft.com/en-us/library/aa367536%28v=vs.85%29.aspx
Règles
oLa liste ADDLOCAL est une liste séparée par des virgules qui contient le nom de toutes les fonctionnalités à
installer.
oLors de la sélection d'une fonctionnalité à installer, le chemin d'accès entier (toutes les fonctionnalité parent)
doit être explicitement inclus.
oPour connaître l'utilisation correcte, reportez-vous aux règles supplémentaires.
Présence de la fonctionnalité
oObligatoire : la fonctionnalité sera toujours installée.
oFacultative : la fonctionnalité peut être désélectionnée pour l'installation.
oInvisible : fonctionnalité logique obligatoire pour que les autres fonctionnalités fonctionnent correctement.
oEspace réservé : fonctionnalité sans effet sur le produit, mais qui doit être répertoriée avec les sousfonctionnalités.
L'arborescence des fonctionnalités d'Endpoint est la suivante :
Arborescence des fonctionnalités
Nom de la fonctionnalité
Ordinateur
Ordinateur/Antivirus et antispyware
Ordinateur/Antivirus et antispyware > Protection en
temps réel du système de fichiers
Ordinateur/Antivirus et antispyware > Analyse de
l'ordinateur
Ordinateur/Antivirus et antispyware > Protection des
documents
Ordinateur/Contrôle de périphérique
Réseau
Réseau/Pare-feu personnel
Internet et messagerie
Internet et messagerie/Filtrage des protocoles
Internet et messagerie/Protection de l'accès Web
Internet et messagerie/Protection du client de
messagerie
Internet et messagerie/Protection du client de
messagerie/Plugins de messagerie
Internet et messagerie/Protection du client de
messagerie/Protection antispam
Internet et messagerie/Filtrage Internet
Miroir de mise à jour
Prise en charge de Microsoft NAP
Ordinateur
Antivirus
Protection en temps réel
Présence de la
fonctionnalité
Obligatoire
Obligatoire
Obligatoire
Analyser
Obligatoire
DocumentProtection
Facultative
Contrôle de périphérique
Réseau
Pare-feu
Internet et messagerie
Filtrage des protocoles
Protection de l'accès Web
Protection du client de
messagerie
Plugins de messagerie
Facultative
Espace réservé
Facultative
Espace réservé
Invisible
Facultative
Facultative
Antispam
Facultative
Filtrage Internet
Miroir de mise à jour
Microsoft NAP
Facultative
Facultative
Facultative
Invisible
Règles supplémentaires
oSi l'une des fonctionnalités Internet et messagerie est sélectionnée en vue de son installation, la
fonctionnalité Filtrage des protocoles invisible doit être explicitement incluse dans la liste.
oSi l'une des sous-fonctionnalités Protection du client de messagerie est sélectionnée en vue de son
installation, la fonctionnalité Plugins de messagerie invisible doit être explicitement incluse dans la liste.
Exemples :
ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,WebAccessProtection,ProtocolFiltering
108
ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,EmailClientProtection,Antispam,MailPlugin
s
Liste des propriétés CFG_ :
CFG_POTENTIALLYUNWANTED_ENABLED=1/0
• 0 : Désactivé, 1 : Activé
• Application potentiellement indésirable
CFG_LIVEGRID_ENABLED=1/0
• 0 : Désactivé, 1 : Activé
• LiveGrid
FIRSTSCAN_ENABLE=1/0
• 0 : Désactiver, 1 : Activer
• Planifier une nouvelle première analyse après l'installation.
CFG_EPFW_MODE=0/1/2/3
• 0 : Automatique, 1 : Interactif, 2 : Politique, 3 : Apprentissage
CFG_PROXY_ENABLED=0/1
• 0 : Désactivé, 1 : Activé
CFG_PROXY_ADDRESS=<ip>
• Adresse IP du proxy.
CFG_PROXY_PORT=<port>
• Numéro de port du proxy.
CFG_PROXY_USERNAME=<user>
• Nom d'utilisateur pour l'authentification.
CFG_PROXY_PASSWORD=<pass>
• Mot de passe pour l'authentification.
Liste des problèmes en cas d'échec de l'installation
• Package d’installation introuvable.
• Une version plus récente du service Windows Installer est requise.
• Une autre version ou un produit en conflit est déjà installé.
• Une autre installation est déjà en cours. Terminez cette installation avant de démarrer l’autre.
• L’installation ou la désinstallation est correctement terminée. L’ordinateur doit être toutefois redémarré.
• Échec de la tâche. Une erreur s'est produite. Vous devez rechercher dans le journal de suivi de l'Agent le code
de retour du programme d'installation.
Mise en service d'un poste de travail
Voir Environnements de mise en service de poste de travail pris en charge pour plus de détails.
Configuration supplémentaire
Une fois que vous avez terminé la configuration initiale, vous pouvez envisager d'exécuter d'autres actions :
Créer/modifier des groupes
Il est recommandé de trier les clients en groupes statiques ou dynamiques selon divers critères. Vous pouvez ainsi
gérer plus facilement les clients et avoir une vue d'ensemble du réseau.
109
Créer une politique
Les politiques servent à transmettre des configurations spécifiques aux produits ESET s’exécutant sur les
ordinateurs clients. Elles vous évitent de devoir configurer manuellement les produits ESET sur chaque client. Une
fois que vous avez créé une politique avec une configuration personnalisée, vous pouvez l’attribuer à un groupe
(statique ou dynamique) en vue d’appliquer vos paramètres à tous les ordinateurs de ce groupe.
Attribuer une politique à un groupe
Comme indiqué ci-dessus, une politique doit être attribuée à un groupe pour entrer en vigueur. Les ordinateurs
appartenant au groupe se verront appliquer la politique. La politique est appliquée et mise à jour à chaque
connexion d’un Agent à ERA Server.
Configurer des notifications et créer des rapports
Nous vous recommandons d’utiliser des notifications et des rapports pour surveiller l’état des ordinateurs clients
dans votre environnement. Par exemple, si vous voulez être informé de la survenue d’un événement en particulier,
ou pour voir ou télécharger un rapport.
Mobile Device Management
Le diagramme suivant illustre la communication entre les composants ESET Remote Administrator et un
périphérique mobile :
REMARQUE
Il n'est pas possible d'effectuer une mise à niveau directe du Connecteur de périphérique mobile ESET version 6.1
(toutes les versions) vers la version 6.5. Il est recommandé d'effectuer une mise à niveau de MDM depuis la
version 6.1 vers la version 6.4, puis vers la version 6.5.
Pour profiter de la fonctionnalité Mobile Device Management dans ESET Remote Administrator, respectez les
étapes suivantes pour installer, inscrire, configurer et appliquer des politiques.
1. Installez le Connecteur de périphérique mobile (MDC) à l'aide du programme d'installation tout-en-un ou
effectuez une installation de composants pour Windows ou Linux. Veillez à remplir les conditions préalables
requises avant l'installation.
110
REMARQUE
Si vous installez le Connecteur de périphérique mobile à l'aide du programme d'installation tout-en-un, des
certificats HTTPS signés par l'autorité de certification ERA sont créés pendant l'installation. (Ces certificats ne sont
pas visibles dans Admin > Certificats > Certificats homologues.)
Pour installer ERA avec le programme d'installation tout-en-un et utiliser un certificat HTTPS tiers, installez ESET
Remote Administrator d'abord, puis remplacez votre certificat HTTPS à l'aide de Politique (dans Politique du
Connecteur de périphérique mobile ESET Remote Administrator > Général > Modifier le certificat >
Certificat personnalisé).
Si vous installez le composant Connecteur de périphérique mobile, vous pouvez utiliser les éléments suivants :
a) certificat signé par l'autorité de certification ERA (Général > Produit : Connecteur de périphérique mobile ;
Hôte : Nom d'hôte/adresse IP du Connecteur de périphérique mobile ; Signer > Méthode de signature :
Autorité de certification ; Autorité de certification : Autorité de certification ERA)
b) chaîne de certificats HTTPS tiers signés par une autorité de certification approuvée par Apple (liste des
autorités de certification approuvées par Apple).
2. Importez la chaîne de certificat HTTPS pour MDM dans le magasin de certificats sur le périphérique MDM.
3. Activez ERA MDC à l'aide d'une tâche client Activation de produit. La procédure est la même que lors de
l'activation d'un produit de sécurité ESET sur un ordinateur client (aucune unité de licence ne sera utilisée).
4. Exécutez une tâche serveur Synchronisation utilisateur (recommandé). Cela vous permet de synchroniser
automatiquement des utilisateurs avec Active Directory ou LDAP pour la Gestion des utilisateurs.
REMARQUE
Si vous ne comptez gérer que des périphériques Android (aucun périphérique iOS), vous pouvez passer à
l'étape 7.
5. Créez un certificat APN/DEP. Ce certificat est utilisé par ERA MDM pour l'inscription de périphériques iOS.
AVERTISSEMENT
Les certificats qui sont ajoutés à votre profil d'inscription doivent l'être également à votre profil DEP.
6. Créez une politique pour le Connecteur de périphérique mobile ESET afin d'activer APNS.
REMARQUE
Si vous effectuez une inscription d'appareil iOS à l'aide du Programme d'inscription des appareils Apple (DEP),
poursuivez ici.
7. Inscrivez les périphériques mobiles à l'aide d'une tâche d'inscription de périphérique. Configurez la tâche
pour inscrire des périphériques pour Android et/ou iOS. Vous pouvez également effectuer cette opération en
procédant de la manière suivante : accédez à l'onglet Ordinateurs ou Groupe, cliquez sur Ajouter >
Périphériques mobiles tout en ayant sélectionné un groupe statique (la commande Ajouter ne peut pas
être utilisée dans les groupes dynamiques).
8. Si vous n'avez pas indiqué de licence pendant l'inscription des périphériques, activez les périphériques
mobiles à l'aide d'une tâche client Activation du produit. Sélectionnez une licence ESET Endpoint Security. Une
unité de licence sera utilisée pour chaque périphérique mobile.
9. Vous pouvez modifier les utilisateurs pour configurer des attributs personnalisés et affecter des périphériques
mobiles si vous n'avez pas attribué d'utilisateurs pendant l'inscription des périphériques.
10. Vous pouvez alors commencer à appliquer des politiques et à gérer des périphériques mobiles. Par exemple,
vous pouvez créer une politique pour MDM iOS - Compte Exchange ActiveSync qui configurera
automatiquement un compte Mail, les Contacts et le Calendrier sur les appareils iOS. Vous pouvez également
appliquer des restrictions sur un périphérique iOS et/ou ajouter une connexion Wi-Fi.
11. Vous pouvez utiliser la commande Réinscrire pour un périphérique mobile qui était endommagé ou dont
les données étaient effacées. Le lien de réinscription est envoyé par courrier électronique.
12. La tâche Arrêter l'administration (désinstaller l'agent ERA) annule l'inscription MDM d'un périphérique
mobile et le supprime d'ERA.
Inscription de périphérique
111
Les périphériques mobiles peuvent être administrés via ERA et le produit de sécurité ESET s'exécutant sur ces
derniers. Pour commencer à administrer les périphériques mobiles, vous devez les inscrire dans ERA (il n'est plus
nécessaire de saisir l'IMEI ou tout autre numéro d'identification du périphérique mobile).
Le diagramme suivant montre la communication d'un périphérique mobile avec le Connecteur de périphérique
mobile (MDC) pendant le processus d'inscription :
Il montre à quel moment l'inscription, la réinscription et la désinscription peuvent être utilisées et explique la
différence entre un périphérique administré et non administré.
• Inscription : l'inscription peut être utilisée uniquement lorsque le périphérique n'est pas administré par MDM.
Dans ce cas, le périphérique ne figure pas dans la section Ordinateurs. Lorsqu'un périphérique est supprimé de
la console web, il ne devient pas non administré. Celui-ci s'affiche dans la console Web après une réplication.
Seul le processus de désinscription peut retirer l'état administré d'un périphérique. Chaque jeton d'inscription est
unique et à usage unique. Une fois qu'il a été utilisé, il ne peut pas être réutilisé.
112
• Réinscription : la réinscription ne peut être utilisée que lorsque le périphérique est administré. Le jeton de
réinscription est toujours différent du jeton d'inscription. Il ne peut aussi être utilisé qu'une seule fois.
Pour réinscrire un périphérique, ouvrez la section Ordinateurs et sélectionnez le périphérique mobile à
réinscrire. Ouvrez le menu Actions et sélectionnez Mobile > Réinscrire.
• Désinscription : la désinscription est la méthode à utiliser pour interrompre l'administration d'un
périphérique. Elle est effectuée à l'aide d'une tâche client Arrêter l'administration. Si le périphérique ne répond
pas, sa suppression peut prendre jusqu'à 3 jours. Si vous souhaitez supprimer le périphérique pour le réinscrire,
utilisez plutôt la réinscription.
REMARQUE
Si vous effectuez une inscription d'appareil iOS à l'aide du Programme d'inscription des appareils Apple (DEP),
poursuivez ici.
Vous pouvez inscrire des périphériques mobiles dans la section Ordinateurs ou Admin > Groupes. Sélectionnez
le groupe statique auquel vous souhaitez ajouter les périphériques mobiles, cliquez sur Ajouter >
Périphériques mobiles, puis sélectionnez l'une des méthodes d'inscription suivantes :
• Inscription par courrier électronique : inscription en masse des périphériques mobiles par courrier
électronique. Cette option est adaptée à l'inscription d'un grand nombre de périphériques mobiles ou lorsque
vous n'avez pas un accès physique à des périphériques mobiles existants. L'utilisation de cette option demande
la participation active de l'utilisateur/du possesseur du périphérique mobile.
• Inscription distincte via un lien ou un code QR : inscription d'un seul périphérique mobile. Vous serez en
mesure d'inscrire un périphérique mobile à la fois et vous devrez répéter le même processus pour chaque
périphérique. Il est recommandé d'utiliser cette option uniquement lorsque le nombre de périphériques à inscrire
est peu élevé. Cette option est adaptée si vous souhaitez que les utilisateurs/possesseurs des périphériques
mobiles n'aient rien à faire. Vous devrez effectuer toutes les tâches d'inscription par vous-même. Vous pouvez
également utiliser cette option lorsque vous disposez de nouveaux périphériques mobiles qui seront remis aux
utilisateurs une fois configurés.
Dépannage :
1. Que dois-je faire si le message d'erreur suivant s'affiche : « Le jeton d'inscription est déjà en
cours d'utilisation ou n'est pas valide. » ?
Il est probable que vous effectuiez une réinscription avec un ancien jeton d'inscription. Créez un jeton de
réinscription dans la console Web et utilisez-le. Il est également possible que vous effectuiez une seconde
inscription trop rapidement après la première. Vérifiez que le jeton de réinscription est différent du premier. Si ce
n'est pas le cas, patientez quelques minutes, puis réessayez de générer un jeton de réinscription.
2. Que dois-je faire si le message d'erreur suivant s'affiche : « échec de la validation du certificat
du service » ?
Ce message d'erreur indique qu'un problème est lié au certificat du service APNS ou GCM. Il est signalé dans ERA
Web Console comme l'un des avertissements suivants sous les alertes de Système MDM :
• Échec de la validation du certificat du service GCM (0x0000000100001002)
• Échec de la validation du certificat du service APNS (0x0000000100001000)
• La validation du certificat du service de commentaires APNS a échoué (0x0000000100001004)
Vérifiez que l'autorité de certification correcte est disponible sur votre système :
• Autorité de certification APNS : Entrust Certification Authority, doit valider le certificat depuis
gateway.push.apple.com:2195
113
• Autorité de certification de commentaires APNS : Entrust Certification Authority, doit valider le certificat
depuis feedback.push.apple.com:2196
• Autorité de certification GCM : GeoTrust Global CA, doit valider le certificat depuis
android.googleapis.com:443
L'autorité de certification souhaitée doit être incluse dans le magasin de certificats sur l'ordinateur hôte MDM. Sous
un système Windows, vous pouvez rechercher « Gérer les certificats racines approuvés ». Sous un système Linux,
l'emplacement du certificat dépend de la distribution utilisée. Voici quelques exemples de destinations de
magasins de certificats :
• sous Debian, Cent OS: /usr/lib/ssl/cert.pem, /usr/lib/ssl/certs;
• sous RedHat : /usr/share/ssl/cert.pem, _/usr/share/ssl/certs;
• la commande openssl version -d renvoie généralement le chemin souhaité.
Si l'autorité de certification souhaitée n'est pas installée sur le système sur lequel Système MDM est exécuté,
installez-la. Après l'installation, redémarrez le service ERA MDC.
AVERTISSEMENT
Soyez prudent. La validation de certificat est une fonctionnalité de sécurité. Si un avertissement s'affiche dans la
console web, cela peut également indiquer une menace de sécurité.
Inscription par courrier électronique
Cette méthode est adaptée à l'inscription en masse des périphériques mobiles. Vous pouvez envoyer un lien
d'inscription par courrier électronique à un nombre quelconque de périphériques. Chaque périphérique mobile
reçoit un jeton à usage unique selon son adresse électronique.
IMPORTANT
Vous devez obligatoirement configurer un serveur SMTP pour l'inscription en masse par courrier électronique.
Accédez à Paramètres du serveur, développez la section Paramètres avancés et indiquez les détails du serveur
SMTP.
1. Pour ajouter de nouveaux périphériques mobiles, accédez à la section Ordinateurs ou Admin > Groupes.
Sélectionnez le groupe statique auquel vous souhaitez ajouter les périphériques mobiles, puis cliquez
sur Ajouter > Périphériques mobiles > Inscription par courrier électronique.
114
2. Connecteur de périphérique mobile : cette option est automatiquement sélectionnée. Si vous disposez
de plusieurs Connecteurs de périphérique mobile, sélectionnez le nom de domaine complet (FQDN) de celui que
vous voulez utiliser. Si vous n’avez pas encore installé le Connecteur de périphérique mobile, reportez-vous aux
chapitres Installation du Connecteur de périphérique mobile - Windows ou Linux pour obtenir des instructions
d’installation.
3. Licence (facultatif) : cliquez sur Sélectionner, puis choisissez la licence utilisée pour l'activation.
Une tâche client Activation du produit est créée pour le périphérique mobile. Une unité de licence est
utilisée (une pour chaque périphérique mobile).
4. Groupe parent : si vous ne disposez pas d'un groupe statique spécifique pour les périphériques mobiles, il
est recommandé d'en créer un (appelé Périphériques mobiles, par exemple). Si un groupe existe déjà, cliquez
sur /Tous/Perdu et trouvé pour ouvrir une fenêtre contextuelle dans laquelle vous pouvez le sélectionner.
5. Liste des périphériques : indiquez les périphériques mobiles à inscrire. Pour ajouter des périphériques
mobiles, vous pouvez utiliser les fonctions suivantes :
• Ajouter un périphérique : une seule entrée. Vous devez saisir manuellement l'adresse électronique
associée au périphérique mobile auquel le courrier électronique d'inscription sera envoyé. Si vous affectez
également un utilisateur au périphérique mobile en cliquant sur Coupler et en sélectionnant l'utilisateur,
l'adresse électronique est remplacée par celle spécifiée dans Gestion des utilisateurs. Si vous souhaitez
ajouter un autre périphérique mobile, cliquez de nouveau sur Ajouter un périphérique et fournissez les
informations obligatoires.
• Sélectionner un utilisateur : vous pouvez ajouter des périphériques en cochant les cases à cocher
d'utilisateur dans Gestion des utilisateurs. Pour faire des corrections à la liste des périphériques mobiles à
inscrire, cliquez sur Découpler. Une fois que vous avez découplé un utilisateur affecté, celui-ci est indiqué
comme n'étant pas couplé. Cliquez sur Coupler pour sélectionner l'utilisateur de votre choix pour un
périphérique non couplé. Cliquez sur l'icône représentant une corbeille pour supprimer une entrée.
• Importer un fichier CSV : méthode qui facilite l'ajout d'un grand nombre de périphériques mobiles.
Chargez un fichier .csv contenant une liste de périphériques à ajouter. (pour plus d'informations,
voir Importer un fichier CSV).
REMARQUE
Lorsque vous utilisez la méthode d'importation de fichier CSV, il est recommandé de spécifier un nom de
périphérique dans chaque entrée. Il s'agit du nom de périphérique affiché dans la section Ordinateurs. Si vous
laissez le champ Nom du périphérique vide, l'adresse électronique est utilisée et s'affiche en tant que nom du
périphérique dans les sections Ordinateurs et Groupes. Cela peut toutefois prêter à confusion, tout
particulièrement si vous utilisez la même adresse électronique pour inscrire plusieurs périphériques. Cette adresse
électronique apparaît plusieurs fois et vous empêche de faire la différence entre les périphériques.
IMPORTANT
Il est recommandé d'affecter au moins un utilisateur à un périphérique mobile. Si vous souhaitez utiliser des
politiques personnalisées sur iOS, un utilisateur doit être affecté à un périphérique.
6. Message électronique d’inscription : modèle de message prédéfini qui contient des informations qui sont
généralement suffisantes. Vous pouvez toutefois personnaliser l'objet et le contenu en ajoutant d'autres
informations destinées à vos utilisateurs. Dans le message électronique d'inscription, les instructions figurent
sous le contenu et contiennent un nom de périphérique (ou une adresse électronique) avec un lien
d'inscription (URL). Si vous utilisez une adresse électronique pour inscrire plusieurs périphériques mobiles, la
liste des périphériques est affichée. De plus, chaque périphérique est associé à un lien d'inscription (URL) qui lui
est propre. Le message électronique contient également des instructions qui doivent être suivies par les
utilisateurs de périphérique mobile (iOS et Android) afin d'effectuer l'inscription.
7. Lorsque vous cliquez sur Inscrire, un message est envoyé à chaque adresse électronique. Il contient les
liens d'inscription adéquats et des instructions.
8. Pour effectuer l'inscription des périphériques mobiles, suivez ces procédures ou laissez les
utilisateurs/possesseurs des périphériques mobiles les suivre :
• Inscription de périphérique Android
• Inscription de périphérique iOS
115
Inscription distincte via un lien ou un code QR
Lorsque vous inscrivez un périphérique mobile à l'aide d'un lien d'inscription ou d'un code QR, vous avez besoin
d'un accès physique au périphérique. De plus, pour pouvoir utiliser le code QR, un lecteur ou un scanner de code
QR doit être installé sur le périphérique mobile.
REMARQUE
Si vous disposez d'un grand nombre de périphériques mobiles, il est recommandé d'utiliser la méthode
d'inscription par courrier électronique.
1. Pour ajouter un nouveau périphérique mobile, accédez à la section Ordinateurs ou Admin > Groupes.
Sélectionnez le groupe statique auquel vous souhaitez ajouter le périphérique mobile, puis cliquez sur
Ajouter > Périphériques mobiles > Inscription distincte via un lien ou un code QR.
2. Nom du périphérique : saisissez le nom du périphérique mobile (ce nom sera affiché dans la liste des
ordinateurs) et éventuellement une description.
3. Utilisateur (facultatif) : il est recommandé d'affecter un utilisateur au périphérique mobile. Cette
opération est requise pour les périphériques iOS, mais facultative pour Android.
4. Connecteur de périphérique mobile : cette option est automatiquement sélectionnée. Si vous disposez
de plusieurs Connecteurs de périphérique mobile, sélectionnez-en un dans la liste en cliquant sur le nom de
domaine complet (FQDN). Si vous n’avez pas encore installé le Connecteur de périphérique mobile, reportezvous aux chapitres Installation du Connecteur de périphérique mobile - Windows ou Linux pour obtenir des
instructions d’installation.
5. Licence (facultatif) : cliquez sur Sélectionner, puis choisissez la licence utilisée pour l'activation.
Une tâche client Activation du produit est créée pour le périphérique mobile. Une unité de licence est
utilisée (une pour chaque périphérique mobile).
6. Groupe parent : si vous ne disposez pas d'un groupe statique spécifique pour les périphériques mobiles, il
est recommandé d'en créer un (appelé Périphériques mobiles, par exemple). Si un groupe existe déjà, cliquez
sur /TOUS/PERDU ET TROUVÉ pour ouvrir une fenêtre contextuelle dans laquelle vous pouvez le sélectionner.
7. Une fois que vous avez cliqué sur Suivant, le lien d'inscription (URL) et le code QR s'affichent. Saisissez
manuellement l'URL complète dans le navigateur Web du périphérique mobile (https://eramdm:9980/token, par
exemple ; le jeton sera différent pour chaque périphérique mobile) ou envoyez cette URL par d'autres moyens
au périphérique mobile. Vous pouvez également utiliser le code QR fourni, ce qui peut être plus pratique que
de saisir l'URL. Sachez toutefois que l'utilisation d'un code QR nécessite l'installation d'un lecteur ou d'un
scanner de code QR sur le périphérique mobile.
116
8. Pour ajouter un autre périphérique mobile, cliquez sur Inscrire un autre périphérique. La page Ajouter un
nouveau périphérique mobile s'affiche. Elle présente les précédentes sélections dans la sélection Général de
sorte que vous n'ayez qu'à saisir le nom du périphérique et affecter un utilisateur. Cliquez ensuite sur Suivant
et suivez les instructions de l'étape 7. Une fois les URL d'inscription et les codes QR générés, cliquez sur
Fermer pour retourner dans la fenêtre précédente.
9. Pour effectuer l'inscription des périphériques mobiles, suivez les instructions détaillées suivantes :
oInscription de périphérique Android
oInscription de périphérique iOS
Inscription de périphérique Android
Quand ESET Endpoint Security pour Android (EESA) est activé sur le périphérique mobile, il existe deux scénarios
d'inscription. Vous pouvez activer ESET Endpoint Security pour Android sur le périphérique mobile à l'aide de la
tâche de client Activation du produit ERA (recommandé). L'autre scénario correspond aux périphériques mobiles
dont l'application ESET Endpoint Security pour Android est déjà activée.
EESA déjà activé : pour inscrire le périphérique, procédez comme suit :
1. Appuyez sur l'URL d'inscription reçue par courrier électronique ou saisissez-la manuellement dans le
navigateur, en incluant le numéro de port ( https://eramdm:9980/<token>, par exemple). Le système peut
vous demander d'accepter un certificat SSL. Cliquez sur le bouton Accepter si vous êtes d'accord, puis sur
Connexion.
117
IMPORTANT
si l'application ESET Endpoint Security n'est pas installée sur le périphérique mobile, vous êtes automatiquement
redirigé vers la boutique Google Play à partir de laquelle vous pouvez la télécharger.
REMARQUE
si la notification Impossible de trouver une application pour ouvrir ce lien s'affiche, essayez d'ouvrir le lien
d'inscription dans le navigateur Web par défaut d'Android.
2. Vérifiez les informations de connexion (port et adresse du serveur Connecteur de périphérique mobile), puis
cliquez sur Connexion.
3. Saisissez le mot de passe du mode administrateur ESET Endpoint Security dans le champ vide, puis appuyez
sur Entrée.
118
4. Ce périphérique mobile est désormais administré par ERA. Appuyez sur Terminer.
EESA pas encore activé : pour activer le produit et inscrire le périphérique, procédez comme suit :
1. Appuyez sur l'URL d'inscription (comportant le numéro de port) et saisissez-le manuellement dans le
navigateur (https://eramdm:9980/<token>, par exemple). Vous pouvez également utiliser le code QR fourni.
Le système peut vous demander d'accepter un certificat SSL. Cliquez sur le bouton Accepter si vous êtes
d'accord, puis sur Connexion.
119
IMPORTANT
si l'application ESET Endpoint Security n'est pas installée sur le périphérique mobile, vous êtes automatiquement
redirigé vers la boutique Google Play à partir de laquelle vous pouvez la télécharger.
REMARQUE
si la notification Impossible de trouver une application pour ouvrir ce lien s'affiche, essayez d'ouvrir le lien
d'inscription dans le navigateur Web par défaut d'Android.
2. Saisissez le nom de l'utilisateur du périphérique mobile.
120
3. Appuyez sur Activer pour activer la protection contre les désinstallations.
121
4. Appuyez sur Activer pour activer l'administrateur de périphérique.
122
5. À ce stade, vous pouvez quitter l'application ESET Endpoint Security pour Android et ouvrir ERA Web Console.
123
6. Dans ERA Web Console, accédez à Admin > Tâches client > Mobile > Activation du produit, puis cliquez
sur Nouveau.
L'exécution de la tâche de client Activation du produit peut prendre du temps sur le périphérique mobile. Une fois
la tâche exécutée, l'application ESET Endpoint Security pour Android est activée. Le périphérique mobile est alors
géré par ERA. L'utilisateur est désormais en mesure d'utiliser l'application ESET Endpoint Security pour Android.
Lorsque l'application ESET Endpoint Security pour Android est ouverte, le menu principal s'affiche :
124
Inscription de périphérique iOS
REMARQUE
Si vous effectuez une inscription d'appareils iOS à l'aide du Programme d'inscription d'appareils Apple (DEP),
poursuivez ici.
1. Appuyez sur l'URL d'inscription (comportant le numéro de port) et saisissez-le manuellement dans le
navigateur (https://eramdm:9980/<token>, par exemple). Vous pouvez également utiliser le code QR fourni.
2. Appuyez sur Installer pour passer à l'écran Installer le profil de l'inscription MDM.
125
3. Appuyez sur Faire confiance pour autoriser l'installation du nouveau profil.
126
4. Après l'installation du nouveau profil, le champ Signé par indiquera que le profil est Non signé. Cela est
normal pour l'inscription MDM. Le profil est en fait signé avec un certificat, même s'il apparaît comme « non
signé ». Il en est ainsi parce qu'iOS ne reconnaît pas encore le certificat.
127
5. Ce profil d'inscription vous permet de configurer des périphériques et de définir des politiques de sécurité
pour des utilisateurs ou des groupes.
IMPORTANT
La suppression de ce profil d'inscription supprime tous les paramètres de l'entreprise (Mail, Calendrier, Contacts,
etc.) et le périphérique mobile iOS n'est pas géré. Si un utilisateur supprime le profil d'inscription, ERA n'aura pas
l'information et l'état du périphérique deviendra
et ensuite
au bout de 14 jours, car le périphérique ne se
connecte pas. Aucune autre indication que le profil d'inscription a été supprimé ne sera fournie.
128
Inscription d'appareils iOS avec le Programme d'inscription d'appareils
Le Programme d'inscription d'appareils Apple (DEP) est la nouvelle méthode utilisée par Apple pour inscrire des
appareils iOS d'entreprise. Avec ce programme, vous pouvez inscrire des appareils iOS sans contact direct avec
ceux-ci et avec une intervention minimale de l'utilisateur. Le Programme d'inscription d'appareils Apple permet
aux administrateurs de personnaliser la configuration des appareils. Il permet également d'empêcher les
utilisateurs de supprimer le profil MDM de l'appareil. Vous pouvez inscrire les appareils iOS que vous possédez déjà
(s'ils répondent aux exigences) et ceux que vous achèterez ultérieurement. Pour plus d'informations sur le
Programme d'inscription d'appareils Apple, reportez-vous au guide du Programme d'inscription d'appareils Apple et
à la documentation.
Connectez ERA MDM Server au serveur du Programme d'inscription d'appareils Apple :
1. Vérifiez que toutes les exigences du Programme d'inscription d'appareils Apple sont satisfaites en ce qui
concerne le compte et les appareils.
• Compte Programme d'inscription d'appareils :
oLe programme n'est disponible que dans certains pays. Consultez la page Web Programme d'inscription
d'appareils Apple pour déterminer s'il est disponible dans votre pays.
oLes exigences en matière de compte Programme d'inscription d'appareils Apple sont consultables sur ces
129
sites Web : Exigences du programme de déploiement Apple et Exigences du Programme d'inscription
d'appareils Apple.
oVous trouverez ici les exigences détaillées des appareils du Programme d'inscription d'appareils.
2. Connectez-vous à votre compte Programme d'inscription d'appareils Apple. Si vous ne disposez pas de
compte, vous pouvez en créer un ici.
3. Dans la section Programme d'inscription d'appareils à gauche, sélectionnez Gérer les serveurs.
4. Cliquez sur Ajouter un serveur MDM pour ouvrir la fenêtre Ajouter un serveur MDM.
5. Saisissez le nom du serveur MDM (ERA MDM Server, par exemple), puis cliquez sur Suivant.
130
6. Chargez votre clé publique sur le portail Programme d'inscription d'appareils. Cliquez sur Sélectionner le
fichier, sélectionnez le fichier de clé publique (il s'agit du certificat APNS que vous avez téléchargé à partir du
portail Apple Push Certificate), puis cliquez sur Suivant.
7. Vous pouvez à présent télécharger votre jeton Programme d'inscription d'appareils Apple. Ce fichier sera
chargé dans la politique du Connecteur de périphérique mobile ERA sous Programme d'inscription des appareils
Apple (DEP) -> Charger le jeton d'autorisation.
131
Ajoutez l'appareil iOS au Programme d'inscription d'appareils Apple :
L'étape suivante consiste à attribuer les appareils iOS à votre serveur MDM virtuel sur le portail Programme
d'inscription d'appareils Apple. Vous pouvez attribuer les appareils iOS par numéro de série, numéro de commande
ou en chargeant une liste de numéros de série au format CSV. Quelle que soit la méthode utilisée, vous devrez
attribuer l'appareil iOS au serveur MDM virtuel (que vous avez créé au cours des étapes précédentes).
132
AVERTISSEMENT
Lorsqu'un appareil est supprimé sur le portail Programme d'inscription d'appareils, il l'est définitivement. Vous ne
pouvez plus l'ajouter.
Vous pouvez ensuite quitter le portail Programme d'inscription d'appareils Apple et poursuivre dans ERA Web
Console.
AVERTISSEMENT
Si vous inscrivez des appareils iOS qui sont actuellement utilisés (et qui répondent aux exigences), de nouveaux
paramètres de politique leur sont appliqués après un rétablissement des paramètres d'usine.
Pour terminer l'inscription, vous devez charger le certificat APNS dans la politique du Connecteur de périphérique
mobile qui sera attribuée au serveur MDM. (Cette politique jouera le rôle des paramètres du serveur MDM.)
REMARQUE
Si l'appareil iOS affiche un message indiquant qu'il est impossible de télécharger le profil d'ESET pendant
l'inscription, vérifiez que le serveur MDM est correctement configuré dans le Programme d'inscription d'appareils
(il possède les certificats corrects). Assurez-vous également que vous avez affecté le bon appareil iOS au serveur
ERA MDM Server sélectionné dans le Programme d'inscription d'appareils.
Créer une politique pour MDM iOS - Compte Exchange ActiveSync
Cette politique régit tous les paramètres de l'appareil iOS. Ces paramètres s'appliquent aux appareils iOS DEP et
autres que DEP.
• Les paramètres uniquement DEP sont signalés par une icône DEP
. Ils s'appliquent uniquement aux
appareils iOS qui ont été inscrits sur le portail Programme d'inscription des appareils Apple (DEP). Il est
recommandé de ne pas personnaliser ces paramètres DEP uniquement lors de la création d'une politique pour
des appareils iOS autres que DEP.
• Certains paramètres ne peuvent être appliqués que sur un appareil iOS équipé d'une version spécifique d'iOS.
Ces paramètres sont signalés par une icône représentant la version d'iOS.
o iOS version 9.0 et versions ultérieures
o iOS version 9.3 et versions ultérieures
o iOS version 8.1.3 et versions ultérieures
• Si les deux icônes (icône DEP et icône de version d'iOS) figurent en regard d'un paramètre spécifique, le
périphérique doit répondre aux deux exigences (sinon, il ne sera pas possible de gérer correctement le
paramètre).
Reportez-vous à l'exemple de scénario ci-dessous qui explique comment utiliser la politique MDM iOS lorsque vous
souhaitez configurer un compte Mail Microsoft Exchange :
Vous pouvez utiliser cette politique pour configurer des Contacts, un Calendrier et un compte Mail Microsoft
Exchange sur les périphériques mobiles iOS des utilisateurs. L'avantage d'une telle politique est qu'il vous suffit de
la créer une seule fois pour l'appliquer ensuite à de nombreux périphériques mobiles iOS sans devoir les configurer
un à un séparément. C'est possible à l'aide des attributs des utilisateurs d'Active Directory. Vous devez spécifier
une variable, comme ${exchange_login/exchange}. Celle-ci sera remplacée par une valeur d'Active Directory
pour un utilisateur en particulier.
Si vous n'utilisez pas Microsoft Exchange ni Exchange ActiveSync, vous pouvez configurer manuellement chaque
service (Comptes de messagerie, Comptes de contacts, Comptes LDAP, Comptes de calendrier et
Comptes de calendrier avec abonnement).
133
L'exemple qui suit illustre la création et l'application d'une nouvelle politique pour configurer automatiquement
Mail, Contacts et Calendrier pour chaque utilisateur d'un périphérique mobile iOS en utilisant le protocole
Exchange ActiveSync (EAS) pour synchroniser ces services.
REMARQUE
Avant de définir cette politique, veillez à avoir effectué les étapes décrites dans Mobile Device Management.
Général
Saisissez un nom pour cette politique. Le champ Description est facultatif.
Paramètres
Sélectionnez ESET Mobile Device Management pour iOS dans la liste déroulante, cliquez sur Autres pour
développer les catégories, puis cliquez sur Modifier en regard de l'option Comptes Exchange ActiveSync.
Cliquez sur Ajouter et spécifiez les détails de votre compte Exchange ActiveSync. Vous pouvez utiliser des
variables pour certains champs (sélectionnez-les dans la liste déroulante), par exemple Utilisateur ou Adresse
électronique. Elles seront remplacées par des valeurs réelles venant de Gestion des utilisateurs lors de l'application
d'une politique.
134
• Nom du compte : saisissez le nom du compte Exchange.
• Hôte Exchange ActiveSync : spécifiez le nom d'hôte du serveur Exchange ou son adresse IP.
• Utiliser SSL : cette option est activée par défaut. Elle indique si le serveur Exchange utilise le protocole SSL
(Secure Sockets Layer) pour l'authentification.
• Domaine : ce champ est facultatif. Vous pouvez saisir le domaine auquel ce compte appartient.
• Utilisateur : nom de connexion Exchange. Sélectionnez la variable appropriée dans la liste déroulante pour
utiliser l'attribut de votre Active Directory pour chaque utilisateur.
• Adresse électronique : sélectionnez la variable appropriée dans la liste déroulante pour utiliser un attribut
de votre Active Directory pour chaque utilisateur.
• Mot de passe : facultatif. Nous recommandons de laisser ce champ vide. S'il est vide, les utilisateurs seront
invités à créer leurs propres mots de passe.
• Jours antérieurs de courrier à synchroniser : sélectionnez dans la liste déroulante le nombre de jours à
synchroniser dans le passé.
• Certificat d'identité : informations d'identification pour la connexion à ActiveSync.
• Autoriser le déplacement des messages : si cette option est activée, les messages peuvent être déplacés
d'un compte à un autre.
• Autoriser la synchronisation des adresses récentes : si cette option est activée, l'utilisateur est autorisé
à synchroniser des adresses utilisées récemment entre périphériques.
• Utiliser uniquement dans Mail : activez cette option si vous ne souhaitez autoriser que l'application Mail à
envoyer des messages électroniques sortants à partir de ce compte.
• Utiliser S/MIME : activez cette option pour utiliser le chiffrement S/MIME pour les messages électroniques
sortants.
• Certificat de signature : informations d'identification pour la signature des données MIME.
• Certificat de chiffrement : informations d'identification pour le chiffrement des données MIME.
• Activer le changement de chiffrement par message : autoriser l'utilisateur à choisir de chiffrer ou non
chaque message.
REMARQUE
Si vous ne spécifiez pas de valeur et laissez le champ vide, les utilisateurs de périphériques mobiles seront invités
à entrer cette valeur. Par exemple, un Mot de passe.
135
• Ajouter un certificat : vous pouvez ajouter des certificats Exchange spécifiques (identité utilisateur,
signature numérique ou certificat de chiffrement) si nécessaire.
REMARQUE
En respectant la procédure qui précède, vous pouvez, si vous le souhaitez, ajouter plusieurs comptes Exchange
ActiveSync. De cette manière, plus de comptes seront configurés sur un périphérique mobile. Au besoin, vous
pouvez également modifier des comptes existants.
Affecter
Spécifiez les clients (ordinateurs/périphériques mobiles indépendants ou groupes) destinataires de cette politique.
136
Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez les
clients souhaités, puis cliquez sur OK.
Résumé
Passez en revue les paramètres de cette politique, puis cliquez sur Terminer.
Créer une politique pour MDC pour activer APNS/DEP pour l'inscription iOS
137
Voici un exemple de création d'une politique pour le Connecteur de périphérique mobile ESET destinée à activer le
service APNS (Apple Push Notification Services) et la fonctionnalité d'inscription de périphériques iOS. Elle est
nécessaire pour l'inscription de périphériques iOS. Avant de configurer cette politique, créez un certificat APN et
faites-le signer par Apple sur le portail de certificats push Apple pour qu'il devienne un certificat signé ou
Certificat APNS. Pour obtenir des instructions pas à pas sur ce processus, consultez la section Certificat APN.
Général
Saisissez un nom pour cette politique. Le champ Description est facultatif.
Paramètres
Sélectionnez Connecteur de périphérique mobile ESET Remote Administrator dans la liste déroulante.
IMPORTANT
Si vous avez installé le serveur MDM à l'aide du programme d'installation tout-en-un (et non pas en tant que
composant ou composant autonome), le certificat HTTPS a été généré automatiquement pendant l'installation.
Cela ne s'applique pas au programme d'installation d'ERA 6.5 ou version ultérieure. Pour tous les autres cas, vous
devez appliquer un certificat HTTPS personnalisé. Vous trouverez des informations supplémentaires à la suite de
la première étape de la rubrique Mobile Device Management.
Vous pouvez utiliser le certificat ERA (signé par l'autorité de certification ERA) ou un certificat personnalisé. Vous
pouvez également définir la date pour Forcer le changement du certificat. Pour plus d'informations, consultez
l'info-bulle en regard de ce paramètre.
Sous Général, accédez à Service de notification Push Apple et téléchargez le Certificat APNS et une Clé
privée APNS.
REMARQUE
Remplacez la chaîne Organization par le nom réel de votre organisation. Ce champ est utilisé par le générateur
de profil d'inscription pour inclure cette information dans le profil.
138
Certificat APNS (signé par Apple) : cliquez sur l'icône du dossier et recherchez le certificat APNS pour le
télécharger. (Il s'agit du fichier que vous avez téléchargé à partir du portail Apple Push Certificates Portal.)
Clé privée APNS : cliquez sur l'icône du dossier et recherchez la clé privée APNS pour la télécharger. (Il s'agit du
fichier que vous avez téléchargé pendant la création du certificat APN/DEP.)
Diagnostics : active ou désactive l'envoi des statistiques des rapports de défaillance anonymes à ESET pour
l'amélioration de l'expérience client.
Journalisation : définissez le détail de journal qui détermine le niveau d’informations collectées et journalisées,
de Trace (informations) à Fatal (informations critiques les plus importantes).
Si vous créez cette politique pour l'inscription iOS avec le Programme d'inscription des appareils Apple, accédez à
Programme d'inscription des appareils Apple (DEP).
Programme d'inscription des appareils Apple (DEP) : ces paramètres sont des paramètres DEP uniquement.
139
AVERTISSEMENT
Après la configuration initiale, si ces paramètres seront modifiés, vous devrez réinitialiser les paramètres d'usine
et réinscrire tous les appareils iOS concernés afin d'appliquer les modifications.
Charger le jeton d'autorisation : cliquez sur l'icône du dossier et recherchez le jeton du serveur DEP. (Il s'agit
du fichier que vous avez téléchargé lors de la création du serveur MDM virtuel à partir du portail Programme
d'inscription des appareils Apple (DEP).)
Mode Supervisé : ce mode est obligatoire pour la plupart des options de politique de périphérique.
Installation obligatoire : l'utilisateur ne sera pas en mesure d'utiliser le périphérique sans l'installation du profil
MDM.
Autoriser l'utilisateur à supprimer le profil MDM : le périphérique doit être en mode Supervisé pour
empêcher l'utilisateur de supprimer le profil MDM.
Ignorer les éléments de configuration : ce paramètre permet de choisir quelles étapes de configuration initiale
seront ignorées pendant la configuration iOS. Vous trouverez des informations supplémentaires sur chacune de ces
étapes dans l'article de la base de connaissances Apple.
Affecter
Sélectionnez le périphérique qui héberge le serveur MDM ciblé par la politique.
Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez
l'instance du Connecteur de périphérique mobile à laquelle vous souhaitez appliquer la politique et cliquez sur OK.
Résumé
Passez en revue les paramètres de cette politique, puis cliquez sur Terminer.
Créer une politique pour appliquer des restrictions sur iOS et ajouter une connexion Wi-Fi
Vous pouvez créer une politique pour périphériques mobiles iOS afin d'appliquer certaines restrictions. Il vous est
140
également possible de définir plusieurs connexions Wi-Fi de sorte que, par exemple, les utilisateurs soient
automatiquement connectés au réseau Wi-Fi de l'entreprise sur différents sites. Cela s'applique également aux
connexions VPN.
Les restrictions que vous pouvez appliquer à un périphérique mobile iOS sont classées en catégories. Ainsi, il est
possible de désactiver FaceTime et l'utilisation de la caméra, de désactiver certaines fonctionnalités d'iCloud,
d'optimiser les options de sécurité et de confidentialité ou de désactiver des applications spécifiques.
REMARQUE
les restrictions qu'il est possible ou non d'appliquer dépendent de la version d'iOS utilisée par les périphériques
clients. iOS 8.x et les versions plus récentes sont prises en charge.
L'exemple suivante illustre la désactivation de la caméra et des apps FaceTime et l'ajout de détails de connexion
Wi-Fi à la liste afin que le périphérique mobile iOS se connecte à un réseau Wi-Fi chaque fois qu'il est détecté. Si
vous utilisez l'option Rejoindre automatiquement les périphériques mobiles iOS se connecteront à ce réseau par
défaut. Le paramètre de la politique prendra le pas sur la sélection manuelle d'un réseau Wi-Fi par l'utilisateur.
Général
Saisissez un nom pour cette politique. Le champ Description est facultatif.
Paramètres
Sélectionnez ESET Mobile Device Management pour iOS, cliquez sur Restrictions pour afficher les catégories.
Utilisez le bouton bascule en regard de Autoriser l'utilisation de la caméra pour la désactiver. La caméra étant
désactivée, FaceTime le sera automatiquement aussi. Si vous ne souhaitez désactiver que FaceTime, laissez la
caméra activée et utilisez le bouton bascule en regard de Autoriser FaceTime pour désactiver l'application.
Après avoir configuré Restrictions, cliquez sur Autres, puis sur Modifier en regard de Liste des connexions
Wi-Fi. Une fenêtre s'ouvre avec la liste des connexions Wi-Fi. Cliquez sur Ajouter et spécifiez les détails de
connexion du réseau Wi-Fi que vous souhaitez ajouter. Cliquez sur Enregistrer.
141
• Identificateur SSID (Service Set Identifier) : identificateur SSID du réseau Wi-FI à utiliser.
• Rejoindre automatiquement : facultatif (activé par défaut), le périphérique rejoint automatiquement ce
réseau.
Paramètres de sécurité :
• Type de chiffrement : sélectionnez le chiffrement approprié dans la liste déroulante. Veillez à ce que cette
valeur corresponde bien aux possibilités du réseau Wi-Fi.
• Mot de passe : saisissez le mot de passe qui sera utilisé pour l'authentification lors de la connexion au réseau
Wi-Fi.
Paramètres du proxy : facultatif. Si votre réseau utilise un proxy, spécifiez les valeurs en conséquence.
Affecter
Spécifiez les clients (ordinateurs/périphériques mobiles indépendants ou groupes) destinataires de cette politique.
142
Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez les
clients souhaités, puis cliquez sur OK.
Résumé
Passez en revue les paramètres de cette politique, puis cliquez sur Terminer.
143
Profil de configuration MDM
Vous pouvez configurer le profil pour imposer des politiques et des restrictions sur le périphérique mobile géré.
Nom du profil
Code secret
Restrictions
Liste des connexions
Wi-Fi
Liste des connexions
VPN
Comptes de
messagerie
Comptes Exchange
ActiveSync
Brève description
Impose aux utilisateurs finaux de protéger leurs périphériques à l'aide de codes secrets
chaque fois qu'ils quittent l'état inactif. Cela garantit le maintien de la protection des
informations confidentielles de l'entreprise sur les périphériques gérés. Si plusieurs
profils définissent des codes secrets sur un même périphérique, c'est la politique la plus
restrictive qui est appliquée.
Les profils de restriction limitent les fonctionnalités disponibles pour les utilisateurs de
périphériques gérés en restreignant l'utilisation d'autorisations spécifiques liées aux
fonctionnalités et aux applications du périphérique, à iCloud, à la sécurité et la
confidentialité.
Les profils Wi-Fi pousse des paramètres Wi-Fi de l'entreprise directement vers des
périphériques gérés pour accès instantané.
Les profile VPN poussent des paramètres de réseau privé virtuel de l'entreprise
directement vers des périphériques gérés pour que les utilisateurs puissent accéder en
toute sécurité à l'infrastructure de l'entreprise à partir de sites distants. Nom de la
connexion : consultez le nom de la connexion affiché sur le périphérique.
Type de connexion : choisissez le type de connexion activé par ce profil. Chaque type
de connexion active différentes fonctionnalités.
Serveur : saisissez le nom d'hôte ou l'adresse IP du serveur avec lequel la connexion
est établie.
Permet à l'administrateur de configurer des comptes de messagerie IMAP/POP3.
Les profils Exchange ActiveSync permettent aux utilisateurs finaux d'accéder à
l'infrastructure de messagerie push de l'entreprise. Il convient de noter que quelques
champs sont préremplis et des options qui ne s'appliquent qu'à iOS 5+ .
CalDAV - Comptes de CalDAV offre des options de configuration permettant aux utilisateurs finaux d'effectuer
calendrier
une synchronisation sans fil avec le serveur CalDAV de l'entreprise.
CardDAV - Comptes de Cette section permet la configuration spécifique de services CardDAV.
contacts
Comptes de calendrier Les calendriers avec abonnement permettent la configuration des calendriers.
avec abonnement
Admin
La section Admin est le composant de configuration principal d'ESET Remote Administrator. Elle contient tous les
outils qu'un administrateur peut utiliser pour gérer les solutions de sécurité des clients et les paramètres d'ERA
Server. Vous pouvez utiliser les outils d'administration pour configurer votre environnement réseau de sorte qu'il
nécessite peu de maintenance. Vous pouvez également configurer des notifications et des tableaux de bord qui
vous maintiendront informé de l'état de votre réseau.
Contenu de cette section
• Aperçu de l’état
• Modèles de groupe dynamique
• Groupes
• Gestion des utilisateurs
• Programmes d'installation
• Quarantaine
• Politiques
• Tâches client
144
• Tâches serveur
• Notifications
• Certificats
• Droits d'accès
• Paramètres du serveur
• Gestion de licences
Groupes
Les groupes peuvent être considérés comme des dossiers dans lesquels les ordinateurs et d'autres objets sont
classés. Depuis ERA version 6.5, le modèle de sécurité utilise des groupes pour stocker des objets et attribuer des
autorisations. Les objets ne sont pas seulement des ordinateurs. Il peuvent être aussi des tâches, des notifications,
politiques, des certificats, des programmes d'installation et des jeux d'autorisations. Pour plus d'informations sur
les droits d'accès, reportez-vous à la liste des autorisations.
Pour les ordinateurs et les périphériques, vous pouvez utiliser des modèles de groupe et des groupes prédéfinis ou
en créer de nouveaux. Les ordinateurs clients peuvent être ajoutés à des groupes. Vous pouvez ainsi les classer et
les structurer selon vos préférences. Vous pouvez ajouter des ordinateurs à un groupe statique ou dynamique.
Les groupes statiques sont manuellement gérés. Les groupes dynamiques sont automatiquement organisés selon
les critères spécifiques d'un modèle. Une fois que les ordinateurs se trouvent dans des groupes, vous pouvez
attribuer des politiques, des tâches ou des paramètres à ces derniers. Les politiques, tâches ou paramètres sont
ensuite appliqués à tous les membres du groupe. Il existe deux types de groupes de clients :
Groupes statiques
Les groupes statiques sont des groupes d'ordinateurs clients sélectionnés et d'autres objets. Les membres de ces
groupes sont statiques et ne peuvent être ajoutés/supprimés que manuellement, et non selon des critères
dynamiques. Un objet ne peut figurer que dans un seul groupe statique. Un groupe statique ne peut être supprimé
que s'il ne contient aucun objet.
Groupes dynamiques
Les groupes dynamiques sont des groupes de périphériques (et non d'autres objets comme des tâches ou des
politiques) clients dont l'appartenance est déterminée par des critères spécifiques. Si un périphérique client ne
répond pas à ces critères, il est supprimé du groupe. Les ordinateurs qui en revanche répondent aux critères sont
automatiquement ajoutés au groupe (raison pour laquelle il s'appelle dynamique).
La fenêtre Groupes est divisée en trois sections :
1. Une liste de tous les groupes et leurs sous-groupes est affichée à gauche. Vous pouvez sélectionner un
groupe et une action pour celui-ci dans le menu contextuel ( situé en regard du nom du groupe). Les options
disponibles sont identiques à celles décrites ci-dessous (actions du bouton Groupe).
2. Les informations détaillées suivantes sur le groupe sélectionné sont affichées dans le volet droit (vous
pouvez passer d'un onglet à un autre) :
• Ordinateurs membres du groupe
• Politiques attribuées à ce groupe
• Tâches attribuées à ce groupe
• Résumé de la description de base du groupe.
3. L'option Groupe et ordinateurs lvous permet d'effectuer toutes les actions suivantes :
145
Bouton Actions du groupe :
Nouveau groupe statique...
Cette option devient disponible lorsque vous cliquez sur un groupe dans la liste de gauche. Ce groupe devient le
groupe parent par défaut, mais vous pouvez modifier ce dernier lorsque vous créez un groupe statique.
Nouveau groupe dynamique...
Cette option devient disponible lorsque vous cliquez sur un groupe dans la liste de gauche. Ce groupe devient le
groupe parent par défaut, mais vous pouvez modifier ce dernier lorsque vous créez un groupe dynamique.
Modifier...
Cette option permet de modifier le groupe sélectionné. Les paramètres sont identiques à ceux de la création d'un
groupe (statique or dynamique).
Déplacer...
Vous pouvez sélectionner un groupe et le déplacer comme sous-groupe d'un autre groupe.
Supprimer
Supprime entièrement le groupe sélectionné.
Importer...
Vous pouvez importer une liste (généralement un fichier texte) d'ordinateurs en tant que membres du groupe
sélectionné. Si les ordinateurs existent déjà en tant que membres de ce groupe, le conflit est résolu selon l'action
sélectionnée :
• Ignorer les ordinateurs en conflit (les ordinateurs en conflit ne sont pas ajoutés)
• Déplacer les ordinateurs en conflit vers d’autres groupes (les ordinateurs en conflit sont déplacés
vers cet emplacement à partir d'autres groupes auxquels ils appartiennent)
• Dupliquer les ordinateurs en conflit (les ordinateurs en conflit sont ajoutés avec des noms différents).
Exporter...
Exportez les membres du groupe (et des sous-groupes, s'ils sont sélectionnés) dans une liste (fichier .txt). Cette
liste peut être révisée ou importée ultérieurement.
Ajouter...
À l'aide de cette option, vous pouvez ajouter un nouveau périphérique.
Analyser
Cette option permet d'exécuter la tâche Analyse à la demande sur le client qui a signalé la menace.
Mettre à jour les modules
Cette option permet d'exécuter la tâche Mise à jour des modules (déclenche manuellement une mise à jour).
Mobile
• Réinscrire... : à l'aide de cette option, vous pouvez créer une tâche client.
• Rechercher : utilisez cette option si vous souhaitez obtenir les coordonnées GPS de votre périphérique.
• Verrouiller : le périphérique est verrouillé lorsqu'une activité suspecte est détectée ou que le périphérique
146
est signalé comme manquant.
• Déverrouiller : le périphérique est déverrouillé.
• Sirène : déclenche à distance une sirène sonore. Celle-ci est déclenchée même si le périphérique est défini
sur muet.
• Effacer : toutes les données stockées sur votre périphérique sont effacées de manière définitive.
Nouvelle tâche...
Vous pouvez créer une tâche de client. Sélectionnez une tâche et configurez la limitation (facultatif) de cette
dernière. La tâche est alors mise en file d'attente selon les paramètres de celle-ci.
Cette option déclenche immédiatement une tâche existante sélectionnée dans une liste de tâches disponibles.
Comme cette tâche est exécutée immédiatement, elle n'est associée à aucun déclencheur.
Gérer les politiques...
Attribuez une politique au groupe sélectionné.
Créer un groupe statique
Trois méthodes permettent de créer un groupe statique :
1. Cliquez sur Ordinateurs > Groupes >
2. Cliquez sur Admin > Groupes >
147
, puis sélectionnez Nouveau groupe statique....
> Nouveau groupe statique....
3. Cliquez sur Admin > Groupes, sélectionnez un groupe statique, puis cliquez sur Groupe.
Créer un groupe dynamique
Les groupes dynamiques sont des groupes de clients sélectionnés selon des critères spécifiques. Si un ordinateur
client ne répond pas aux critères, il est supprimé du groupe. S’il satisfait aux conditions définies, il sera ajouté au
groupe. La sélection du groupe s'effectue automatiquement selon les paramètres configurés, sauf dans le cas d'un
groupe statique.
Trois méthodes permettent de créer un groupe dynamique :
1. Cliquez sur Ordinateurs > Groupes >
148
, puis sélectionnez Nouveau groupe dynamique....
2. Cliquez sur Admin > Groupes >
> Nouveau groupe dynamique....
3. Cliquez sur Admin > Groupes, sur le bouton Groupe, puis sur Nouveau groupe dynamique....
149
L'Assistant Nouveau groupe dynamique s'affiche. Pour obtenir d'autres cas pratiques relatifs à la création d'un
groupe dynamique, reportez-vous aux exemples.
La section Modèles de groupe dynamique contient des modèles prédéfinis et personnalisés selon des critères
différents. Tous les modèles sont affichés dans une liste. Lorsque vous cliquez sur un modèle existant, vous pouvez
le modifier. Pour créer un modèle de groupe dynamique, cliquez sur Nouveau modèle.
Attribuer une tâche à un groupe
Cliquez sur Admin > Groupes, sélectionnez Groupe statique ou Groupe dynamique, cliquez sur
du groupe sélectionné ou sur Groupe, puis sur
150
Nouvelle tâche.
en regard
Vous pouvez également cliquer sur Ordinateurs, sélectionner Statique ou Dynamique, puis cliquer sur
Nouvelle tâche. La fenêtre Assistant Nouvelle tâche client s'ouvre.
Attribuer une politique à un groupe
Une fois une politique créée, vous pouvez l'attribuer à un groupe statique ou dynamique. Il existe deux
méthodes pour attribuer une politique :
1. Sous Admin > Politiques, sélectionnez une politique, puis cliquez sur Affecter un ou des groupes.
Sélectionnez un groupe statique ou dynamique, puis cliquez sur OK.
151
>
Dans la liste, sélectionnez Groupe.
152
2. Cliquez sur Admin > Groupes > Groupe ou sur l'icône
sélectionnez Gérer les politiques.
153
située en regard du nom du groupe, puis
Dans la fenêtre Ordre d'application de la politique, cliquez sur Ajouter une politique. Cochez la case située
en regard de la politique à attribuer à ce groupe, puis cliquez sur OK.
Cliquez sur Fermer. Pour afficher la liste des politiques attribuées à un groupe spécifique, sélectionnez le groupe,
puis cliquez sur l'onglet Politiques.
REMARQUE
pour plus d'informations sur les politiques, reportez-vous au chapitre Politiques.
Groupes statiques
Les groupes statiques sont utilisés pour :
• organiser les périphériques et créer une hiérarchie de groupes et de sous-groupes ;
• organiser les objets ;
• servir de groupes résidentiels pour les utilisateurs.
Les groupes statiques peuvent être uniquement créés manuellement. Les périphériques peuvent être déplacés
manuellement vers les groupes. Un ordinateur ou un périphérique mobile ne peut appartenir qu'à un seul groupe
statique.
Il existe deux groupes statiques par défaut :
• Tous : il s'agit d'un groupe principal pour tous les périphériques d'un réseau ERA Server. Tous les objets créés
par l'administrateur sont contenus (par défaut) dans ce groupe. Il est toujours affiché et il n'est pas possible de
le renommer. L'accès à ce groupe permet aux utilisateurs d'accéder à tous les sous-groupes, c'est pourquoi il
doit être accordé avec soin.
• Perdu et trouvé : il s'agit d'un groupe enfant du groupe Tous. Chaque nouvel ordinateur qui se connecte à
ERA Server pour la première fois est automatiquement affiché dans ce groupe. Ce groupe peut être renommé et
copié, mais il ne peut pas être supprimé ni déplacé.
154
IMPORTANT
Un groupe statique ne peut être supprimé que dans les cas suivants :
• L'utilisateur dispose d'un accès en écriture sur le groupe.
• Le groupe est vide.
Si le groupe statique contient encore quelques objets, l'opération de suppression échoue. Un bouton de filtre
Groupe d'accès est situé dans chaque menu (Admin > Programmes d'installation, par exemple) avec des
objets.
Cliquez sur Sélectionner pour choisir un groupe statique. Seuls les objets
contenus dans ce groupe sont répertoriés dans la vue. Grâce à cette vue filtrée, l'utilisateur peut facilement
manipuler les objets dans un groupe.
Assistant Groupe statique
Sous Ordinateurs > Groupes, sélectionnez un des groupes statiques, cliquez sur
et sélectionnez Nouveau
groupe statique. Vous pouvez créer des groupes statiques dans la section Groupe de l'onglet Admin. Cliquez
sur le bouton Groupes et ou sur
en regard du nom du Groupe statique.
General
Saisissez un nom et une description pour le nouveau groupe. Vous pouvez éventuellement modifier le groupe
parent. Par défaut, le groupe parent correspond au groupe que vous avez sélectionné lorsque vous avez
commencé à créer le groupe statique. Si vous souhaitez modifier le groupe parent, cliquez sur Modifier le groupe
parent, puis sélectionnez-en un autre dans l'arborescence. Le parent du nouveau groupe statique doit être un
groupe statique, car un groupe dynamique ne peut pas comporter de groupes statiques. Cliquez sur Terminer
pour créer le groupe statique.
Gérer les groupes statiques
Accédez à Admin > Groupes, puis sélectionnez le groupe statique à gérer. Cliquez sur le bouton Groupe ou sur
en regard du nom du groupe statique. Un menu déroulant apparaît avec les options suivantes :
155
Actions liées au groupe statique :
Nouveau groupe statique... : cette option devient disponible lorsque vous cliquez sur un groupe dans la
liste de gauche. Ce groupe devient le groupe parent par défaut, mais vous pouvez modifier ce dernier lorsque vous
créez un groupe statique.
Nouveau groupe dynamique...
Cette option devient disponible lorsque vous cliquez sur un groupe dans la liste de gauche. Ce groupe devient le
groupe parent par défaut, mais vous pouvez modifier ce dernier lorsque vous créez un groupe dynamique.
Modifier...
Cette option permet de modifier le groupe sélectionné. Les paramètres sont identiques à ceux de la création d'un
groupe (statique or dynamique).
Déplacer...
Vous pouvez sélectionner un groupe et le déplacer comme sous-groupe d'un autre groupe.
Supprimer
Supprime entièrement le groupe sélectionné.
Importer
Vous pouvez importer une liste (généralement un fichier texte) d'ordinateurs en tant que membres du groupe
sélectionné.
Exporter
Exportez les membres du groupe (et des sous-groupes, s'ils sont sélectionnés) dans une liste (fichier .txt). Cette
liste peut être révisée ou importée ultérieurement.
156
Ajouter...
Ajoute un ordinateur à un groupe statique.
Analyser
Cette option permet d'exécuter la tâche Analyse à la demande sur le client qui a signalé la menace.
Mettre à jour les modules
Cette option permet d'exécuter la tâche Mise à jour des modules (déclenche manuellement une mise à jour).
Mobile
• Réinscrire : à l'aide de cette option, vous pouvez créer une tâche client.
• Rechercher : utilisez cette option si vous souhaitez obtenir les coordonnées GPS de votre périphérique.
• Verrouiller : le périphérique est verrouillé lorsqu'une activité suspecte est détectée ou que le périphérique
est signalé comme manquant.
• Déverrouiller : le périphérique est déverrouillé.
• Sirène : déclenche à distance une sirène sonore. Celle-ci est déclenchée même si le périphérique est défini
sur muet.
• Effacer : toutes les données stockées sur votre périphérique sont effacées de manière définitive.
Exécuter la tâche
Cette option permet de sélectionner les tâches client à exécuter sur les périphériques de ce groupe.
Nouvelle tâche...
Cette option déclenche immédiatement une tâche existante sélectionnée dans une liste de tâches disponibles.
Comme cette tâche est exécutée immédiatement, elle n'est associée à aucun déclencheur.
Dernières tâches utilisées
Liste des dernières tâches client utilisées pour tous les groupes et les ordinateurs.
Gérer les politiques... : attribuez une politique au groupe sélectionné.
Déplacer un groupe statique
Cliquez sur le symbole
situé en regard du nom du groupe, puis sélectionnez Déplacer. Une fenêtre contextuelle
s'affiche. Elle contient l'arborescence des groupes. Sélectionnez le groupe (statique ou dynamique) cible vers
lequel vous souhaitez déplacer le groupe sélectionné. Le groupe cible devient un groupe parent. Vous pouvez
également déplacer des groupes en les faisant glisser et en les déposant dans le groupe cible de votre choix.
REMARQUE
Il n'est pas possible de déplacer un groupe statique vers un groupe dynamique. De même, vous ne pouvez pas
déplacer des groupes statiques prédéfinis (comme le groupe Perdu et trouvé) vers un autre groupe. Tous les
autres groupes peuvent être déplacés librement. Un groupe dynamique peut être membre de n'importe quel autre
groupe, y compris de groupes statiques.
Vous pouvez employer les méthodes suivantes pour déplacer des groupes :
Glisser-déposer : cliquez sur le groupe à déplacer, faites le glisser jusqu'au nouveau groupe parent en
maintenant le bouton de la souris enfoncé, puis relâchez le bouton de la souris.
157
Cliquez sur
> Déplacer, sélectionnez un nouveau groupe parent dans la liste, puis cliquez sur OK.
Cliquez sur
> Modifier > Modifier le groupe parent.
Importer des clients à partir d'Active Directory
Pour importer des clients à partir d'AD, créez une tâche serveur Synchronisation des groupes statiques.
Sélectionnez un groupe auquel vous souhaitez ajouter de nouveaux ordinateurs à partir d'AD. Sélectionnez
également les objets d'Active Directory à partir desquels effectuer la synchronisation et l'action à exécuter sur les
doublons. Saisissez les paramètres de connexion au serveur Active Directory, puis définissez le mode de
synchronisation sur Active Directory/Open Directory/LDAP.
Exporter des groupes statiques
Exporter une liste d'ordinateurs de la structure ERA est une opération simple. Vous pouvez exporter la liste et la
stocker en tant que sauvegarde afin de l'importer ultérieurement (si vous souhaitez restaurer la structure de
groupe, par exemple).
158
REMARQUE
les groupes statiques doivent contenir au moins un ordinateur. Il est impossible d'exporter des groupes vides.
1. Accédez à Admin > Groupes, puis sélectionnez le groupe statique à exporter.
2. Cliquez sur le bouton Groupe situé dans la partie inférieure (un menu contextuel s'affiche).
3. Sélectionnez Exporter.
4. Le fichier est enregistré au format .txt.
REMARQUE
il n'est pas possible d'exporter les groupes dynamiques, car ce ne sont que des liens vers les ordinateurs qui sont
conformes aux critères définis dans les modèles de groupe dynamique.
Importer des groupes statiques
Les fichiers exportés à partir des groupes statiques peuvent être réimportés dans ERA Web Console et inclus dans
votre structure de groupe existante.
159
1. Cliquez sur Groupe (un menu contextuel s'affiche).
2. Sélectionnez Importer.
3. Cliquez sur Parcourir, puis accédez au fichier .txt.
4. Sélectionnez le fichier de groupe, puis cliquez sur Ouvrir. Le nom du fichier est affiché dans la zone de
texte.
5. Sélectionnez l'une des options suivantes pour résoudre les conflits :
• Ignorer les ordinateurs en conflit
Si des groupes statiques existent et incluent des ordinateurs figurant dans le fichier .txt, ces ordinateurs sont
ignorés et ne sont pas importés. Des informations à ce propos sont affichées.
• Déplacer les ordinateurs en conflit vers d’autres groupes
Si des groupes statiques existent et si des ordinateurs figurant dans le fichier .txt existent déjà dans ces groupes, il
est nécessaire de déplacer ces derniers vers d'autres groupes avant de procéder à l'importation. Après
l'importation, ces ordinateurs sont redéplacés vers leurs groupes d'origine à partir desquels ils ont été déplacés.
• Dupliquer les ordinateurs en conflit
Si des groupes statiques existent et incluent des ordinateurs figurant dans le fichier .txt, des doublons de ces
ordinateurs sont créés dans les mêmes groupes statiques. L'ordinateur d'origine est affiché avec des informations
complètes, tandis que le doublon n'est affiché qu'avec son nom d'ordinateur.
5. Cliquez sur Importer. Les groupes statiques et les ordinateurs qu'ils contiennent sont alors importés.
Groupes dynamiques
Les groupes dynamiques sont essentiellement des filtres personnalisés définis dans des modèles. Étant donné que
les ordinateurs sont filtrés du côté de l'Agent, aucune information supplémentaire ne doit être transférée au
serveur. L'Agent décide à quels groupes dynamiques appartient un client et n'envoie une notification au serveur
que pour lui faire part de cette décision. Les règles des groupes dynamiques sont définies dans le modèle de
160
groupe dynamique.
REMARQUE
Si le périphérique client n'est pas connecté (s'il est hors tension, par exemple), sa position dans les groupes
dynamiques n'est pas mise à jour. Une fois qu'il est connecté de nouveau, sa position est mise à jour.
Certains groupes dynamiques prédéfinis sont proposés après l'installation d'ESET Remote Administrator. Si
nécessaire, vous pouvez également créer des groupes dynamiques personnalisés. Vous pouvez procéder de deux
manières différentes :
• Commencez par créer un modèle, puis créez un groupe dynamique.
• Créez un groupe dynamique et un modèle à la volée.
Il est possible de créer plusieurs groupes dynamiques à partir d'un seul modèle.
Un utilisateur peut avoir recours aux groupes dynamiques dans d'autres composants d'ERA. Il est possible de leur
attribuer des politiques ou de préparer une tâche pour tous les ordinateurs qu'ils contiennent.
Les groupes dynamiques peuvent se trouver en dessous de groupes statiques ou dynamiques. Toutefois, le groupe
du niveau supérieur est toujours statique.
Tous les groupes dynamiques situés en dessous d'un groupe statique donné filtrent uniquement les ordinateurs de
ce dernier, indépendamment de leur niveau dans l'arborescence. De plus, dans le cas des groupes dynamiques
imbriqués, un groupe dynamique de niveau inférieur filtre les résultats du groupe supérieur.
Les politiques sont appliquées comme décrit ici. Une fois créées, elles peuvent être toutefois déplacées librement
dans l'arborescence.
Actions Groupe statique
Accédez à Admin > Groupes, puis sélectionnez le groupe dynamique à gérer. Cliquez sur le bouton Groupe ou
sur
en regard du nom du groupe dynamique. Un menu déroulant apparaît avec les options suivantes :
Nouveau groupe dynamique...
Cette option devient disponible lorsque vous cliquez sur un groupe dans la liste de gauche. Ce groupe devient le
groupe parent par défaut, mais vous pouvez modifier ce dernier lorsque vous créez un groupe dynamique.
Modifier...
Cette option permet de modifier le groupe sélectionné. Les paramètres sont identiques à ceux de la création d'un
groupe (statique or dynamique).
Déplacer...
Vous pouvez sélectionner un groupe et le déplacer comme sous-groupe d'un autre groupe.
Supprimer
Supprime entièrement le groupe sélectionné.
Nouvelle notification...
À l'aide de cette option, vous pouvez créer une notification.
Analyser
Cette option permet d'exécuter la tâche Analyse à la demande sur le client qui a signalé la menace.
161
Mettre à jour les modules
Cette option permet d'exécuter la tâche Mise à jour des modules (déclenche manuellement une mise à jour).
Mobile
• Réinscrire : à l'aide de cette option, vous pouvez créer une tâche client.
• Rechercher : utilisez cette option si vous souhaitez obtenir les coordonnées GPS de votre périphérique.
• Verrouiller : le périphérique est verrouillé lorsqu'une activité suspecte est détectée ou que le périphérique
est signalé comme manquant.
• Déverrouiller : le périphérique est déverrouillé.
• Sirène : déclenche à distance une sirène sonore. Celle-ci est déclenchée même si le périphérique est défini
sur muet.
• Effacer : toutes les données stockées sur votre périphérique sont effacées de manière définitive.
Exécuter la tâche
Cette option permet de sélectionner les tâches client à exécuter sur les périphériques de ce groupe.
Nouvelle tâche...
Cette option déclenche immédiatement une tâche existante sélectionnée dans une liste de tâches disponibles.
Comme cette tâche est exécutée immédiatement, elle n'est associée à aucun déclencheur.
Dernières tâches utilisées
Liste des dernières tâches client utilisées pour tous les groupes et les ordinateurs.
Gérer les politiques... : attribuez une politique au groupe sélectionné.
Utilisez les options
Appliquer plus tôt et
groupes dynamiques selon vos besoins.
162
Appliquer ultérieurement pour modifier les priorités des
Règles d'un modèle de groupe dynamique
Lorsque vous définissez des règles pour un modèle de groupe dynamique, vous pouvez utiliser des opérateurs
différents pour différentes conditions afin d'obtenir le résultat escompté.
Les chapitres suivants expliquent les règles et les opérations utilisées dans les modèles de groupe dynamique :
• À quel moment un ordinateur devient-il membre d'un groupe dynamique ?
• Description des opérations
• Règles et connecteurs logiques
• Évaluation des règles de modèle
• Automatisation dans ESET Remote Administrator
• Modèles de groupe dynamique
• Cas d'utilisation : créer un modèle de groupe dynamique spécifique
À quel moment un ordinateur devient-il membre d'un groupe dynamique ?
Pour qu’un ordinateur devienne membre d’un groupe dynamique spécifique, il doit satisfaire à certaines
conditions. Celles-ci sont définies dans un modèle de groupe dynamique. Chaque modèle est composé d'une ou de
plusieurs règles. Vous pouvez spécifier ces règles lors de la création d'un modèle.
• Certaines informations concernant la condition actuelle d’un ordinateur client sont stockées par l’Agent. La
condition de l’ordinateur est évaluée par l’Agent selon les règles du modèle.
• Le jeu de conditions requis pour qu’un client puisse rejoindre un groupe dynamique est défini dans vos
modèles de groupe dynamique ; les clients sont évalués en vue de leur inclusion à des groupes dynamiques
chaque fois qu’ils entrent dans ESET Remote Administrator. Si le client satisfait aux valeurs spécifiées dans le
modèle de groupe dynamique, il est automatiquement assigné à ce groupe.
• Les groupes dynamiques peuvent être comparés à des filtres basés sur l'état de l'ordinateur. Un ordinateur
peut correspondre à plusieurs filtres et être donc attribué à plusieurs groupes dynamiques. C’est ce qui
distingue les groupes dynamiques des groupes statiques, puisqu’un même client ne peut pas appartenir à
plusieurs groupes statiques.
Description des opérations
Si vous spécifiez plusieurs règles (conditions), vous devez sélectionner l'opération qui doit être utilisée pour les
associer. Selon le résultat, un ordinateur client est ou n'est pas ajouté à un groupe dynamique qui utilise le modèle
donné.
ET : toutes les conditions doivent être vraies.
Vérifie si toutes les conditions sont évaluées de manière positive. L'ordinateur doit satisfaire tous les paramètres
requis.
OU : au moins une des conditions doit être vraie.
Vérifie si l'une des conditions est évaluée de manière positive. L'ordinateur doit satisfaire l'un des paramètres
requis.
NON ET : au moins une des conditions doit être fausse.
Vérifie si l'une des conditions ne peut pas être évaluée de manière positive. L'ordinateur ne doit pas satisfaire au
moins un paramètre.
NI : toutes les conditions doivent être fausses.
163
Vérifie si toutes les conditions ne peuvent pas être évaluées de manière positive. L'ordinateur ne satisfait pas tous
les paramètres requis.
REMARQUE
il n'est pas possible de combiner des opérations. Une seule opération est utilisée par modèle de groupe
dynamique et s'applique à toutes ses règles.
Règles et connecteurs logiques
Une règle est composée d'un élément, d'un opérateur logique et d'une valeur définie.
Lorsque vous cliquez sur + Ajouter une règle, une fenêtre indépendante s'ouvre. Elle contient une liste d'éléments
divisés en catégorie. Par exemple :
Logiciel installé > Nom de l'application
Cartes réseau > Adresse MAC
Édition du SE > Nom du SE
Pour créer une règle, sélectionnez un élément, choisissez un opérateur logique et spécifiez une valeur. La règle est
évaluée selon la valeur spécifiée et l'opérateur logique utilisé.
Les types de valeurs acceptées sont les suivants : nombre(s), chaîne(s), énumération(s), adresse(s) IP, masques de
produit et ID d'ordinateur. Chaque type de valeur est associé à des opérateurs logiques différents. ERA Web
Console n'affiche automatiquement que les opérateurs pris en charge.
• = (égal) : les valeurs du symbole et du modèle doivent correspondre. Les chaînes sont comparées sans tenir
compte de la casse.
• ≠ (différent de) : les valeurs du symbole et du modèle ne doivent pas correspondre. Les chaînes sont
comparées sans tenir compte de la casse.
• > (supérieur à) : la valeur du symbole doit être supérieure à celle du modèle. Cet opérateur peut être
également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.
• ≥ (supérieur ou égal à) : la valeur du symbole doit être supérieure ou égale à celle du modèle. Cet
opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.
• < (inférieur à) : la valeur du symbole doit être inférieure à celle du modèle. Cet opérateur peut être
également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.
• ≤ (inférieur ou égal à) : la valeur du symbole doit être inférieure ou égale à celle du modèle. Cet opérateur
peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP.
• contient : la valeur du symbole contient celle du modèle. La recherche ne respecte pas la casse.
• contient un préfixe : la valeur du symbole contient le même préfixe de texte que la valeur du modèle. Les
chaînes sont comparées sans tenir compte de la casse. Définit les premiers caractères de la chaîne de
recherche ; par exemple, pour "Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319", le préfixe est
"Micros", "Micr", "Microsof", etc.
• contient un suffixe : la valeur du symbole contient le même suffixe de texte que la valeur du modèle. Les
chaînes sont comparées sans tenir compte de la casse. Définit les premiers caractères de la chaîne de
recherche ; par exemple, pour "Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319", le suffixe est "319"
ou "0.30319", etc.
• contient un masque : la valeur du symbole doit correspondre à un masque défini dans un modèle. La mise
en forme du masque autorise n'importe quel caractère, les symboles spéciaux « * » (zéro, un ou plusieurs
caractères) et « ? » (un caractère uniquement, par exemple : "6.2.*" ou "6.2.2033.?".
• "regex" : la valeur du symbole doit correspondre à l'expression régulière (regex) d'un modèle. L'expression
régulière doit être écrite au format Perl.
• dans : la valeur du symbole doit correspondre à n'importe quelle valeur d'une liste d'un modèle. Les chaînes
sont comparées sans tenir compte de la casse.
• dans (masque de chaîne) : la valeur du symbole doit correspondre à n'importe quel masque d'une liste d'un
modèle.
164
Règles négatives :
IMPORTANT
les opérateurs de négation doivent être utilisés avec précaution, car en cas de journaux à plusieurs lignes, comme
« application installée », toutes les lignes sont testées par rapport à ces conditions. Examinez les exemples inclus
pour déterminer comment les opérateurs et les opérations de négation doivent être utilisés pour obtenir les
résultats escomptés.
• ne contient pas : la valeur du symbole ne contient pas la valeur du modèle. La recherche ne respecte pas la
casse.
• "n'a pas de préfixe" : la valeur du symbole ne contient pas le même préfixe de texte comme la valeur du
modèle. Les chaînes sont comparées sans tenir compte de la casse.
• "n'a pas de suffixe" : la valeur du symbole ne contient pas de suffixe de texte comme la valeur du modèle.
Les chaînes sont comparées sans tenir compte de la casse.
• n'a pas de masque : la valeur du symbole ne doit pas correspondre à un masque défini dans un modèle.
• "n'est pas une expression regex" : la valeur du symbole ne doit pas correspondre à une expression
régulière (regex) d'un modèle. L'expression régulière doit être écrite au format Perl. L'opération de négation est
fournie à titre d'exemple pour éviter toute réécriture.
• "n'est pas dans" : la valeur du symbole ne doit pas correspondre à n'importe quelle valeur de la liste d'un
modèle. Les chaînes sont comparées sans tenir compte de la casse.
• n'est pas dans (masque de chaîne) : la valeur du symbole ne doit pas correspondre à n'importe quel
masque d'une liste d'un modèle.
Évaluation des règles de modèle
L'évaluation des règles de modèle est gérée par ERA Agent, et non par ERA Server (seul le résultat est envoyé à
ERA Server). Le processus d'évaluation s'effectue selon les règles configurées dans un modèle. La section qui suit
explique le processus d'évaluation à l'aide de quelques exemples.
L'état est un ensemble d'informations diverses. Certaines sources fournissent plusieurs états dimensionnels par
ordinateur (système d'exploitation, taille de la RAM, etc.). D'autres sources donnent des informations d'état
multidimensionnelles (adresse IP, application installée, etc.).
Vous trouverez ci-dessous une représentation visuelle de l'état d'un client :
Cartes réseau :
adresse IP
Cartes réseau :
adresse MAC
Nom du SE Version du
SE
192.168.1.2
4A-64-3F-10-FC-75
Windows 7
Entreprise
10.1.1.11
124.256.25.25
2B-E8-73-BE-81-C7
52-FB-E5-74-35-73
6.1.7601
Matériel :
Application installée
taille de la
RAM en Mo
2048
ESET Endpoint Security
Lecteur de fichiers PDF
Suite Office
Prévisions
météorologiques
L'état est composé de groupes d'informations. Un groupe de données fournit toujours des informations cohérentes
organisées en lignes. Le nombre de lignes par groupe peut varier.
Les conditions sont évaluées par groupe et par ligne. S'il existe plus de conditions concernant les colonnes d'un
groupe, seules les valeurs de la même ligne sont prises en compte.
Exemple 1 :
Pour cet exemple, prenez en compte la condition suivante :
Cartes réseau.Adresse IP = 10.1.1.11 ET Cartes réseau.Adresse MAC = 4A-64-3F-10FC-75
165
Cette règle ne correspond à aucun ordinateur, car il n'existe aucune ligne dans laquelle les deux conditions sont
vraies.
Cartes réseau :
adresse IP
Cartes réseau :
adresse MAC
Nom du SE Version du
SE
192.168.1.2
4A-64-3F-10-FC-75
Windows 7
Entreprise
10.1.1.11
124.256.25.25
2B-E8-73-BE-81-C7
52-FB-E5-74-35-73
6.1.7601
Matériel :
Application installée
taille de la
RAM en Mo
2048
ESET Endpoint Security
Lecteur de fichiers PDF
Suite Office
Prévisions
météorologiques
Exemple 2 :
Pour cet exemple, prenez en compte la condition suivante :
Cartes réseau.Adresse IP = 192.168.1.2 ET Cartes réseau.Adresse MAC = 4A-64-3F-10FC-75
Cette fois, les deux conditions correspondent à des cellules d'une même ligne. La règle dans son ensemble est
donc évaluée comme VRAIE. Un ordinateur est sélectionné.
Cartes réseau :
adresse IP
Cartes réseau :
adresse MAC
Nom du SE Version du
SE
192.168.1.2
4A-64-3F-10-FC-75
Windows 7
Entreprise
10.1.1.11
124.256.25.25
2B-E8-73-BE-81-C7
52-FB-E5-74-35-73
6.1.7601
Matériel :
Application installée
taille de la
RAM en Mo
2048
ESET Endpoint Security
Lecteur de fichiers PDF
Suite Office
Prévisions
météorologiques
Exemple 3 :
Pour les conditions avec l'opérateur OU (au moins une condition doit être VRAIE), telles que :
Cartes réseau.Adresse IP = 10.1.1.11 OU Cartes réseau.Adresse MAC = 4A-64-3F-10FC-75
La règle est VRAIE pour deux lignes, dans la mesure ou une condition sur les deux doit être remplie. Un ordinateur
est sélectionné.
Cartes réseau :
adresse IP
Cartes réseau :
adresse MAC
Nom du SE Version du
SE
192.168.1.2
4A-64-3F-10-FC-75
Windows 7
Entreprise
10.1.1.11
124.256.25.25
2B-E8-73-BE-81-C7
52-FB-E5-74-35-73
6.1.7601
Matériel :
Application installée
taille de la
RAM en Mo
2048
ESET Endpoint Security
Lecteur de fichiers PDF
Suite Office
Prévisions
météorologiques
Comment automatiser ESET Remote Administrator
À l'aide de techniques comme celles illustrées dans l'exemple ci-après, vous pouvez automatiser de nombreuses
actions, depuis les mises à jour de produit et de système d'exploitation et les activations automatiques des
produits ajoutés avec des licences présélectionnées, jusqu'à la résolution d'incidents complexes.
166
AVERTISSEMENT
La procédure illustrée dans cet exemple ne doit être effectuée que sur les clients sur lesquels aucun logiciel de
sécurité tiers ni logiciel de sécurité ESET pour particuliers (ESET Smart Security, par exemple) n'est installé.
L'installation de produits ESET sur des clients sur lesquels des logiciels de sécurité tiers sont installés n'est pas
recommandée. Vous pouvez utiliser ESET AV Remover pour supprimer les autres antivirus de votre ordinateur.
EXEMPLE : déploiement des produits ESET sur les postes de travail Windows nouvellement
connectés
1. Créez un groupe dynamique appelé Sans produit de sécurité.
a.Faites-en un groupe enfant du groupe prédéfini Ordinateurs Windows > Windows (postes de travail).
b.Cliquez sur Nouveau modèle.
c.Ajoutez la règle suivante : Ordinateur > Masque des produits administrés.
d.Sélectionnez différent de comme opérateur.
e.Sélectionnez le masque Protégé par ESET : Poste de travail
f.Cliquez sur Terminer pour enregistrer le groupe.
.
2. Accédez à Admin > Tâches client > Produit de sécurité ESET > Installation du logiciel.
a.Cliquez sur Nouveau et attribuez un nom à la tâche.
b.Sélectionnez le package dans la section Paramètres et définissez d'autres paramètres, si nécessaire.
c.Cliquez sur Terminer > Créer un déclencheur.
d.Dans la section Cible, cliquez sur Ajouter des groupes et sélectionnez Sans produit de sécurité.
e.Dans la section Déclencheur, sélectionnez Déclencheur A rejoint le groupe dynamique.
f.Cliquez sur Terminer pour enregistrer la tâche et le déclencheur.
Cette tâche sera exécutée sur les clients figurant dans le groupe dynamique à cet instant. Vous devrez exécuter
manuellement cette tâche sur les clients qui se trouvaient dans le groupe dynamique avant qu'elle ne soit créée.
EXEMPLE : application d'une politique basée sur l'emplacement
1. Créez un groupe dynamique appelé Sous-réseau 120.
a.Faites-en un groupe enfant du groupe Tous.
b.Cliquez sur Nouveau modèle.
c.Ajouter la règle : Adresses IP réseau > Sous-réseau IP.
d.Sélectionnez égal à comme opérateur.
e.Saisissez le sous-réseau à filtrer, par exemple 10.1.120.0 (le dernier chiffre doit être 0 pour filtrer toutes les
adresses IP du sous-réseau 10.1.120.).
f.Cliquez sur Terminer pour enregistrer le groupe.
2. Accédez à Admin > Politiques.
a.Cliquez sur Nouvelle politique et attribuez un nom à la politique.
b.Dans la section Paramètres, sélectionnez ESET Remote Administrator Agent.
c.Apportez une modification à la politique. Définissez par exemple Intervalle de connexion sur 5 minutes.
d.Dans la section Attribuer, cliquez sur Attribuer, cochez la case située en regard du groupe Sousréseau 120 et cliquez sur OK.
e.Cliquez sur Terminer pour enregistrer la politique.
Cette politique sera appliquée sur les clients figurant dans le groupe dynamique à cet instant.
AVERTISSEMENT
Lorsqu'un ordinateur client est déplacé du groupe dynamique (les conditions liées à l'appartenance au groupe
dynamique ne sont plus valides), les paramètres sont toujours appliqués, à moins qu'une autre politique ne soit
appliquée au même jeu de paramètres.
Assistant Groupe dynamique
Chaque groupe dynamique utilise un modèle pour filtrer les ordinateurs clients. Une fois défini, un modèle peut
être utilisé dans un autre groupe dynamique pour filtrer les clients. ERA contient plusieurs modèles de groupe
dynamique par défaut prêts à l'emploi qui simplifient le classement des ordinateurs clients.
REMARQUE
Un utilisateur a besoin d'autorisations d'accès pour être en mesure d'utiliser des modèles de groupe dynamique.
Tous les modèles prédéfinis sont situés dans le groupe statique Tous et ne sont accessibles par défaut que par
l'administrateur. Les autres utilisateurs doivent se voir attribuer des autorisations supplémentaires. Sinon, les
modèles peuvent être déplacés vers un groupe pour lequel les utilisateurs disposent d'autorisations.
167
Vous pouvez créer un groupe dynamique à l'aide d'un modèle existant ou d'un nouveau modèle qui sera ensuite
utilisé pour ce groupe dynamique.
General
Saisissez un nom et une description (facultatif) pour le nouveau groupe dynamique. Par défaut, le groupe
parent correspond au groupe que vous avez sélectionné lorsque vous avez commencé à créer le groupe statique.
Si vous souhaitez modifier le groupe parent, vous pouvez cliquer sur Modifier le groupe parent, puis en
sélectionner un autre dans l'arborescence. Le parent du nouveau groupe dynamique peut être dynamique ou
statique. Cliquez sur Terminer pour créer le groupe dynamique.
Modèle
Vous pouvez sélectionner un modèle de groupe dynamique existant ou créer un modèle de groupe existant.
Résumé
Passez en revue la configuration pour vérifier qu'elle est correcte (si vous devez effectuer des modifications, vous
pouvez toujours le faire), puis cliquez sur Terminer.
Modèles de groupe dynamique
Les modèles de groupe dynamique définissent les critères que les ordinateurs doivent respecter pour être placés
dans un groupe dynamique. Lorsque ces critères sont respectés par un client, il est automatiquement déplacé vers
le groupe dynamique approprié.
• Créer un modèle de groupe dynamique
• Gérer un modèle de groupe dynamique
• Règles pour un modèle de groupe dynamique
• Modèle de groupe dynamique : exemples
168
Nouveau modèle de groupe dynamique
Cliquez sur Nouveau modèle sous Admin > Modèles de groupe dynamique.
Général
Saisissez un nom et une description pour le nouveau modèle de groupe dynamique.
Expression
Pour découvrir comment utiliser des groupes dynamiques sur votre réseau, consultez nos exemples avec des
instructions détaillées illustrées.
Synthèse
Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle
est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique.
Créer un groupe dynamique
Pour créer un groupe dynamique, procédez comme suit :
1. Cliquez sur l'icône
située en regard du nom du groupe dynamique, puis sur Nouveau groupe
dynamique. La commande Nouveau groupe dynamique est également accessible depuis Admin >
Groupes. Sélectionnez un groupe (dans le volet Groupes), puis cliquez sur Groupe dans la partie inférieure.
169
2. L'Assistant Groupe dynamique s'affiche. Saisissez un nom et une description (facultatif) pour le nouveau
modèle.
3. Vous pouvez également modifier le groupe parent en cliquant sur Modifier le groupe parent.
4. Développez
Modèle.
• Si vous voulez créer le groupe à partir d'un modèle prédéfini ou d'un modèle que vous avez déjà créé, cliquez
170
sur Choisir, puis sélectionnez le modèle adéquat dans la liste.
• Si vous n'avez pas encore créé de modèle et si aucun des modèles prédéfinis de la liste ne vous convient,
cliquez sur Nouveau et suivez la procédure permettant de créer un modèle.
Développez
Synthèse. Le nouveau groupe apparaît sous le groupe statique parent.
Gérer les modèles de groupe dynamique
Les modèles peuvent être gérés dans Admin > Modèles de groupe dynamique. Vous pouvez créer un modèle
ou modifier un modèle existant. Pour modifier un modèle, sélectionnez-le et suivez l’assistant.
Vous pouvez également sélectionner un modèle en cochant la case en regard de celui-ci, puis cliquer sur Modifier
le modèle.
L'option Dupliquer permet de créer des modèles de groupe dynamique selon les modèles sélectionnés. Un
nouveau nom est requis pour la tâche dupliquée.
IMPORTANT
En raison du nouveau modèle de sécurité d'ESET Remote Administrator 6.5, la gestion des modèles de groupe
dynamique requiert des autorisations suffisantes. Tous les modèles prédéfinis sont stockés par défaut dans le
groupe statistique Tous. Pour dupliquer un modèle, l'utilisateur doit se voir attribuer l'autorisation Écrire (pour la
fonctionnalité Modèles de groupe dynamique) pour le groupe dans lequel se trouve le modèle source et le
groupe résidentiel de l'utilisateur (dans lequel sera stocké le doublon). Reportez-vous à l'exemple similaire.
171
Cliquez sur Enregistrer sous pour conserver votre modèle existant et en créer un nouveau selon le modèle en
cours de modification. Lorsque vous y êtes invité(e), donnez un nom à votre nouveau modèle.
Déplacer un groupe dynamique
Cliquez sur le symbole
situé en regard du nom du groupe, puis sélectionnez Déplacer. Une fenêtre contextuelle
s'affiche. Elle contient l'arborescence des groupes. Sélectionnez le groupe (statique ou dynamique) cible vers
lequel vous souhaitez déplacer le groupe sélectionné. Le groupe cible devient un groupe parent. Vous pouvez
également déplacer des groupes en les faisant glisser et en les déposant dans le groupe cible de votre choix.
REMARQUE
Il n'est pas possible de déplacer un groupe statique vers un groupe dynamique. De même, vous ne pouvez pas
déplacer des groupes statiques prédéfinis (comme le groupe Perdu et trouvé) vers un autre groupe. Tous les
autres groupes peuvent être déplacés librement. Un groupe dynamique peut être membre de n'importe quel autre
groupe, y compris de groupes statiques.
Vous pouvez employer les méthodes suivantes pour déplacer des groupes :
Glisser-déposer : cliquez sur le groupe à déplacer, faites le glisser jusqu'au nouveau groupe parent en
maintenant le bouton de la souris enfoncé, puis relâchez le bouton de la souris.
172
Cliquez sur
> Déplacer, sélectionnez un nouveau groupe parent dans la liste, puis cliquez sur OK.
Cliquez sur
> Modifier > Modifier le groupe parent.
REMARQUE : Un groupe dynamique dans un nouvel emplacement commence à filtrer les ordinateurs (selon le
modèle) sans tenir compte de son emplacement précédent.
Modèle de groupe dynamique : exemples
Les exemples de modèle de groupe dynamique de ce guide montrent comment vous pouvez utiliser des groupes
dynamiques pour gérer votre réseau :
• Groupe dynamique qui détecte si un produit de sécurité est installé
• Groupe dynamique qui détecte si une version spécifique d'un logiciel est installée
• Groupe dynamique qui détecte si une version spécifique d'un logiciel n'est pas installée
• Groupe dynamique qui détecte si une version spécifique d'un logiciel n'est pas installée et si une autre version
existe
173
• Groupe dynamique qui détecte si un ordinateur se trouve dans un sous-réseau spécifique
• Groupe dynamique qui détecte des versions de produits de sécurité serveur installées mais non activées
De nombreux autres objectifs peuvent être bien sûr atteints à l'aide de modèles de groupe dynamique avec une
combinaison de règles. Les possibilités sont pratiquement infinies.
Groupe dynamique : un produit de sécurité est installé
Ce groupe dynamique peut être utilisé pour exécuter une tâche immédiatement après l'installation d'un produit de
sécurité ESET sur un ordinateur : Activation, Analyse personnalisée, etc.
REMARQUE
il est également possible de spécifier un opérateur pas dans ou une opération NON ET pour rendre la condition
négative. Comme le masque des produits administrés est un journal à une ligne, les deux fonctionnent.
Vous pouvez créer un modèle sous Admin > Modèles de groupe dynamique. Vous pouvez créer un groupe
dynamique avec un modèle ou un groupe dynamique à l'aide d'un modèle nouveau ou existant.
Général
Saisissez un nom et une description pour le nouveau modèle de groupe dynamique.
Expression
• Sélectionnez un opérateur logique dans le menu Opération : ET (Toutes les conditions doivent être vraies).
• Cliquez sur + Ajouter une règle, puis sélectionnez une condition. Sélectionnez Ordinateur > Masque des
produits administrés > dans > Protégé par ESET : Bureau. Vous pouvez choisir des produits ESET
différents.
Résumé
Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle
est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique.
Groupe dynamique : une version de logiciel spécifique est installée
Ce groupe dynamique peut être utilisé pour détecter un logiciel de sécurité ESET sur un ordinateur. Vous pouvez
ensuite exécuter une tâche de mise à niveau ou une commande personnalisée sur ces ordinateurs. Des opérateurs
différents, tels que contient ou contient un préfixe, peuvent être utilisés.
Cliquez sur Nouveau modèle sous Admin > Modèles de groupe dynamique.
Général
Saisissez un nom et une description pour le nouveau modèle de groupe dynamique.
Expression
• Sélectionnez un opérateur logique dans le menu Opération : ET (Toutes les conditions doivent être vraies).
• Cliquez sur + Ajouter une règle, puis sélectionnez une condition :
oLogiciel installé > Nom de l'application > = (égal) > ESET Endpoint Security
oLogiciel installé > Version de l'application > = (égal) > 6.2.2033.0
Résumé
Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle
est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique.
174
Groupe dynamique : une version spécifique d'un logiciel n'est pas du tout installée
Ce groupe dynamique peut être utilisé pour détecter un logiciel de sécurité ESET absent d'un ordinateur. Les
paramètres de cet exemple incluront des ordinateurs qui ne contiennent pas du tout le logiciel ou des ordinateurs
avec des versions autres que celle spécifiée.
Ce groupe est utile car vous pouvez ensuite exécuter une tâche d'installation de logiciel sur ces ordinateurs pour
effectuer une installation ou une mise à niveau. Des opérateurs différents, tels que contient ou contient un
préfixe, peuvent être utilisés.
Cliquez sur Nouveau modèle sous Admin > Modèles de groupe dynamique.
Général
Saisissez un nom et une description pour le nouveau modèle de groupe dynamique.
Expression
• Sélectionnez un opérateur logique dans le menu Opération : NON ET (Au moins une des conditions doit être
fausse).
• Cliquez sur + Ajouter une règle, puis sélectionnez une condition :
oLogiciel installé > Nom de l'application > = (égal) > « ESET Endpoint Security »
oLogiciel installé > Version de l'application > = (égal) > « 6.2.2033.0 »
Résumé
Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle
est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique.
Groupe dynamique : une version spécifique d'un logiciel n'est pas installée mais une
autre version existe
Ce groupe dynamique peut être utilisé pour détecter un logiciel installé mais dont la version est différente de celle
demandée. Ce groupe est utile car vous pouvez ensuite exécuter des tâches de mise à niveau sur les ordinateurs
sur lesquels la version demandée est absente. Des opérateurs différents peuvent être utilisés. Vérifiez toutefois
que le test de la version est effectuée avec un opérateur de négation.
Cliquez sur Nouveau modèle sous Admin > Modèles de groupe dynamique.
Général
Saisissez un nom et une description pour le nouveau modèle de groupe dynamique.
Expression
• Sélectionnez un opérateur logique dans le menu Opération : ET (Toutes les conditions doivent être vraies).
• Cliquez sur + Ajouter une règle, puis sélectionnez une condition :
oLogiciel installé > Nom de l'application > = (égal) > « ESET Endpoint Security »
oLogiciel installé > Version de l'application > ≠ (différent de) > « 6.2.2033.0 »
Résumé
Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle
est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique.
Groupe dynamique : un ordinateur se trouve dans un sous-réseau spécifique
Ce groupe dynamique peut être utilisé pour détecter un sous-réseau spécifique. Il peut ensuite servir à appliquer
175
une politique personnalisée pour une mise à jour ou le filtrage Internet. Vous pouvez spécifier différentes plages.
Cliquez sur Nouveau modèle sous Admin > Modèles de groupe dynamique.
Général
Saisissez un nom et une description pour le nouveau modèle de groupe dynamique.
Expression
• Sélectionnez un opérateur logique dans le menu Opération : ET (Toutes les conditions doivent être vraies).
• Cliquez sur + Ajouter une règle, puis sélectionnez une condition :
oAdresses IP réseau > Adresse IP de la carte > ≥ (supérieur ou égal) > « 10.1.100.1 »
oAdresses IP réseau > Adresse IP de la carte > ≤ (inférieur ou égal) > « 10.1.100.254 »
oAdresses IP réseau > Adresse IP de la carte > = (égal) > « 255.255.255.0 »
Résumé
Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle
est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique.
Groupe dynamique : version d'un produit de sécurité serveur installée mais non activée
Ce groupe dynamique peut être utilisé pour détecter des produits serveur inactifs. Une fois ces produits détectés,
vous pouvez attribuer une tâche client à ce groupe pour activer les ordinateurs client avec la licence adéquate.
Dans cet exemple, seul EMSX est spécifié, mais vous pouvez spécifier plusieurs produits.
Cliquez sur Nouveau modèle sous Admin > Modèles de groupe dynamique.
Général
Saisissez un nom et une description pour le nouveau modèle de groupe dynamique.
Expression
• Sélectionnez un opérateur logique dans le menu Opération : ET (Toutes les conditions doivent être vraies).
• Cliquez sur + Ajouter une règle, puis sélectionnez une condition :
oOrdinateur > Masque des produits administrés > dans > « Protégé par ESET : Serveur de
messagerie »
oProblèmes de fonctionnalité/protection > Source > = (égal) > « Produit de sécurité »
oProblèmes de fonctionnalité/protection > Problème > = (égal) > « Produit non activé »
Résumé
Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle
est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique.
Gestion des utilisateurs
Cette section vous permet de gérer les utilisateurs et les groupes d'utilisateurs pour la gestion des périphériques
mobiles iOS. La gestion des périphériques mobiles s'effectue en utilisant des politiques attribuées à des
périphériques iOS. Nous vous recommandons toutefois de synchroniser les utilisateurs avec Active Directory au
préalable. Vous pourrez ensuite modifier des utilisateurs ou ajouter des attributs personnalisés.
IMPORTANT
La gestion des utilisateurs est différente des droits d'accès. Pour gérer les jeux d'autorisations et les utilisateurs
d'ERA, accédez à Admin > Droits d'accès.
176
• Un utilisateur surligné en orange n'a aucun périphérique attribué. Cliquez sur l'utilisateur, sélectionnez
Modifier... et cliquez sur
Ordinateurs affectés pour afficher les détails de cet utilisateur. Cliquez sur Ajouter
des ordinateurs pour attribuer des ordinateurs ou un ou des périphériques à cet utilisateur.
• Vous pouvez également ajouter ou supprimer des utilisateurs attribuésdepuis Détails de l’ordinateur.
Lorsque vous êtes dans Ordinateurs ou Groupes, sélectionnez un ordinateur ou un périphérique mobile, puis
cliquez sur
Afficher lesdétails. L'utilisateur peut être attribué à plusieurs ordinateurs/périphériques mobiles.
Vous pouvez également utiliser l'option
aux périphériques sélectionnés.
Attribuer un utilisateur... pour attribuer directement un utilisateur
• Vous pouvez filtrer les utilisateurs à l'aide des filtres situés dans la partie supérieure de la page. Cliquez sur
Ajouter un filtre, puis sélectionnez un élément dans la liste.
177
Actions de gestion des utilisateurs :
Afficher les détails
Le menu des détails de l'utilisateur présent des informations telles que l'adresse électronique, le bureau,
l'emplacement, des attributs personnalisés et les ordinateurs attribués. L'utilisateur peut avoir plusieurs
ordinateurs/périphériques mobiles attribués. Vous pouvez modifier le nom, la description et le groupe parent de
l'utilisateur. Les attributs personnalisés affichés ici sont ceux qui peuvent être utilisés lors de la création de
politiques.
178
Cliquez sur l'utilisateur pour afficher un menu déroulant permettant d'exécuter des actions. Pour obtenir des
informations sur les actions, reportez-vous aux légendes des icônes.
Ajouter de nouveaux utilisateurs
Cliquez sur Admin > Gestion des utilisateurs > Ajouter des utilisateurs... pour ajouter des utilisateurs qui
n'ont pas été trouvés ou ajoutés automatiquement pendant la synchronisation des utilisateurs.
179
Saisissez le nom de l'utilisateur à ajouter dans le champ Nom d'utilisateur. Utilisez le menu déroulant
Résolution des conflits pour sélectionner l'action à exécuter si un utilisateur que vous ajoutez existe déjà dans
ERA :
• Demander en cas de détection de conflits : lorsqu'un conflit est détecté, le programme vous
demande de sélectionner une action (voir les options ci-dessous).
oIgnorer les utilisateurs en conflit : les utilisateurs portant le même nom ne sont pas ajoutés.
Cela permet aussi de s'assurer que les attributs personnalisés de l'utilisateur existant dans ERA sont
conservés (ils ne sont pas remplacés par les données d'Active Directory).
oRemplacer les utilisateurs en conflit : l'utilisateur existant dans ERA est remplacé celui d'Active
Directory. Si deux utilisateurs disposent du même SID, l'utilisateur existant dans ERA est supprimé de
son précédent emplacement (même si l'utilisateur était dans un autre groupe).
Cliquez sur + Ajouter pour ajouter d'autres utilisateurs. Si vous souhaitez ajouter simultanément plusieurs
utilisateurs, cliquez sur Importer un fichier CSVpour charger un fichier csv qui contient la liste des utilisateurs à
ajouter. Vous pouvez éventuellement saisir une description des utilisateurs pour simplifier leur identification.
Lorsque vous avez terminé vos modifications, cliquez sur Ajouter. Les utilisateurs apparaissent dans le groupe
parent que vous avez spécifié.
Modifier des utilisateurs
Vous pouvez modifier les détails d'un utilisateur, tels que les informations de base, les attributs personnalisés
et les ordinateurs attribués.
REMARQUE
Lorsque vous exécutez une tâche Synchronisation utilisateur pour les utilisateurs qui disposent d'attributs
personnalisés, définissez le paramètre Gestion des collisions de création d'utilisateur sur Ignorer. Si vous
ne le faites pas, les données utilisateur seront écrasées par celles provenant d'Active Directory.
Général
Si vous avez utilisé une tâche Synchronisation utilisateur pour créer l'utilisateur et si certains champs sont vides,
180
vous pouvez, au besoin, les spécifier manuellement.
Attributs personnalisés
Vous pouvez modifier des attributs personnalisés existants ou en ajouter de nouveaux. Pour en ajouter de
nouveau, cliquez sur Ajouter et sélectionnez dans les catégories :
• Comptes Wi-Fi : Il est possible d'utiliser des profils pour pousser les paramètres Wi-Fi de l'entreprise
directement vers des périphériques gérés.
• Comptes VPN : Vous pouvez configurer un VPN avec les informations d'identification, les certificats et autres
informations requises pour que le VPN soit immédiatement accessible aux utilisateurs.
• Comptes de messagerie : Cette catégorie est destinée à tout compte de messagerie qui utilise les
spécifications IMAP ou POP3. Si vous utilisez un serveur Exchange, choisissez les paramètres Exchange
ActiveSync ci-dessous.
• Comptes Exchange : Si votre entreprise utilise Microsoft Exchange, vous pouvez définir tous les paramètres
ici pour réduire le temps de configuration de l'accès des utilisateurs à la messagerie, au calendrier et aux
contacts.
• LDAP (alias d'attribut) : Cela s'avère tout particulièrement pratique si votre entreprise utilise LDAP pour les
contacts. Vous pouvez associer les champs des contacts aux champs iOS correspondants.
• CalDAV : Cette élément contient les paramètres pour tout calendrier qui utilise les spécifications CalDAV.
• CardDAV : Les informations peuvent être définies ici pour tous les contacts synchronisés au moyen de la
spécification CardDAV.
• Calendriers avec abonnement : Si des calendriers CalDAV sont configurés, il est possible de configurer ici
l'accès en lecture seule aux calendriers d'autres utilisateurs.
Certains des champs deviendront un attribut ensuite utilisable lors de la création d'une politique pour périphérique
mobile iOS sous la forme d'une variable (espace réservé). Par exemple, nom de connexion
${exchange_login/exchange} ou adresse électronique ${exchange_email/exchange}.
181
Ordinateurs affectés
Vous pouvez sélectionner ici des ordinateurs/périphériques mobiles individuels. Pour ce faire, cliquez sur Ajouter
des ordinateurs - tous les groupes statiques et dynamiques avec leurs membres seront affichés. Utilisez les
cases à cocher pour effectuer votre sélection, puis cliquez sur OK.
182
Créer un groupe d’utilisateurs
Cliquez sur Admin > Gestion des utilisateurs >
, puis sélectionnez
Nouveau groupe d'utilisateurs...
Général
Saisissez un nom et une description (facultatif) pour le nouveau groupe d'utilisateurs. Par défaut, le groupe
parent correspond au groupe que vous avez sélectionné lorsque vous avez commencé à créer le groupe
d'utilisateurs. Si vous souhaitez modifier le groupe parent, cliquez sur Modifier le groupe parent, puis
sélectionnez-en un autre dans l'arborescence. Cliquez sur Terminer pour créer le groupe d'utilisateurs.
Vous pouvez attribuer des autorisations spécifiques à ce groupe d'utilisateurs dans Droits d'accès en utilisant des
jeux d'autorisations (voir la section Groupes d'utilisateurs). De cette manière, vous pouvez spécifier quels
utilisateurs spécifiques de la Console ERA peuvent gérer quels groupes d'utilisateurs spécifiques. Vous pouvez
même limiter l'accès de ces utilisateurs à d'autres fonctions ERA, si vous le souhaitez. Ces utilisateurs ne gèrent
alors que des groupes d'utilisateurs.
Programmes d'installation
Cette section permet de créer des packages d'installation de l'Agent pour déployer ERA Agent sur les ordinateurs
clients. Les packages d'installation sont enregistrés dans ERA Web Console. Vous pouvez les modifier et les
télécharger de nouveau en cas de besoin.
1. Cliquez sur Admin > Programmes d'installation > Créer un programme d'installation.
2. Sélectionnez le type de programme d'installation que vous souhaitez créer. Les options sont les suivantes :
• Package d'installation tout-en-un
Suivez les étapes décrites dans la section Création du package pour configurer le programme d'installation
tout-en-un qui offre des options de configuration avancées, notamment des paramètres de politique pour
ERA Agent et les produits ESET, le nom d'hôte et le port d'ERA Server, ainsi que la possibilité de sélectionner
un groupe parent.
183
REMARQUE
Une fois le package d'installation tout-en-un créé et téléchargé, vous pouvez déployer ERA Agent de deux
manière différentes :
• Localement, sur un ordinateur client
• À l'aide de l'outil de déploiement afin de déployer simultanément les ERA Agents sur plusieurs ordinateurs
clients
• Programme d'installation Agent Live
Suivez les étapes décrites dans la section Création du package pour configurer le programme d'installation. Ce
type de déploiement d'agent s'avère utile lorsque les options de déploiement local et à distance ne vous
conviennent pas. Dans ce cas, vous pouvez distribuer le programme d'installation Agent Live par courrier
électronique et laisser l'utilisateur le déployer. Vous pouvez également l'exécuter à partir d'un support
amovible (clé USB, par exemple).
• GPO ou SCCM
Filtre Accéder au groupe
Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les
objets visualisés selon le groupe qui les contient.
Programmes d'installation et autorisations
Un utilisateur peut créer ou modifier des programmes d'installation qui figurent dans des groupes pour lesquels il
dispose de l'autorisation Écrire pour les programmes d'installation stockés.
REMARQUE
• Souvenez-vous que l'utilisateur peut utiliser des certificats lors de la création de programmes d'installation. Un
utilisateur doit se voir affecter l'autorisation Utiliser pour les Certificats avec un accès au groupe statique qui
contient les certificats. Si un utilisateur souhaite déployer ERA Agent, il doit disposer de l'autorisation Utiliser
pour l'autorité de certification qui a signé le certificat serveur actuel. Pour obtenir des informations sur la façon de
répartir l'accès aux certificats et à l'autorité de certification, consultez cet exemple.
• Un utilisateur doit se voir attribuer l'autorisation Utiliser pour les politiques qui sont sélectionnées dans
Avancé > Configuration initiale du programme d’installation > Type de configuration lors de la création
d'un programme d'installation tout-en-un, d'un programme d'installation GPO ou d'un script SCCM.
• Un utilisateur doit se voir attribuer l'autorisation Utiliser pour les licences, si la licence du groupe statique est
spécifiée.
184
EXEMPLE : comment autoriser un utilisateur à créer des programmes d'installation
L'administrateur souhaite autoriser l'utilisateur John à créer ou modifier des programmes d'installation dans
Groupe de John. L'administrateur doit procéder comme suit :
1. Il doit créer un groupe statique appelé Groupe de John.
2. Il doit créer un jeu d'autorisations.
a.Il doit l'appeler Autorisations de John - Créer des programmes d'installation.
b.Il doit ajouter le groupe Groupe de John à la section Groupes statiques.
c.Dans la section Fonctionnalités, il doit sélectionner
• l'autorisation Écrire pour Programmes d'installation stockés
• l'autorisation Utiliser pour Certificats
• l'autorisation Écrire pour Groupes et ordinateurs
d.Il doit cliquer sur Terminer pour enregistrer le jeu d'autorisations.
3. Il doit créer un jeu d'autorisations.
a.Il doit l'appeler Autorisations de John - Certificats.
b.Il doit ajouter le groupe Tous à la section Groupes statiques.
c.Dans la section Fonctionnalités, il doit sélectionner l'autorisation Utiliser pour Certificats.
d.Il doit cliquer sur Terminer pour enregistrer le jeu d'autorisations.
Ces autorisations sont requises pour utiliser (créer et modifier) les programmes d'installation.
4. Il doit créer un nouvel utilisateur.
a.Il doit l'appeler John.
b.Dans la section Général, il doit sélectionner Groupe de John en tant que groupe résidentiel.
c.Il doit définir le mot de passe sur l'utilisateur John.
d.Dans la section Jeux d'autorisations, il doit sélectionner Autorisations de John - Certificats et Autorisations
de John - Créer des programmes d'installation.
e.Il doit cliquer sur Terminer pour enregistrer l'utilisateur.
Téléchargement des programmes d'installation à partir du menu
Programmes d'installation
1. Cliquez sur Admin > Programmes d'installation.
2. Cochez la case située en regard du programme d'installation à télécharger.
3. Cliquez sur Télécharger et sélectionnez la version adéquate du package d'installation.
185
Modification des programmes d'installation à partir du menu Programmes d'installation
1. Cliquez sur Admin > Programmes d'installation.
2. Cochez la case située en regard du programme d'installation à modifier.
3. Cliquez sur Actions > Modifier pour modifier le package d'installation.
Quarantaine
Cette section affiche tous les fichiers mis en quarantaine sur les appareils client. Les fichiers doivent être placés en
quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés
erronément par un produit ESET.
Vous pouvez supprimer un fichier mis en quarantaine ou le restaurer à son emplacement précédent. Vous
pouvez utiliser la commande Restaurer avec exclusion pour empêcher un nouveau signalement du fichier par le
produit ESET.
Vous pouvez accéder à la section Quarantaine de deux manières différentes :
1. Admin > Quarantaine.
2. Détails de l'ordinateur > Menaces et quarantaine > onglet Quarantaine.
Si vous cliquez sur un élément dans la section Quarantaine, le menu Gestion de la quarantaine s'affiche.
Afficher les détails : permet d'afficher le périphérique source, le nom et le type de la menace, le nom de
l'objet avec le chemin d'accès complet au fichier, le hachage, la taille, etc.
Ordinateurs : permet d'ouvrir la section Ordinateurs avec les périphériques filtrés associés au fichier mis en
quarantaine.
Supprimer : permet de supprimer le fichier de la quarantaine et le périphérique concerné.
Restaurer : permet de restaurer le fichier à son emplacement d'origine.
Restaurer et exclure : permet de restaurer le fichier à son emplacement d'origine et de l'exclure de l'analyse.
186
Charger : permet d'ouvrir la tâche Charger un fichier mis en quarantaine.
IMPORTANT
L'utilisation de la fonction Charger est recommandée uniquement aux utilisateurs expérimentés. Si vous
souhaitez examiner davantage le fichier mis en quarantaine, vous pouvez le charger dans un répertoire partagé.
Politiques
Les politiques servent à transmettre des configurations spécifiques aux produits ESET s'exécutant sur
les ordinateurs clients. Vous pouvez ainsi appliquer la configuration sans avoir à configurer
manuellement le produit ESET de chaque client. Une politique peut être appliquée directement à des
ordinateurs distincts et à des groupes (statiques et dynamiques). Vous pouvez également attribuer
plusieurs politiques à un ordinateur ou à un groupe, contrairement aux versions ESET Remote
Administrator 5 et antérieures dans lesquelles une seule politique pouvait être appliquée à un produit ou
composant.
Politiques et autorisations
L'utilisateur doit disposer d'autorisations suffisantes pour créer et attribuer des politiques. Vous trouverez cidessous les autorisations nécessaires pour effectuer certaines actions liées aux politiques :
• Pour lire la liste des politiques et leur configuration, un utilisateur doit disposer de l'autorisation Lire.
• Pour attribuer des politiques aux cibles, un utilisateur doit disposer de l'autorisation Utiliser.
• Pour créer ou modifier des politiques, un utilisateur doit disposer de l'autorisation Écrire.
Pour plus d'informations sur les droits d'accès, reportez-vous à la liste des autorisations.
EXEMPLE
• Si l'utilisateur John doit uniquement lire les politiques qu'il a créées, l'autorisation Lire est nécessaire pour
Politiques.
• Si l'utilisateur John doit attribuer certaines politiques aux ordinateurs, il doit disposer de l'autorisation Utiliser
pour Politiques et de l'autorisation Utiliser pour Groupes et ordinateurs.
• Pour accorder à John un accès complet aux politiques, l'administrateur doit définir l'autorisation Écrire sur
Politiques.
Application des politiques
Les politiques sont appliquées dans l'ordre dans lequel les groupes statiques sont disposés. Cela n'est pas le cas
pour les groupes dynamiques, où les groupes dynamiques enfants sont d'abord parcourus. Vous pouvez ainsi
appliquer des politiques avec un plus grand impact au niveau supérieur de l'arborescence des groupes et des
politiques plus spécifiques pour les sous-groupes. À l'aide des indicateurs, un utilisateur ERA ayant accès aux
groupes situés à un niveau supérieur de l'arborescence peut remplacer les politiques des groupes de niveau
inférieur. L’algorithme est expliqué en détail dans la section Application des politiques aux clients.
Fusion des politiques
Une politique appliquée à un client est généralement le résultat de plusieurs politiques fusionnées en une seule
politique finale.
REMARQUE
Il est recommandé d'attribuer des politiques plus génériques (mise à jour du serveur, par exemple) aux groupes
dont le niveau est supérieur dans l'arborescence des groupes. Des politiques plus spécifiques (des paramètres de
contrôle de périphérique, par exemple) doivent être appliquées aux groupes de niveau inférieur. La politique de
niveau inférieur remplace généralement les paramètres des politiques de niveau supérieur lors de la fusion (à
moins que des indicateurs de politique n'aient été définis).
187
REMARQUE
lorsqu'une politique est en place et que vous souhaitez la supprimer, la configuration des ordinateurs clients n'est
pas rétablie une fois la politique supprimée. La configuration conservée est celle de la dernière politique appliquée
aux clients. Il en est de même lorsqu'un ordinateur devient membre d'un groupe dynamique auquel une politique
spécifique qui modifie les paramètres de l'ordinateur est appliquée. Ces paramètres sont conservés même si
l'ordinateur ne figure plus dans le groupe dynamique. Pour cette raison, il est recommandé de créer une politique
avec des paramètres par défaut et de l'appliquer au groupe racine (Tous) pour que les valeurs par défaut de ces
paramètres soient rétablis dans une situation de ce type. Ainsi, lorsqu'un ordinateur ne figure plus dans un groupe
dynamique qui a modifié ses paramètres, les paramètres par défaut sont rétablis sur l'ordinateur.
Assistant Politiques
Les politiques sont regroupées/classées par produit ESET. Cliquez sur
pour développer une catégorie et afficher
les politiques disponibles. Les politiques intégrées contiennent des politiques prédéfinies. Les politiques
personnalisées répertorient les catégories de toutes les politiques créées manuellement.
Utilisez des politiques pour configurer votre produit ESET comme vous le feriez dans la fenêtre Configuration
avancée de l'interface utilisateur graphique du produit. Contrairement aux politiques d'Active Directory, les
politiques d'ERA ne peuvent pas comporter de scripts ou de séries de commandes. Saisissez un élément à
rechercher dans Configuration avancée (HIPS, par exemple). Tous les paramètres HIPS s'affichent. Lorsque vous
cliquez sur l'icône ? située dans le coin supérieur droit, une page d'aide en ligne sur le paramètre spécifique
s'affiche.
Filtre Accéder au groupe
Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les
objets visualisés selon le groupe qui les contient.
188
Créer une politique
1. Cliquez sur Admin > Politiques >Nouvelle politique.
2. Saisissez des informations de base sur la politique, telles que le Nom et la Description (facultatif).
3. Sélectionnez le bon produit dans la section Paramètres.
4. Utilisez des indicateurs pour ajouter des paramètres qui seront gérés par la politique.
5. Spécifiez les clients auxquels sera appliquée cette politique. Cliquez sur Attribuer pour afficher tous les
groupes statiques et dynamiques et leurs membres. Sélectionnez l'ordinateur auquel appliquer la politique, puis
cliquez sur OK.
6. Passez en revue les paramètres de cette politique, puis cliquez sur Terminer.
Indicateurs
Lors de la fusion de politiques, vous pouvez modifier le comportement à l'aide d'indicateurs de politique. Les
indicateurs définissent la façon dont un paramètre est géré par la politique.
Pour chaque paramètre, vous pouvez sélectionner l'un des indicateurs suivants :
Ne pas appliquer : un paramètre associé à cet indicateur n'est pas défini par la politique. Comme l'application
de ce paramètre n'est pas forcée, il peut être modifié ultérieurement par d'autres politiques.
Appliquer : les paramètres associés à cet indicateur seront envoyés au client. Toutefois, en cas de fusion des
politiques, les paramètres peuvent être remplacés par une politique ultérieure. Lorsqu'une politique est appliquée
à un ordinateur client et qu'un paramètre spécifique est associé à cet indicateur, ce dernier est modifié
indépendamment de ce qui est configuré localement sur le client. Comme l'application de ce paramètre n'est pas
forcée, il peut être modifié ultérieurement par d'autres politiques.
Forcer : les paramètres associés à l'indicateur Forcer sont prioritaires et ne peuvent pas être remplacés par une
politique ultérieure (même si cette politique ultérieure est associée à un indicateur Forcer). Il garantit que ces
paramètres ne seront pas modifiés par des politiques ultérieures lors de la fusion.
Pour faciliter la navigation, toutes les règles sont comptabilisées. Le nombre de règles que vous avez définies dans
une section spécifique s'affiche automatiquement. Un nombre apparaît également en regard du nom d'une
catégorie dans l'arborescence de gauche. Il indique la somme des règles dans toutes ses sections. Vous pouvez
ainsi rapidement déterminer l'emplacement et le nombre de paramètres/règles définis.
Pour faciliter la modification des politiques, vous pouvez également suivre ces suggestions :
• utiliser
• utiliser
189
pour définir l'indicateur Appliquer sur tous les éléments d'une section ;
pour supprimer les règles appliquées aux éléments de la section actuelle.
EXEMPLE : comment un administrateur peut autoriser des utilisateurs à afficher toutes les
politiques
L'administrateur veut autoriser John à créer et modifier des politiques dans son groupe résidentiel et à afficher les
politiques créées par l'administrateur. Les politiques créées par l'administrateur comprennent l'indicateur
Forcer. L'utilisateur John peut afficher toutes les politiques, mais il ne peut pas modifier celles créées par
l'administrateur, car une autorisation Lire est définie pour Politiques avec un accès au groupe statique Tous.
L'utilisateur John peut créer ou modifier des politiques dans son groupe résidentiel San Diego.
L'administrateur doit procéder comme suit :
Créer l'environnement
1. Il doit créer un groupe statique appelé San Diego.
2. Il doit créer un jeu d'autorisations appelé Politique - Tous John avec un accès au groupe statique Tous et une
autorisation Lecture pour Politiques.
3. Il doit créer un jeu d'autorisations appelé Politique John avec un accès au groupe statique San Diego et une
autorisation Écrire pour Groupe et ordinateurs et Politiques. Ce jeu d'autorisations permet à John de créer ou
modifier des politiques dans son groupe résidentiel San Diego.
4. Il doit créer l'utilisateur John et sélectionner dans la section Jeux d'autorisations Politique - Tous John et
Politique John.
Créer les politiques
5. Il doit créer la politique Tous- Activer le pare-feu, développer la section
Paramètres, sélectionner ESET
Endpoint pour Windows, accéder à Pare-feu personnel > Général et appliquer tous les paramètres par
l'indicateur Forcer. Il doit développer la section
Attribuer et sélectionner le groupe statique Tous.
6. Il doit créer la politique Groupe de John- Activer le pare-feu, développer la section
Paramètre, sélectionner
ESET Endpoint pour Windows, accéder à Pare-feu personnel > Général et appliquer tous les paramètres par
l'indicateur Appliquer. Il doit développer la section Attribuer et sélectionner le groupe statique San Diego.
Résultat
Les politiques créées par l'administrateur seront appliquées en premier en raison de l'utilisation de l'indicateur
Forcer. Les paramètres associés à l'indicateur Forcer ont la priorité et ne peuvent pas être remplacés par une
politique ultérieure. Les politiques créées par l'utilisateur John seront ensuite appliquées.
Accédez à Admin > Groupes > San Diego, cliquez sur l'ordinateur et sélectionnez Afficher les détails. Dans
Configuration > Politiques appliquées, vous pouvez voir l'ordre final de l'application des politiques.
La première politique est créée par l'administrateur et la seconde par John.
Gérer les politiques
Les politiques sont regroupées/classées par produit ESET. Cliquez sur
pour développer une catégorie et afficher
les politiques disponibles. Les politiques intégrées contiennent des politiques prédéfinies. Les politiques
personnalisées répertorient les catégories de toutes les politiques créées manuellement ou modifiées.
Actions disponibles pour les politiques :
Nouveau
Fonction utilisée pour créer une politique.
Modifier
Fonction utilisée pour modifier une politique existante.
Dupliquer
Fonction utilisée pour créer une politique à partir d'une politique existante que vous avez sélectionnée. La politique
en double requiert un nouveau nom.
Affecter
190
Fonction utilisée pour attribuer une politique à un groupe ou un client.
Supprimer
Fonction utilisée pour supprimer une politique.
Importer
Cliquez sur Politiques > Importer, sur Sélectionner un fichier et recherchez le fichier à importer. Pour
sélectionner plusieurs politiques, voir les modes ci-dessous.
Exporter
Sélectionnez une politique à exporter dans la liste et cliquez sur Politiques > Exporter. La politique est exportée
sous forme de fichier .dat. Pour exporter plusieurs politiques, modifiez le mode de sélection (voir les modes cidessous).
Groupe d'accès
Fonction utilisée pour déplacer une politique vers un autre groupe.
Vous pouvez utiliser l'option Modes pour modifier le mode de sélection (unique ou multiple). Cliquez sur la flèche
dans le coin supérieur droit et sélectionnez l'une des options suivantes dans le menu contextuel :
Mode de sélection unique : vous pouvez sélectionner un seul élément.
Mode de sélection multiple : permet d'utiliser les cases à cocher pour sélectionner plusieurs éléments.
Rafraîchir : recharge/actualise les informations affichées.
Développer tout : permet d'afficher toutes les informations.
Réduire tout : permet de masquer toutes les informations.
Application des politiques aux clients
Plusieurs politiques peuvent être attribuées aux groupes et aux ordinateurs. En outre, un ordinateur peut figurer
dans un groupe imbriqué profondément dont les parents disposent de leurs propres politiques.
L'ordre des politiques est l'élément le plus important lors de leur application. Il est dérivé de l'ordre des groupes et
de celui des politiques appliquées à un groupe.
Pour déterminer la politique active d'un client, suivez les étapes suivantes :
1. Déterminer l'ordre des groupes dans lesquels se trouve le client
2. Remplacer les groupes par les politiques attribuées
3. Fusionner les politiques pour obtenir des paramètres finaux
Classement des groupes
Les politiques peuvent être attribuées à des groupes et appliquées dans un ordre spécifique. Les règles
écrites ci-après déterminent l'ordre d'application des politiques aux clients.
1. Règle 1 : les groupes statiques sont parcourus à partir du groupe statique racine (Tous).
2. Règle 2 : à chaque niveau, les groupes statiques sont d'abord parcourus dans l'ordre dans lequel ils
apparaissent dans l'arborescence (recherche en largeur).
3. Règle 3 : une fois que tous les groupes statiques à un certain niveau sont comptabilisés, ils sont parcourus.
191
4. Règle 4 : dans chaque groupe dynamique, tous les enfants sont parcourus dans l'ordre dans lequel ils
apparaissent dans la liste.
5. Règle 5 : à n'importe quel niveau d'un groupe dynamique, les enfants sont répertoriés et leurs enfants font
l'objet d'une recherche. Lorsqu'il n'y a plus d'enfants, les groupes dynamiques suivants au niveau parent sont
répertoriés (recherche en profondeur).
6. Règle 6 : Le parcours se termine au niveau Ordinateur.
IMPORTANT
La politique est appliquée à l'ordinateur, ce qui signifie que le parcours se termine à l'ordinateur auquel vous
souhaitez appliquer la politique.
À l'aide des règles écrites ci-dessus, l'ordre d'application des politiques aux ordinateurs seraient le suivant :
PC1:
1. ALL
2. SG1
3. PC1
PC2:
1. ALL
2. SG1
3. DG1
4. PC2
PC3:
1. ALL
2. SG2
3. SG3
4. PC3
PC4:
1. ALL
2. SG2
3. SG3
4. DG4
5. DG5
6. DG6
7. PC4
Énumération des politiques
Une fois que l'ordre des groupes est connu, l'étape suivante consiste à remplacer chaque groupe par les politiques
qui lui sont attribuées. Les politiques sont répertoriées dans le même ordre que celui de leur attribution à un
192
groupe. Il est possible de modifier la priorité des politiques d'un groupe auquel plusieurs politiques sont attribuées.
Chaque politique configure un seul produit (ERA Agent, ERA Proxy, EES, etc.)
REMARQUE
Un groupe sans politique est supprimé de la liste.
3 politiques sont appliquées à des groupes statiques et dynamiques (voir l'illustration ci-dessous ) :
Ordre dans lequel les politiques sont appliquées sur l'ordinateur. La liste suivante affiche les groupes
et les politiques qui leur sont appliquées :
1. Tous -> supprimé, aucune politique
2. GS 2 -> Politique 1, Politique 2
3. GS 3 -> supprimé, car sans politique
4. GD 1 -> Politique 1, Politique 2
5. GD 3 -> supprimé, car sans politique
6. GD 2 -> Politique 3
7. GD 4 -> supprimé, car sans politique
8. GD 5 -> supprimé, car sans politique
9. GD 6 -> supprimé, car sans politique
10. Ordinateur -> supprimé, car sans politique
La liste finale des politiques est la suivante :
1. Politique 1
2. Politique 2
3. Politique 1
4. Politique 2
5. Politique 3
Fusion des politiques
Les politiques sont fusionnées une par une. Lors de la fusion des politiques, la dernière politique remplace toujours
les paramètres définis par la précédente. Pour modifier ce comportement, vous pouvez utiliser des indicateurs de
politique (disponibles pour chaque paramètre). Certains paramètres possèdent une autre règle (remplacer / ajouter
/ ajouter au début) que vous pouvez configurer.
Gardez à l'esprit que la structure des groupes (leur hiérarchie) et la séquence des politiques déterminent la façon
dont celles-ci sont fusionnées. La fusion de deux politiques peut donner des résultats différents en fonction de leur
ordre.
Lors de la création des politiques, vous pourrez constater que certains paramètres possèdent des règles
supplémentaires que vous pouvez configurer. Ces règles permettent d'organiser les mêmes paramètres dans
diverses politiques.
193
• Remplacer : règle par défaut utilisée lors de la fusion des politiques. Elle remplace l'ensemble des paramètres
par la politique précédente.
• Ajouter : lorsque vous appliquez un même paramètre dans plusieurs politiques, vous pouvez l'ajouter à l'aide
de cette règle. Le paramètre est alors placé à la fin de la liste qui a été créée en fusionnant les politiques.
• Ajouter au début : lorsque vous appliquez un même paramètre dans plusieurs politiques, vous pouvez
l'ajouter au début à l'aide de cette règle. Le paramètre est alors placé au début de la liste qui a été créée en
fusionnant les politiques.
REMARQUE
• Dans ERA version 6.4 et les versions antérieures, la règle Remplacer est la règle par défaut et la seule
disponible.
• Dans ERA version 6.5, les paramètres qui n'autorisent pas la sélection de l'une des règles répertoriées ci-dessus
possèdent la règle par défaut Remplacer.
Exemple de fusion de politiques
Cet exemple fournit les informations suivantes :
• Instructions pour appliquer des paramètres de politique aux produits de sécurité ESET Endpoint
• Description de la fusion des politiques lors de l'application d'indicateurs et de règles
Dans les cas où l'administrateur souhaite effectuer les opérations suivantes :
• Refuser l'accès du bureau de San Diego aux sites Web www.forbidden.uk, www.deny-acces.com,
www.forbidden-websites.uk et www.forbidden-website.com
• Autoriser l'accès du service Marketing aux sites Web www.forbidden.uk et www.deny-acces.com
194
L'administrateur doit procéder comme suit :
1. Il doit créer un nouveau groupe statique Bureau San Diego, puis le sous-groupe Service Marketing du groupe
statique Bureau San Diego.
2. Il doit accéder à Admin > Politique et créer une politique de la manière suivante :
a)Il doit l'appeler Bureau San Diego.
b)Il doit développer Paramètres et sélectionner Produit de sécurité ESET pour Windows.
c)Il doit accéder à Internet et messagerie > Protection de l'accès Web > Gestion des adresses URL.
d)Il doit cliquer sur le bouton Appliquer la politique et modifier la liste des adresses en cliquant sur
Modifier.
e)Il doit cliquer sur Liste des adresses bloquées et sélectionner Modifier.
f)Il doit ajouter les adresses Web suivantes : www.forbidden.uk, www.deny-acces.com,
www.forbidden-websites.uk et www.forbidden-website.com. Il doit ensuite enregistrer la liste des adresses
bloquées et la liste des adresses.
g)Il doit développer Attribuer et attribuer la politique à Bureau San Diego et au sous-groupe Service
Marketing.
h)Il doit cliquer sur Terminer pour enregistrer la politique.
Cette politique sera appliquée à Bureau San Diego et Service Marketing et bloquera les sites Web, comme illustré
ci-dessous.
3. Il doit accéder à Admin > Politique et créer une politique :
a)Il doit l'appeler Service Marketing.
195
b)Il doit développer Paramètres et sélectionner Produit de sécurité ESET pour Windows.
c)Il doit accéder à la section Internet et messagerie > Protection de l'accès Web > Gestion des
adresses URL.
d)Il doit cliquer sur
le bouton Appliquer la politique, sélectionner la règle Ajouter et modifier la liste
des adresses en cliquant sur Modifier. La règle Ajouter place la liste des adresses à la fin lors de la fusion
des politiques.
e)Il doit cliquer sur Liste des adresses autorisées > Modifier.
f)Il doit ajouter les adresses Web suivantes : www.forbidden.uk et www.deny-acces.com. Il doit ensuite
enregistrer la liste des adresses autorisées et la liste des adresses.
g)Il doit développer Attribuer et attribuer la politique à Service Marketing.
h)Il doit cliquer sur Terminer pour enregistrer la politique.
Cette politique sera appliquée à Service Marketing et autorisera l'accès aux sites Web, comme illustrés ci-dessous.
4. La politique finale comprendra les deux politiques appliquées à Bureau San Diego et Service Marketing.
L'administrateur doit ouvrir le produit Endpoint Security, accéder à Configuration > Internet et
messagerie > Configuration avancée, sélectionner l'onglet Internet et messagerie > Protection de
l'accès Web et développer Gestion des adresses URL. La configuration finale du produit Endpoint sera
affichée.
196
La configuration finale comprend les éléments suivants :
1. Liste des adresses de la politique Bureau San Diego
2. Liste des adresses de la politique Service Marketing
Configuration d'un produit à partir d'ERA
Vous pouvez utiliser des politiques pour configurer votre produit ESET comme vous le feriez dans la fenêtre
Configuration avancée de l'interface utilisateur graphique du produit. Contrairement aux politiques d'Active
Directory, les politiques d'ERA ne peuvent pas comporter de scripts ou de séries de commandes.
Pour les versions 6+ des produits de sécurité ESET, il existe des options dans Interface utilisateur > Éléments
de l’interface utilisateur > États avec deux propriétés :
• Afficher : l'état est signalé sur l'interface utilisateur client.
• Envoyer : l'état est signalé à ERA.
Voici des exemples d'utilisation de politique pour configurer les produits ESET :
• Paramètres de politique d'ERA Agent
• Paramètres de politique d'ERA Proxy
• Paramètres de politique ESET Rogue Detection Sensor
• Créer une politique pour MDM iOS - Compte Exchange ActiveSync
• Créer une politique pour MDC pour activer APNS pour l'inscription iOS
Attribuer une politique à un groupe
Une fois une politique créée, vous pouvez l'attribuer à un groupe statique ou dynamique. Il existe deux
méthodes pour attribuer une politique :
1. Sous Admin > Politiques, sélectionnez une politique, puis cliquez sur Affecter un ou des groupes.
Sélectionnez un groupe statique ou dynamique, puis cliquez sur OK.
197
Dans la liste, sélectionnez Groupe.
198
2. Cliquez sur Admin > Groupes > Groupe ou sur l'icône
sélectionnez Gérer les politiques.
199
située en regard du nom du groupe, puis
Dans la fenêtre Ordre d'application de la politique, cliquez sur Ajouter une politique. Cochez la case située
en regard de la politique à attribuer à ce groupe, puis cliquez sur OK.
Cliquez sur Fermer. Pour afficher la liste des politiques attribuées à un groupe spécifique, sélectionnez le groupe,
puis cliquez sur l'onglet Politiques.
REMARQUE
pour plus d'informations sur les politiques, reportez-vous au chapitre Politiques.
Attribuer une politique à un client
Pour attribuer une politique à un poste de travail client, cliquez sur Admin > Politiques, sélectionnez l'onglet
Clients, puis cliquez sur Affecter un ou des clients.
200
Sélectionnez le ou les ordinateurs clients cibles, puis cliquez sur OK. La politique est attribuée à tous les
ordinateurs sélectionnés.
Paramètres de politique d'ERA Proxy
Il est possible de modifier le comportement des ordinateurs ERA Proxy via une politique. Cette politique sert
principalement à modifier des paramètres tels que l'intervalle de connexion ou le serveur auquel le proxy est
connecté.
201
Cliquez sur Politiques et développez Politiques intégrées pour modifier une politique ou créez-en une.
Connexion
Port Remote Administrator : il s'agit du port pour la connexion entre ESET Remote Administrator Server et
Proxy. Si vous modifiez cette option, le service ERA Server doit être redémarré pour que la modification soit prise
en compte.
Serveurs auxquels se connecter : pour ajouter les détails de la connexion à ERA Server (nom d'hôte/adresse IP
et numéro de port), cliquez sur Modifier la liste de serveurs. Il est possible de spécifier plusieurs serveurs ERA
Server. Cela peut s'avérer utile si vous avez modifié l'adresse IP d'ERA Server ou si vous effectuez une migration.
Limite de données : indiquez le nombre maximal d'octets pour l'envoi des données.
Intervalle de connexion : sélectionnez Intervalle régulier et indiquez une valeur de temps pour l'intervalle de
connexion (vous pouvez également utiliser une expression CRON).
Certificat : vous pouvez gérer les certificats homologues d'ERA Proxy. Cliquez sur Modifier le certificat et
sélectionnez le certificat ERA Proxy qu'ERA Proxy doit utiliser. Pour plus d’informations, reportez-vous au chapitre
Certificats homologues.
Paramètres avancés
Diagnostics : active ou désactive l'envoi des statistiques des rapports de défaillance anonymes à ESET pour
l'amélioration de l'expérience client.
Journalisation : définissez le détail de journal qui détermine le niveau d’informations collectées et journalisées,
de Trace (informations) à Fatal (informations critiques les plus importantes).
Affecter
Spécifiez les clients auxquels sera appliquée cette politique. Cliquez sur Attribuer pour afficher tous les groupes
statiques et dynamiques et leurs membres. Sélectionnez l'ordinateur auquel appliquer la politique, puis cliquez sur
OK.
Synthèse
Passez en revue les paramètres de cette politique, puis cliquez sur Terminer.
Paramètres de politique d'ESET Rogue Detection Sensor
Il est possible de modifier le comportement d'ESET RD Sensor à l'aide d'une politique. Celle-ci est principalement
utilisée pour modifier le filtrage des adresses. Vous pouvez par exemple inclure certaines adresses dans la liste
noire pour qu'elles ne soient pas détectées.
Cliquez sur Politiques et développez Politiques personnalisées pour modifier une politique existante ou créezen une.
Filtres
IPv4 Filtre
Activer le filtrage des adresses IPv4 : si le filtrage est activé, seuls les ordinateurs dont les adresses IP
figurent dans la liste blanche de la liste de filtres IPv4 ou qui ne figurent pas dans la liste noire seront détectés.
202
Filtres : indiquez si la liste est une liste blanche ou une liste noire.
Liste des adresses IPv4 : cliquez sur Modifier la liste d'adresses IPv4 pour ajouter ou supprimer des
adresses de la liste.
MAC Filtre de préfixes des adresses
Activer le filtrage du préfixe des adresses MAC : si le filtrage est activé, seuls les ordinateurs dont le
préfixe (xx:xx:xx) des adresses MAC figure dans la liste blanche des préfixes d'adresse MAC ou qui ne figure pas
dans la liste noire seront détectés.
Mode de filtrage : indiquez si la liste est une liste blanche ou une liste noire.
Liste de préfixes des adresses MAC : cliquez sur Modifier la liste des préfixes MAC pour ajouter ou
supprimer un préfixe de la liste.
Détection
Détection active : si cette option est activée, RD Sensor recherche activement des ordinateurs sur le réseau
local. Bien que cette option permette d'améliorer les résultats de la recherche, elle peut aussi déclencher des
avertissements sur certains ordinateurs.
Ports de détection de SE : RD Sensor utilise une liste de ports préconfigurés pour rechercher des ordinateurs sur
le réseau local. Cette liste peut être ajoutée en modifiant les listes ci-après.
Paramètres avancés
Diagnostics : active ou désactive l'envoi des statistiques des rapports de défaillance anonymes à ESET pour
l'amélioration de l'expérience client.
Attribuer
Spécifiez les clients auxquels sera appliquée cette politique. Cliquez sur Attribuer pour afficher tous les groupes
statiques et dynamiques et leurs membres. Sélectionnez l'ordinateur auquel appliquer la politique, puis cliquez sur
OK.
Synthèse
Passez en revue les paramètres de cette politique, puis cliquez sur Terminer.
Utilisation du mode de remplacement
Les utilisateurs qui disposent des produits ESET Endpoint (version 6.5 et ultérieure) pour Windows peuvent utiliser
la fonctionnalité de remplacement. Le mode de remplacement permet aux utilisateurs au niveau des ordinateurs
client de modifier les paramètres du produit ESET installé, même si une politique est appliquée sur ces derniers. Il
peut être activé pour certains utilisateurs d'Active Directory ou être protégé par mot de passe. Cette fonction ne
peut pas être activée pendant plus de quatre heures d'affilée.
AVERTISSEMENT
Il n'est pas possible d'interrompre le mode de remplacement à partir d'ERA Web Console. Il est désactivé
uniquement après expiration ou s'il est désactivé sur le client.
Pour définir le mode de remplacement :
1. Accédez à Admin > Politiques > Nouvelle politique.
2. Dans la section Général
, saisissez un nom et une description pour cette politique.
3. Dans la section Paramètres
, sélectionnez ESET Endpoint pour Windows.
4. Cliquez sur Mode de remplacement, puis configurez les règles du mode de remplacement.
203
5. Dans la section Attribuer
, sélectionnez l'ordinateur ou le groupe d'ordinateurs auquel celle politique doit
être appliquée.
6. Passez en revue les paramètres dans la section Synthèse
et cliquez sur Terminer pour appliquer la
politique.
EXEMPLE
Si John rencontre un problème parce que ses paramètres Endpoint bloquent une fonctionnalité importante ou
l'accès à Internet sur son ordinateur, l'administrateur peut autoriser John à remplacer sa politique Endpoint
existante et modifier manuellement les paramètres sur cet ordinateur. Ces nouveaux paramètres peuvent être
ensuite demandés par ERA pour que l'administrateur puisse créer une politique à partir de ces derniers.
Pour ce faire, procédez comme suit :
1. Accédez à Admin > Politiques > Nouvelle politique.
2. Renseignez les champs Nom et Description. Dans la section Paramètres, sélectionnez ESET Endpoint pour
Windows.
3. Cliquez sur Mode de remplacement, activez le mode pour une heure et sélectionnez John en tant
qu'utilisateur Active Directory.
4. Attribuez la politique à l'ordinateur de John, puis cliquez sur Terminer pour enregistrer la politique.
5. John doit activer le mode de remplacement dans ESET Endpoint et modifier manuellement les paramètres sur
son ordinateur.
6. Dans ERA Web Console, accédez à Ordinateurs, sélectionnez l'ordinateur de John, puis cliquez sur Afficher les
détails.
7. Dans la section Configuration, cliquez sur Demander la configuration pour planifier une tâche client afin
d'obtenir dès que possible la configuration du client.
8. Peu de temps après, la nouvelle configuration apparaît. Cliquez sur le produit pour lequel vous souhaitez
enregistrer les paramètres, puis cliquez sur Ouvrir la configuration.
9. Vous pouvez passer en revue les paramètres et cliquer sur Convertir en politique.
10. Renseignez les champs Nom et Description.
11. Dans la section Paramètres, vous pouvez modifier les paramètres en cas de besoin.
12. Dans la section Attribuer, vous pouvez attribuer la politique à l'ordinateur de John (ou à d'autres).
13. Cliquez sur Terminer pour enregistrer les paramètres.
14. N'oubliez pas de supprimer la politique de remplacement lorsqu'elle n'est plus utile.
Tâches client
Vous pouvez utiliser des tâches client pour administrer des ordinateurs clients et leurs produits ESET. Il existe un
204
ensemble de tâches prédéfinies qui couvrent les scénarios les plus courants. Vous pouvez également créer une
tâche client personnalisée avec des paramètres spécifiques. Utilisez des tâches client pour demander une action à
des ordinateurs clients. Pour exécuter correctement une tâche client, vous devez disposer des droits d'accès
suffisants pour la tâche et les objets (périphériques) utilisés par la tâche. Pour plus d'informations sur les droits
d'accès, reportez-vous à la liste des autorisations.
Les tâches client peuvent être attribuées à des groupes ou des ordinateurs distincts. Une fois créée, une tâche est
exécutée à l'aide d'un déclencheur. Les tâches client sont distribuées aux clients lorsque l'Agent ERA d'un client se
connecte au ERA Server. De même, la communication des résultats de l'exécution des tâches vers ERA Server peut
prendre également du temps. Vous pouvez gérer l'intervalle de connexion d'ERA Agent pour réduire les durées
d'exécution des tâches. Les tâches prédéfinies suivantes sont disponibles (chaque catégorie de tâches contient
des types de tâches) :
Aoutes les tâches
Produit de sécurité ESET
Exporter la configuration des produits administrés
Analyse à la demande
Activation du produit
Gestion de la quarantaine
Exécuter un script SysInspector
Analyse du serveur
Installer un logiciel
Demande de journal SysInspector (Windows uniquement)
Charger un fichier mis en quarantaine
Mise à jour des modules
Restauration de la mise à jour des modules
ESET Remote Administrator
Mettre à jour les composants d'ESET Remote Administrator
Redéfinir l’agent cloné
Réinitialiser la base de données de Rogue Detection Sensor
Arrêter l'administration (désinstaller l'agent ERA)
Système d'exploitation
Afficher le message
Mise à jour du système d’exploitation
Exécuter une commande
Arrêter l’ordinateur
Installer un logiciel
Désinstaller un logiciel
Arrêter l'administration (désinstaller l'agent ERA)
Mobile
Actions Antivol
Afficher le message
Exporter la configuration des produits administrés
Analyse à la demande
Activation du produit
Installer un logiciel
Arrêter l'administration (désinstaller l'agent ERA)
Mise à jour des modules
Exécutions des tâches client
Il est possible de suivre l'état de chaque tâche client sous Admin > Tâches client. Pour chaque tâche, une barre
d'indicateur de progression et une icône État sont affichées. Vous pouvez Descendre dans la hiérarchie pour
afficher des détails supplémentaires sur une tâche client donnée et effectuer des actions supplémentaires comme
Exécuter sur ou Réexécuter en cas d'échec.
205
IMPORTANT
Vous devez créer un déclencheur pour exécuter toutes les tâches client.
REMARQUE
de nombreuses données étant réévaluées pendant ce processus, son exécution peut donc durer plus longtemps
que dans les versions précédentes (selon la tâche client, le déclencheur client et le nombre total d'ordinateurs).
Pour plus d'informations sur les différents types d'icône et les états, reportez-vous à Icône d'état.
• Action de la tâche client (cliquez sur la tâche client pour afficher le menu contextuel) :
Afficher les détails...
Les Détails de la tâche de client affichent des informations résumées sur la tâche. Cliquez sur l'onglet
Exécutions pour faire passer la vue au résultat de chaque exécution. Vous pouvez Descendre dans la hiérarchie
pour afficher plus de détails sur une tâche client donnée. Si les exécutions sont trop nombreuses, vous pouvez
filtrer la vue pour limiter les résultats.
REMARQUE
Lors de l'installation de produits ESET plus anciens, le rapport de la tâche client indiquera : La tâche a été remise
au produit géré.
Modifier...
Cette option permet de modifier la tâche client sélectionnée. La modification de tâches existantes s'avère utile
lorsque vous ne devez effectuer que quelques petits ajustements. Pour des tâches plus uniques, vous préférerez
peut-être les créer de toutes pièces.
Dupliquer...
Cette option permet de créer une nouvelle tâche selon la tâche sélectionnée. Un nouveau nom est requis pour la
tâche en double.
206
Supprimer
Supprime entièrement la ou les tâches sélectionnées.
Exécuter sur...
Ajoutez un nouveau déclencheur et sélectionnez des ordinateurs ou des groupes cibles pour cette tâche.
Réexécuter en cas d'échec
Crée un déclencheur ayant pour cibles tous les ordinateurs sur lesquels l'exécution précédente de la tâche a
échoué. Vous pouvez modifier les paramètres de la tâche, si vous préférez, ou cliquer sur Terminer pour
réexécuter la tâche inchangée.
Accéder au groupe : permet de déplacer la tâche client vers un groupe statique différent.
• Action Exécution (utilisez le signe
pour développer la tâche client et afficher ses exécutions/déclencheurs ;
cliquez sur le déclencheur pour afficher un menu contextuel) :
Modifier...
Cette option permet de modifier le déclencheur sélectionné.
Réexécuter dès que possible
Vous pouvez réexécuter la tâche client (dès que possible) en utilisant directement le déclencheur existant aucune
modification.
Supprimer
Supprime entièrement le déclencheur sélectionné.
Dupliquer...
207
Cette option permet de créer un déclencheur sur la base de celui sélectionné. Un nouveau nom est requis pour le
nouveau déclencheur.
Filtre Accéder au groupe
Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les
objets visualisés selon le groupe qui les contient.
Indicateur de progression
L'indicateur de progression est une barre de couleurs qui montre l'état de l'exécution d'une tâche client. Chaque
tâche client possède son propre indicateur (affiché dans la ligne Progression). L'état d'exécution d'une tâche
client s'affiche dans trois couleurs différentes et comprend le nombre d'ordinateurs dans cet état pour une tâche
donnée :
En cours (bleu)
Correctement terminé (vert)
Échec (orange)
Tâche client nouvellement créée (blanc) : il peut falloir un peu de temps pour que l'indicateur change de couleur.
ERA Server doit recevoir une réponse d'ERA Agent pour afficher l'état d'exécution. L'indicateur de progression sera
blanc si aucun déclencheur n'est attribué.
Une combinaison de ce qui précède
Lorsque vous cliquez sur la barre de couleurs, vous pouvez sélectionner des résultats d'exécution et effectuer
d'autres tâches, si nécessaire. Pour plus d'informations, voir Descendre dans la hiérarchie.
Pour plus d'informations sur les différents types d'icône et les états, reportez-vous à Légende des icônes.
IMPORTANT
l'indicateur de progression montre l'état d'une tâche client lors de sa dernière exécution. Ces informations sont
fournies par ERA Agent. L'indicateur de progression montre les informations qu'ERA Agent signale à partir des
ordinateurs client.
208
Icône d'état
L'icône en regard de l'indicateur de progression fournit des informations supplémentaires. Elle indique si des
exécutions sont planifiées pour une tâche client donnée ainsi que le résultat des exécutions terminées. Ces
informations sont énumérées par ERA Server. Les états suivants sont possibles :
En cours
Réussite
Erreur
La tâche client est en cours d'exécution sur, au moins, une cible ; aucune exécution n'est
planifiée ou n'a échoué. Cela s'applique même si la tâche client a déjà été terminée sur
certaines cibles.
La tâche client s'est terminée sur toutes les cibles ; aucune exécution n'est planifiée ou en
cours.
La tâche client a été exécutée sur toutes les cibles, mais a échoué sur au moins une d'elles.
Aucune autre exécution n'est planifiée.
L'exécution de la tâche client est planifiée, mais aucune exécution n'est en cours.
Planifiée
Planifiée/En cours La tâche client a des exécutions planifiées (du passé ou dans le futur). Aucune exécution n'a
échoué et au moins une exécution est en cours.
Planifiée/Réussite La tâche client a encore quelques exécutions planifiées (du passé ou dans le futur), aucune
exécution n'a échoué ou n'est en cours, et au moins une exécution a réussi.
Planifiée/Erreur La tâche client a encore quelques exécutions planifiées (du passé ou dans le futur), aucune
exécution n'est en cours et au moins une exécution a échoué. Cela s'applique même si
certaines exécutions se sont terminées avec succès.
Descendre dans la hiérarchie
Lorsque vous cliquez sur la barre de couleurs de l'indicateur de progression, vous pouvez sélectionner l'un des
résultats suivants :
• Afficher tout
• Afficher les exécutions planifiées
• Afficher les exécutions en cours
• Afficher les réussites
• Afficher les échecs
Une fenêtre Exécutions affiche la liste des ordinateurs avec le résultat sélectionné (à l'aide d'un filtre). Les
ordinateurs dont le résultat est différent de celui qui a été sélectionné ne sont pas affichés. Vous pouvez modifier
le filtre ou le désactiver pour afficher tous les ordinateurs indépendamment de leur dernier état.
209
Vous pouvez également descendre d'un autre niveau dans la hiérarchie, en sélectionnant par exemple Historique
afin d'afficher les détails sur l'exécution de la tâche client, notamment la date d'exécution, l'état actuel, la
progression et le message de suivi (le cas échéant). Vous pouvez cliquer sur Nom de l'ordinateur ou
Description de l'ordinateur, puis effectuer d'autres actions, si nécessaire. Vous pouvez également afficher les
détails de l'ordinateur pour un client spécifique.
210
REMARQUE
si le tableau de l'historique des exécutions ne contient aucune entrée, définissez le filtre Produit sur une durée
plus longue.
Déclencheur
Il faut attribuer un déclencheur à une tâche client pour qu'elle soit executée. Pour définir un déclencheur,
sélectionnez les ordinateurs ou les groupes cibles sur lesquels une tâche client doit être exécutée. Lorsque la ou
les cibles sont sélectionnées, définissez les conditions du déclencheur pour exécuter la tâche à moment précisé
ou lors d'un événement server. Vous pouvez également utiliser Paramètres avancés de la limitation pour
optimiser le déclencheur, si nécessaire.
Général
Saisissez des informations de base sur le Déclencheur dans le cham Description, puis cliquez sur Cible.
Cible
La fenêtre Cible vous permet de spécifier les clients (ordinateurs ou groupes) destinataires de cette tâche. Cliquez
sur Ajouter des cibles pour afficher tous les groupes statiques et dynamiques et leurs membres.
Sélectionnez des clients, cliquez sur OK, puis passez à la section Déclencheur.
Déclencheur : détermine l'événement qui déclenche la tâche.
• Dès que possible : exécute la tâche dès que le client se connecte à ESET Remote Administrator Server et
la reçoit. Si la tâche ne peut pas être effectuée avant la date d'expiration, elle est retirée de la file d'attente.
La tâche n'est pas supprimée, mais elle ne sera pas exécutée.
• Déclencheur planifié : exécute la tâche à une date sélectionnée. Vous pouvez planifier la tâche une seule
fois, de manière répétée ou à l'aide d'une expression CRON.
• Déclencheur lié au Journal des événements : exécute la tâche selon les événements spécifiés dans
cette zone. Ce déclencheur est invoqué lorsqu'un événement d'un certain type se produit dans les journaux.
211
Définissez le type de journal, l'opérateur logique et les critères de filtrage qui déclencheront cette tâche.
• Déclencheur A rejoint le groupe dynamique : ce déclencheur exécute la tâche lorsqu'un client rejoint le
groupe dynamique sélectionné dans l'option cible. Si un groupe statique ou un client a été sélectionné, cette
option ne sera pas disponible.
REMARQUE
pour plus d'informations sur les déclencheurs, reportez-vous au chapitre Déclencheurs.
Paramètres avancés de la limitation : une limitation sert à limiter
l'exécution d'une tâche si cette dernière est déclenchée par un
événement qui se produit fréquemment, comme dans les cas
Déclencheur lié au Journal des événements et Déclencheur A rejoint
le groupe dynamique (voir ci-dessus). Pour plus d'informations,
reportez-vous au chapitre Limitation.
Lorsque vous avez défini les destinataires et les déclencheurs de cette tâche, cliquez sur Terminer.
Arrêter l’ordinateur
Vous pouvez utiliser la tâche Arrêter l’ordinateur ou redémarrer les ordinateurs clients. Cliquez sur Nouveau...
pour commencer à configurer la nouvelle tâche.
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Dans ce cas, vous
pouvez utiliser la tâche Arrêter l'ordinateur.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
212
Paramètres
• Redémarrer le ou les ordinateurs : cochez cette case si vous voulez redémarrer après l’achèvement de la
tâche. Si vous voulez arrêter le ou les ordinateurs, ne cochez pas cette case.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Analyse à la demande
La tâche Analyse à la demande vous permet d'exécuter manuellement une analyse sur l'ordinateur client (en
plus d'une analyse régulière planifiée). Cliquez sur Nouveau... pour commencer à configurer la nouvelle tâche.
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Dans ce cas, vous
pouvez utiliser la tâche Analyse à la demande.
213
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Paramètres
Arrêter après l'analyse : si vous cochez cette case, l'ordinateur s'arrête à la fin de l'analyse.
Profil d'analyse : vous pouvez sélectionner le profil de votre choix
dans le menu déroulant :
• Analyse approfondie - Il s'agit d'un profil prédéfini sur le client. Il est configuré pour être le profil d'analyse
le plus complet. Il vérifie l'intégralité du système mais prend le plus de temps et utilise le plus de ressources.
• Analyse intelligente - L'analyse intelligente permet de lancer rapidement une analyse de l'ordinateur et
de nettoyer les fichiers infectés sans intervention de l'utilisateur. Elle présente l'intérêt d'être facile à utiliser
et de ne pas nécessiter de configuration détaillée. L'analyse intelligente vérifie tous les fichiers des disques
locaux, et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est
automatiquement réglé sur sa valeur par défaut.
• Analyse à partir du menu contextuel - Analyse un client à l'aide d'un profil d'analyse prédéfini. Il est
possible de personnaliser les cibles à analyser.
• Profil personnalisé - L'analyse personnalisée vous permet de spécifier des paramètres d'analyse tels que
les cibles et les méthodes d'analyse. Elle a l'avantage de permettre la configuration précise des paramètres.
Les configurations peuvent être enregistrées dans des profils d'analyse définis par l'utilisateur, ce qui permet
de répéter facilement une analyse avec les mêmes paramètres. Avant d'exécuter la tâche avec l'option de
profil personnalisé, vous devez créer un profil. Lorsque vous sélectionnez un profil personnalisé dans le menu
déroulant, saisissez le nom exact du profil dans le champ de texte Profil personnalisé.
Nettoyage
214
Par défaut, l'option Analyse avec nettoyage est sélectionnée. Cela signifie que lorsque des objets infectés sont
détectés, ils sont automatiquement nettoyés. Si le nettoyage est impossible, ils sont alors mis en quarantaine.
Cibles à analyser
Cette option est également sélectionnée par défaut. À l'aide de ce paramètre, toutes les cibles spécifiées dans le
profil d'analyse sont analysées. Si vous désélectionnez cette option, vous devez manuellement spécifier les cibles
à analyser dans le champ Ajouter une cible. Saisissez la cible à analyser dans ce champ, puis cliquez sur
Ajouter. La cible s'affiche alors dans le champ Cibles à analyser. Une cible à analyser peut être un fichier ou un
emplacement. Vous pouvez également exécuter une analyse prédéfinie en utilisant l'une des chaînes suivantes en
tant que cible à analyser :
Cible à analyser
Emplacements analysés
${DriveRemovable}
Tous les lecteurs et périphériques amovibles.
${DriveRemovableBoot} Secteurs de démarrage de tous les lecteurs amovibles.
${DriveFixed}
Disques durs (HDD, SSD).
${DriveFixedBoot}
Secteurs de démarrage des disques durs.
${DriveRemote}
Lecteurs réseau.
${DriveAll}
Tous les lecteurs disponibles.
${DriveAllBoot}
Secteurs de démarrage de tous les lecteurs.
${DriveSystem}
Lecteurs système.
${Share}
Lecteurs partagés (uniquement pour les produits serveur).
${Boot}
Secteur de démarrage principal.
${Memory}
Mémoire vive.
EXEMPLE : Cibles à analyser
Vous trouverez ci-dessous quelques exemples d'utilisation des paramètres cibles Analyse à la demande :
▪Fichier : C:\Users\Data.dat
▪Dossier C:\MyFolder
▪Fichier ou chemin Unix /usr/data
▪Emplacement UNC Windows \\server1\scan_folder
▪Chaîne prédéfinie ${Memory}
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Mise à jour du système d'exploitation
La tâche Mise à jour du système d'exploitation sert à mettre à jour le système d'exploitation sur l'ordinateur
client. Elle peut déclencher la mise à jour du système d’exploitation sur les systèmes d’exploitation Windows, OS X
et Linux.
Général
215
Saisissez des informations de base sur la tâche, comme un Nom et une Description, puis sélectionnez la
tâche Mettre à jour le système d’exploitation. Le type de tâche (voir la liste de types de tâche client) définit
les paramètres et le comportement de la tâche.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Paramètres
• Accepter automatiquement le CLUF : sélectionnez cette case à cocher si vous souhaitez accepter
automatiquement le CLUF. Aucun texte ne sera affiché à l'utilisateur.
• Installer les mises à jour facultatives : cette option s'applique uniquement aux systèmes d'exploitation
Windows ; les mises à jour marquées comme facultatives ne seront pas installées.
• Autoriser le redémarrage : cette option s'applique uniquement aux systèmes d'exploitation Windows. Elle
entraîne le redémarrage de l'ordinateur client une fois les mises à jour installées.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
216
Gestion de la quarantaine
La tâche Gestion de la quarantaine sert à gérer les objets en quarantaine ERA Server, à savoir les objets
infectés ou suspects détectés pendant l'analyse.
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Dans ce cas, vous
pouvez utiliser la tâche Gestion de la quarantaine.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Paramètres
Paramètres de gestion de la quarantaine
Action : sélectionnez l'action à exécuter sur l'objet en quarantaine.
oRestaurer le ou les objets (restaure l'objet à son emplacement d'origine ; l'objet sera toutefois analysé et
217
remis en quarantaine si les raisons de sa précédente mise en quarantaine subsistent).
oRestaurer le ou les objets et les exclure dans le futur (restaure l'objet à son emplacement d'origine ; il
ne sera plus remis en quarantaine).
oSupprimer le ou les objets (supprime entièrement l'objet).
Type de filtre : permet de filtrer les objets en quarantaine selon les critères définis ci-dessous. Ces critères sont la
chaîne de hachage de l'objet ou des conditions.
Paramètres de filtre conditionnel :
oParamètres de filtre de hachage : ajoutez des éléments de hachage dans le champ. Seuls des objets
connus (un objet ayant été déjà mis en quarantaine, par exemple) peuvent être saisis.
oEffectué du/au : définissez la période à laquelle l'objet a été mis en quarantaine.
oTaille minimale/maximale (octets) : définissez la plage de tailles de l'objet mis en quarantaine (en
octets).
oNom de la menace : sélectionnez une menace dans la liste des éléments mis en quarantaine.
oNom de l'objet : sélectionnez un objet dans la liste des éléments mis en quarantaine.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Réinitialiser la base de données de Rogue Detection Sensor
La tâche Réinitialiser la base de données de Rogue Detection Sensor sert à réinitialiser le cache de
recherche RD Sensor. La tâche supprime le cache pour que les résultats de recherche puissent être de nouveau
stockés. Elle ne supprime pas les ordinateurs détectés. Cette tâche s'avère utile lorsque les ordinateurs détectés
figurent toujours dans le cache et ne sont pas signalés au serveur.
REMARQUE
aucun paramètre n'est disponible pour cette tâche.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
218
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Mettre à jour les composants d'ESET Remote Administrator
La tâche Mettre à jour les composants d'ESET Remote Administrator sert à mettre à niveau les composants
d'ERA (ERA Agent, ERA Proxy, ERA Server, Webconsole et MDM). Vous pouvez l’utiliser lorsque vous souhaitez par
exemple effectuer une mise à niveau d’ERA version 6.1.28.0, 6.1.33.0, 6.2.x, 6.3.x, 6.4x vers ERA version 6.5.x.
REMARQUE
Pour obtenir des instructions détaillées, reportez-vous à la section Mise à niveau des composants. Pour obtenir un
autre guide de mise à niveau d'ESET Remote Administrator vers la dernière version (6.x), consultez l'article de la
base de connaissances.
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Dans ce cas, vous
pouvez utiliser la tâche Mettre à jour les composants d'ESET Remote Administrator.
219
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Paramètres
Cochez la case en regard de l'option J'accepte les termes du Contrat de Licence Utilisateur Final de
l'application si vous les acceptez. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF.
• Référencer Remote Administrator Server : sélectionnez une version d'ERA Server dans la liste. Tous les
composants ERA seront mis à niveau vers les versions compatibles avec le serveur sélectionné.
• Redémarrage automatique si nécessaire : vous pouvez forcer le redémarrage du système d'exploitation
client si l'installation le requiert.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
220
Redéfinir l’agent cloné
La tâche Redéfinir l’agent cloné peut servir à distribuer l'Agent ESET sur votre réseau par le biais d'une image
prédéfinie. Les Agents clonés possèdent le même SID, ce qui peut entraîner des problèmes (plusieurs agents dotés
du même SID). Pour résoudre ce problème, utilisez la tâche Redéfinir l'agent cloné pour redéfinir le SID afin
d'attribuer aux agents une identité unique.
REMARQUE
aucun paramètre n'est disponible pour cette tâche.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
221
Exécuter une commande
La tâche Exécuter une commande peut servir à exécuter des instructions de ligne de commande spécifiques sur
le client. L'administrateur peut spécifier l'entrée de ligne de commande à exécuter.
Système
d'exploitation
La commande
Répertoire de
s'exécute en tant travail par défaut
qu'utilisateur
Emplacements réseau
accessibles
La commande
sera exécutée
dans
Windows
Local System
C:\Windows\Temp
uniquement les emplacements Invite de
dans le domaine actuel et
commande
disponibles pour l'utilisateur
(cmd.exe)
Local System
Linux ou macOS
root
/tmp
uniquement si l'emplacement
est monté et disponible pour
l'utilisateur root
Console
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Dans ce cas, vous
pouvez utiliser la tâche Exécuter une commande.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
222
Paramètres
• Ligne de commande à exécuter : saisissez la ligne de commande à exécuter sur le ou les clients.
• Répertoire de travail : saisissez un répertoire dans lequel la ligne de commande ci-dessus sera exécutée.
EXEMPLE : comment exécuter un script local
Pour exécuter un script local situé sur un client à l'emplacement
C:\Users\user\script.bat, procédez comme suit :
1. Créez une tâche client et sélectionnez Exécuter une commande.
2. Dans la section
Paramètres saisissez :
Ligne de commande à exécuter : script.bat
Répertoire de travail : C:\Users\user
3. Cliquez sur Terminer, créez un déclencheur et sélectionnez des clients cibles.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Exécuter un script SysInspector
La tâche Exécuter le script SysInspector sert à supprimer les objets indésirables du système. Avant d'utiliser
cette tâche, un script SysInspector doit être exporté à partir d'ESET SysInspector. Une fois le script exporté,
vous pouvez marquer les objets à supprimer et exécuter le script avec les données modifiées. Les objets marqués
sont alors supprimés.
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Dans ce cas, vous
pouvez utiliser la tâche Exécuter un script SysInspector.
REMARQUE
une fois la tâche terminée, vous pouvez consulter les résultats dans un rapport.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
223
Paramètres
• Script SysInspector : cliquez sur Parcourir pour accéder au script de service. Le script de service doit être
créé avant l'exécution de la tâche.
• Action : vous pouvez charger ou télécharger un script sur la console ERA.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Analyse du serveur
Vous pouvez utiliser la tâche Analyse du serveur pour analyser les clients sur lesquels des solutions ESET Server
sont installées (actuellement ESET File Security 6 , ESET Mail Security 6, ESET Mail Security pour IBM Domino et
ESET Security pour Microsoft SharePoint Server).
Serveur analysé : cliquez sur Sélectionner pour choisir un serveur à analyser. Un seul serveur peut être
sélectionné.
Cibles à analyser : affiche les ressources disponibles pour l’analyse sur le serveur sélectionné.
224
REMARQUE
la première fois que vous utilisez l'option Générer la liste des cibles, patientez environ la moitié de la durée
de la période de mise à jour spécifiée pour obtenir la liste. Par exemple, si la période de mise à jour est
définie sur 60 minutes, patientez 30 minutes avant de recevoir la liste des cibles à analyser. Pour plus
d'informations, consultez Cibles à analyser ERA.
REMARQUE
Vous pouvez utiliser la tâche Analyse du serveur pour effectuer une analyse Hyper-V sur ESET File Security 6,
ainsi qu'une analyse de base de données de boîtes aux lettres à la demande et une analyse Hyper-V sur ESET Mail
Security 6. D'autres méthodes d'analyse ne sont pas disponibles pour l'instant.
Installer un logiciel
La tâche Installer un logiciel sert à installer des logiciels sur les ordinateurs clients. Bien qu'elle soit
principalement destinée à installer des produits ESET, vous pouvez l'utiliser pour installer n'importe quel logiciel.
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Dans ce cas, vous
pouvez utiliser la tâche Installation de logiciel.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
225
Paramètres
Cochez la case en regard de l'option J'accepte les termes du Contrat de Licence Utilisateur Final de
l'application si vous les acceptez. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF.
Cliquez sur <Choisir une licence ESET>, puis sélectionnez la licence adéquate pour le produit installé dans la
liste des licences disponibles.
Cliquez sur <Sélectionner un package> pour sélectionner un package d'installation dans le référentiel
ou indiquez une URL de package. Une liste de packages disponibles s'affiche dans laquelle vous pouvez
sélectionner le produit ESET à installer (ESET Endpoint Security, par exemple). Sélectionnez le package
d'installation souhaité, puis cliquez sur OK. Si vous souhaitez indiquer une URL vers l'emplacement du package
d'installation, saisissez-la ou copiez-la et collez-la (par exemple file://\\pc22\install\ees_nt64_ENU.msi) dans le
champ de texte (n'utilisez pas d'URL qui requiert une authentification).
http://server_address/ees_nt64_ENU.msi : si vous effectez une installation à partir d'un serveur Web public ou
depuis votre propre serveur HTTP.
file://\\pc22\install\ees_nt64_ENU.msi : si vous effectuez l'installation à partir d'un chemin d'accès réseau.
file://C:\installs\ees_nt64_ENU.msi : si vous effectuez l'installation à partir d'un chemin d'accès local.
REMARQUE
1. ERA Server et ERA Agent doivent avoir accès à Internet pour accéder au référentiel et effectuer des
installations. Si vous ne disposez pas d'un accès Internet, vous pouvez installer manuellement le logiciel client.
2. Lorsque vous effectuez une tâche Tâche client > Système d'exploitation > Installation de logiciel sur les
ordinateurs d'un domaine sur lesquels s'exécute ERA, vous devez accorder une autorisation d'accès en lecture sur
le dossier dans lequel sont stockés les programmes d'installation. Pour cela, procédez comme suit :
a.Ajoutez un compte d'ordinateur Active Directory (NewComputer$, par exemple ).
b.Accordez un accès en lecture à NewComputer$ en cliquant avec le bouton droit sur le dossier contenant les
programmes d'installation et en sélectionnant Propriétés > Partage > Partager dans le menu contextuel.
Notez que le symbole $ doit figurer à la fin de la chaîne de nom d'ordinateur.
Si nécessaire, vous pouvez spécifier des paramètres dans le champ Paramètres d’installation. Sinon, laissez ce
226
champ vide. Cochez la case en regard de l'option Redémarrage automatique si nécessaire pour forcer un
redémarrage automatique de l'ordinateur client après l'installation. Vous pouvez également décocher cette option
pour redémarrer manuellement l'ordinateur client.
REMARQUE
La tâche Logiciel installé peut être utilisée pour mettre à niveau les produits de sécurité ESET. Exécutez la tâche à
l'aide du dernier package d'installation pour effectuer une installation sur la solution existante.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
REMARQUE
Lors de l'installation de ESET Endpoint Antivirus ou ESET Endpoint Security versions 6.5 et ultérieure avec le
paramètre d'installation CFG_LIVEGRID_ENABLED, le comportement du produit sera le suivant :
Fonctionnalité
CFG_LIVEGRID_ENABLED=0CFG_LIVEGRID_ENABLED=1
Système de réputation ESET LiveGrid®
Activée
Activée
(recommandé)
Soumettre des statistiques anonymes
Désactivée
Activée
Soumettre un échantillon
Désactivée
Activée
IMPORTANT
La mise à niveau du produit de la version 4.x (ESET Security pour Microsoft SharePoint) à l'aide d'une tâche
Installation de logiciel sera annulée et renverra une erreur d'nstallation générale (0x643). Pour obtenir des
instructions de mise à niveau d'ESET Security pour Microsoft SharePoint à l'aide d'ERA, consultez cette aide en
ligne.
Désinstaller un logiciel
La tâche Désinstallation de logiciel sert à désinstaller le produit de sécurité ESET des ordinateurs clients
lorsqu'ils ne sont plus nécessaires/souhaités. Une fois que vous avez désinstallé ERA Agent de l'ordinateur client, le
produit de sécurité ESET peut conserver certains paramètres.
IMPORTANT
Il est recommandé de rétablir la valeur par défaut de certains paramètres (protection par mot de passe, par
exemple) à l'aide d'une politique avant d'interrompre la gestion d'un périphérique. De plus, tous les tâches
s'exécutant sur l'Agent sont annulées. L'état d'exécution En cours, Terminé ou Échoué de cette tâche peut ne
pas être affiché précisément dans ERA Web Console selon la réplication.
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche.
Cible
227
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Paramètres
Paramètres de désinstaller un logiciel
• Désinstaller : application de la liste :
Nom du package : sélectionnez un composant ERA, un produit de sécurité client ou une application tierce. Tous
les packages qui peuvent être installés sur le ou les clients sélectionnés sont affichés dans cette liste.
Version du package : vous pouvez supprimer une version spécifique (une version spécifique peut parfois poser
problème) du package ou désinstaller toutes les versions d'un package.
Redémarrage automatique si nécessaire : vous pouvez forcer le redémarrage du système d'exploitation client
si la désinstallation le requiert.
• Désinstaller - Antivirus tiers (créé avec OPSWAT) : pour obtenir la liste des antivirus compatibles,
consultez notre article de la base de connaissances. Cette suppression est différente de la désinstallation
effectuée par Ajout/suppression de programmes. Elle utilise d'autres méthodes pour supprimer entièrement
les antivirus tiers, y compris les entrées de registre résiduelles ou d'autres traces.
Suivez les instructions détaillées de l'article How do I remove third-party antivirus software from client computers
using ESET Remote Administrator? (6.x) (en anglais) pour envoyer une tâche afin de supprimer les antivirus tiers
des ordinateurs clients.
• Si vous souhaitez autoriser la désinstallation des applications protégées par mot de passe, consultez cet article
de la base de connaissances. (Voir l'étape 12)
228
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
REMARQUE
Si la désinstallation du produit de sécurité ESET n'est pas effectuée correctement (si le message d'erreur
Product: ESET Endpoint Security -- Error 5004. Enter a valid password to continue
uninstallation. s'affiche, par exemple), c'est parce qu'un paramètre de protection par mot de passe est
activé dans le produit. Appliquez une politique aux ordinateurs clients desquels vous souhaitez désinstaller le
produit de sécurité ESET pour que la protection par mot de passe soit désactivée.
Activation du produit
Suivez ces étapes pour pour activer un produit de sécurité ESET sur un ordinateur client ou un périphérique
mobile.
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
229
Paramètres
Paramètres d'activation du produit : sélectionnez dans la liste une licence pour le client. Cette licence est
appliquée aux produits déjà installés sur le client. Si vous ne voyez aucune licence, accédez à Licences - ajouter
une nouvelle licence.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Demande de journal SysInspector (Windows uniquement)
La tâche Demander un rapport SysInspector sert à demander le journal SysInspector d'un produit de sécurité
client qui possède cette fonction.
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Dans ce cas, vous
pouvez utiliser la tâche Demander un rapport SysInspector.
230
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Paramètres
• Stocker le journal sur le client : sélectionnez cette option si vous souhaitez stocker le journal SysInspector
sur le client et dans ERA Server. Lorsqu'un client dispose par exemple d'ESET Endpoint Security, le journal est
généralement stocké sous C:\Program Data\ESET\ESET Endpoint Antivirus\SysInspector.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Charger un fichier mis en quarantaine
La tâche Charger un fichier mis en quarantaine sert à gérer les fichiers mis en quarantaine sur les clients.
231
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Dans ce cas, vous
pouvez utiliser la tâche Charger un fichier mis en quarantaine.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Paramètres
• Objet mis en quarantaine : sélectionnez un objet spécifique mis en quarantaine.
• Mot de passe de l'objet : saisissez un mot de passe pour chiffrer l'objet à des fins de sécurité. Veuillez noter
que le mot de passe sera affiché dans le rapport correspondant.
• Chemin de chargement : saisissez un chemin d'accès à un emplacement dans lequel charger l'objet.
• Mot de passe/nom d'utilisateur de chargement : si l'emplacement requiert une authentification (partage
réseau, etc.), saisissez les informations d'identification pour accéder à ce chemin.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
232
Mise à jour des modules
La tâche Mise à jour des modules force la mise à jour de tous les modules du produit de sécurité installé sur un
périphérique cible. Il s'agit d'une tâche générale pour tous les produits de sécurité sur tous les systèmes. La liste
de tous les modules du produit de sécurité cible figure dans la section À propos de du produit de sécurité.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Paramètres
• Effacer le cache de mise à jour : cette option supprime les fichiers de mise à jour temporaires du cache sur
le client. Elle peut être souvent utilisée pour corriger les erreurs de mise à jour des modules.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
233
Restauration de la mise à jour des modules
Si une mise à jour de modules entraîne des problèmes ou si vous ne souhaitez pas appliquer une mise à jour à tous
les clients (lors de tests ou de l'utilisation de mises à jour de version bêta), vous pouvez utiliser la tâche
Restauration de la mise à jour des modules. Lorsque vous exécutez cette tâche, la version précédente des
modules est rétablie.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Paramètres
Développez cette section pour personnaliser les paramètres de restauration de la mise à jour des modules.
Action
• Activer les mises à jour : les mises à jour sont activées et le client recevra la prochaine mise à jour des
modules.
• Restaurer et désactiver les mises à jour pendant les prochaines : les mises à jour sont désactivées
pendant la période spécifiée dans le menu déroulant Désactiver l’intervalle (24, 36, 48 heures ou jusqu'à
234
révocation). Utilisez l'option Jusqu'à révocation avec prudence, car elle présente un risque pour la sécurité.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Afficher le message
Cette fonctionnalité vous permet d'envoyer un message à n'importe quel périphérique (ordinateur client, tablette,
périphérique mobile, etc.). Le message est affiché à l'écran afin d'informer l'utilisateur. Le message s'affiche de
manière différente pour les destinataires sous les systèmes Windows et Unix (Linux, macOS) :
• Les utilisateurs Windows voient une notification.
• Sous macOS et Linux, le message s'affiche uniquement dans une console, si une console est ouverte.
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Dans ce cas, vous
pouvez utiliser la tâche Afficher le message.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
235
Paramètres
Vous pouvez saisir un titre et votre message.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Actions Antivol
La fonction Antivol protège un périphérique mobile contre les accès non autorisés. En cas de perte ou de vol d'un
périphérique mobile (inscrit et géré par ERA) appartenant à un utilisateur, certaines actions sont automatiquement
exécutées et d'autres peuvent être effectuées à l'aide d'une tâche de client. Si une personne non autorisée
remplace une carte SIM approuvée par carte non approuvée, le périphérique est automatiquement verrouillé par
ESET Endpoint Security pour Android. En outre, une alerte est envoyée par SMS aux numéros de téléphone définis
par l'utilisateur. Ce message contient le numéro de téléphone de la carte SIM en cours d'utilisation, le numéro IMSI
(International Mobile Subscriber Identity) et le numéro IMEI (International Mobile Equipment Identity) du
téléphone. L'utilisateur non autorisé n'est pas avisé de l'envoi de ce message, car il est automatiquement
supprimé des fils des messages du périphérique. Il est également possible de demander les coordonnées GPS du
périphérique mobile égaré ou d'effacer à distance toutes les données stockées sur le périphérique à l'aide d'une
tâche de client.
236
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Paramètres
• Rechercher : le périphérique répondra en envoyant un message texte contenant ses coordonnées GPS. En
cas de localisation plus précise dans les 10 minutes, il renverra le message. Les informations reçus s'affichent
dans les détails de l'ordinateur.
• Verrouiller : le périphérique sera verrouillé. Il pourra être déverrouillé à l'aide du mot de passe Administrateur
ou de la commande de déverrouillage.
• Déverrouiller : le périphérique sera déverrouillé pour pouvoir être réutilisé. La carte SIM actuelle du
périphérique sera enregistrée en tant que carte SIM approuvée.
• Sirène : le périphérique sera verrouillé et il émettra un son très fort pendant 5 minutes (ou jusqu'à ce qu'il soit
déverrouillé).
• Effacer : toutes les données accessibles sur le périphérique seront effacées (les fichiers seront remplacés).
ESET Endpoint Security sera conservé sur le périphérique. Cette opération peut prendre plusieurs heures.
• Réinitialisation améliorée des paramètres d'usine : toutes les données accessibles sur le périphérique
seront effacées (les en-têtes des fichiers seront détruits) et les paramètres d'usine par défaut seront rétablis.
Cette opération peut prendre plusieurs minutes.
237
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Arrêter l'administration (désinstaller l'agent ERA)
• Bureau : cette tâche supprime l'Agent installé sur l'ordinateur sur lequel est installé MDM.
• Mobile : cette tâche annule l'inscription MDM du périphérique mobile.
Une fois que le périphérique n'est plus géré (l'Agent est supprimé), certains paramètres peuvent être conservés
dans les produits gérés.
IMPORTANT
Il est recommandé de rétablir la valeur par défaut de certains paramètres (protection par mot de passe, par
exemple) à l'aide d'une politique avant d'interrompre la gestion d'un périphérique. De plus, tous les tâches
s'exécutant sur l'Agent sont annulées. L'état d'exécution En cours, Terminé ou Échoué de cette tâche peut ne
pas être affiché précisément dans ERA Web Console selon la réplication.
1. Si le périphérique comporte des paramètres spéciaux que vous ne souhaitez pas conserver, définissez une
politique de périphérique qui permet de rétablir les valeurs par défaut (ou les valeurs souhaitées) pour les
paramètres non souhaités.
2. Avant d'effectuer cette étape, il est recommandé d'attendre suffisamment que les politiques du point 1 aient
238
terminé la réplication sur l'ordinateur cible avant de le supprimer de la liste dans ERA.
3. Avant de suivre cette étape, il est recommandé d'attendre que les politiques du point 2 aient terminé avec
certitude la réplication sur l'ordinateur cible.
REMARQUE
aucun paramètre n'est disponible pour cette tâche.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
Exporter la configuration des produits administrés
La tâche Exporter la configuration des produits administrés sert à exporter les paramètres d'un composant
239
ERA ou d'un produit ESET installé sur le ou les clients.
Général
Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche.
Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Dans ce cas, vous
pouvez utiliser la tâche Exporter la configuration des produits administrés.
Cible
IMPORTANT
Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une
fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez
un déclencheur pour spécifier des cibles pour la tâche.
Paramètres
Exporter les paramètres de configuration des produits gérés
• Produit : sélectionnez un composant ERA ou un produit de sécurité client pour lequel vous souhaitez exporter
la configuration.
Résumé
Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et
une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier
quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un
déclencheur ultérieurement.
240
Attribuer une tâche à un groupe
Cliquez sur Admin > Groupes, sélectionnez Groupe statique ou Groupe dynamique, cliquez sur
du groupe sélectionné ou sur Groupe, puis sur
en regard
Nouvelle tâche.
Vous pouvez également cliquer sur Ordinateurs, sélectionner Statique ou Dynamique, puis cliquer sur
Nouvelle tâche. La fenêtre Assistant Nouvelle tâche client s'ouvre.
>
Attribuer une tâche à un ou des ordinateurs
Trois méthodes permettent d'attribuer une tâche à un ou des ordinateurs.
1. Accédez à Tableau de bord > Ordinateurs présentant des problèmes, puis sélectionnez
tâche...
241
Nouvelle
2. Accédez à Ordinateur, sélectionnez un ou des ordinateurs à l'aide des cases à cocher, puis
Nouvelle
tâche...
3. Accédez à Admin > Groupes, sélectionnez un ou des ordinateurs, cliquez sur le bouton Tâches,
sélectionnez une action, puis cliquez sur
242
Nouvelle tâche...
La fenêtre Assistant Nouvelle tâche client s'ouvre.
Déclencheurs
Les déclencheurs sont essentiellement des capteurs qui réagissent à certains événements d'une manière
prédéfinie. Ils sont utilisés pour exécuter la tâche client qui leur est attribuée. Ils peuvent être activés par le
planificateur (événements temporels) ou lorsqu'un événement système spécifique se produit.
IMPORTANT
Il n'est pas possible de réutiliser un déclencheur. Chaque tâche client doit être déclenchée par un déclencheur
distinct, et chaque déclencheur ne peut exécuter qu'une seule tâche.
Un déclencheur n'exécute pas immédiatement les tâches nouvellement attribuées (à l'exception du déclencheur
Dès que possible). Celles-ci sont exécutées dès que le déclencheur est déclenché. La sensibilité d'un déclencheur
face aux événements peut être réduite à l'aide d'une limitation.
Type de déclencheur client :
• Dès que possible : ce déclencheur est appelé dès que vous cliquez sur Terminer. La date d'expiration
indique la date après laquelle la tâche ne sera plus exécutée.
Planifié
• Planifier une fois : ce déclencheur est appelé une fois aux date et heure planifiées. Il peut être retardé
par un intervalle aléatoire.
• Quotidiennement : ce déclencheur est appelé chaque jour sélectionné. Vous pouvez définir le début et la
fin de l'intervalle. Par exemple, vous pouvez exécuter une tâche serveur pendant dix week-ends consécutifs.
• Chaque semaine : ce déclencheur est appelé le jour sélectionné de la semaine. Par exemple, il peut
exécuter une tâche client tous les lundis et vendredis entre le 1er juillet et le 31 août.
• Mensuel : ce déclencheur est appelé les jours sélectionnés de la semaine définie dans le mois, pendant la
période sélectionnée. La valeur de l'option Répéter définit le jour du mois (le deuxième lundi, par exemple)
pendant lequel la tâche doit s'exécuter.
• Annuel : ce déclencheur est appelé une fois par an (ou pendant plusieurs années, en fonction de la
configuration) à la date de début spécifiée.
243
REMARQUE
Un intervalle de délai aléatoire peut être défini pour les déclencheurs planifiés. Il définit le délai maximal
d'exécution de la tâche. Le caractère aléatoire peut empêcher une surcharge du serveur.
EXEMPLE
Si John définit qu'une tâche client doit être déclenchée le lundi de chaque semaine, à partir du 10
février 2017 à 8:00:00, avec un intervalle de délai aléatoire d'une heure, et qu'elle doit se terminer le 6 avril
2017 à 00:00:00, la tâche s'exécutera avec un délai aléatoire d'une heure entre 8:00 et 9:00, tous les lundis,
jusqu'à la date de fin spécifiée.
Autre
• Déclencheur A rejoint le groupe dynamique : ce déclencheur est appelé lorsqu'un périphérique a
rejoint le groupe dynamique.
• Déclencheur lié au Journal des événements : ce déclencheur est appelé lorsqu'un événement d'un
certain type se produit dans les journaux, en cas de menace dans le journal d'analyse, par exemple. Ce
type de déclencheur propose un ensemble de paramètres spéciaux dans les paramètres de la limitation.
• Expression CRON : ce déclencheur est appelé à une date et une heure spécifiques.
REMARQUE
Le déclencheur A rejoint le groupe dynamique n'est disponible que si un groupe dynamique est sélectionné
dans la section Cible. Le déclencheur exécute la tâche uniquement sur les périphériques qui ont rejoint le groupe
dynamique après la création du déclencheur. Vous devrez exécuter la tâche manuellement pour tous les
périphériques se trouvant déjà dans le groupe dynamique.
Un déclencheur planifié exécute la tâche selon des paramètres de date et d'heure. Les tâches peuvent être
planifiées pour s'exécuter une seule fois, de manière récurrente ou selon une expression CRON.
Tâches serveur
Les tâches serveur peuvent automatiser les tâches de routine. Un déclencheur peut être configuré pour chaque
tâche serveur. Si la tâche doit être exécutée à l'aide de divers événements, chaque déclencheur doit être associé à
une tâche serveur distincte. ERA contient six types de tâche serveur prédéfinis.
REMARQUE
Des tâches serveur ne peuvent pas être attribuées à un client ou à un groupe de clients spécifique.
Tâches serveur et autorisations
Un utilisateur exécutant doit être associé à la tâche et au déclencheur. Il s'agit de l'utilisateur qui modifie la tâche
(et le déclencheur). Il doit disposer d'autorisations suffisantes pour exécuter l'action choisie. Pendant l'exécution, la
tâche prend toujours l'utilisateur exécutant du déclencheur. Si la tâche est exécutée avec le paramètre Exécuter
immédiatement la tâche après la fin, l'utilisateur exécutant correspond à l'utilisateur connecté à ERA Web
Console. Un utilisateur dispose d'autorisations (Lire, Utiliser et Écrire) pour l'instance de la tâche serveur
sélectionnée si ces autorisations sont sélectionnées dans son jeu d'autorisations (Admin > Droits d'accès > Jeux
d'autorisations) et s'il dispose de ce jeu d'autorisations pour le groupe statique dans lequel se trouve la tâche
serveur. Pour plus d'informations sur les droits d'accès, reportez-vous à la liste des autorisations.
EXEMPLE
John, dont le groupe résidentiel est Groupe de John, souhaite supprimer la Tâche serveur 1 : Générer un
rapport. Cette tâche ayant été créée à l'origine par Larry, elle se trouve dans son groupe résidentiel appelé
Groupe de Larry. Pour que John puisse supprimer la tâche, les conditions suivantes doivent être remplies :
• John doit se voir attribuer un jeu d'autorisations comprenant l'autorisation Écrire pour Déclencheurs et
tâches serveur - Générer un rapport.
• Le jeu d'autorisations doit contenir Groupe de Larry dans Groupes statiques.
Autorisations nécessaires pour effectuer certaines actions liées aux tâches serveur :
244
• Pour créer une tâche serveur, l'utilisateur doit disposer de l'autorisation Écrire pour le type de tâche
sélectionné et des droits d'accès adéquats pour les objets référencés (ordinateurs, licences et groupes).
• Pour modifier une tâche serveur, l'utilisateur doit disposer de l'autorisation Écrire pour l'instance de la tâche
serveur sélectionnée et des droits d'accès adéquats pour les objets référencés (ordinateurs, licences et groupes).
• Pour supprimer une tâche serveur, l'utilisateur doit disposer de l'autorisation Écrire pour l'instance de la tâche
serveur sélectionnée.
• Pour exécuter une tâche serveur, l'utilisateur doit disposer de l'autorisation Utiliser pour l'instance de la tâche
serveur sélectionnée.
Créer une tâche serveur
1. Cliquez sur Admin > Tâche serveur > Nouveau.
2. Saisissez des informations de base sur la tâche telles qu'un nom, une description (facultatif) et un type de
tâche. Le type de tâche définit les paramètres et le comportement de la tâche.
3. Vous pouvez choisir les options suivantes :
• Exécuter immédiatement la tâche après la fin : cochez cette case pour que la tâche s'exécute
automatiquement après que vous ayez cliqué sur Terminer.
• Configurer un déclencheur : cochez cette case et développez la section Déclencheur pour configurer les
paramètres du déclencheur.
• Définissez le déclencheur ultérieurement (ne cochez aucune case).
4. Configurez les paramètres de la tâche dans la section Paramètres.
5. Définissez le déclencheur dans la section Déclencheur, le cas échéant.
6. Vérifiez tous les paramètres de cette tâche dans la section Synthèse, puis cliquez sur Terminer.
Filtre Accéder au groupe
Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les
objets visualisés selon le groupe qui les contient.
REMARQUE
Il est recommandé aux utilisateurs qui utilisent régulièrement des tâches serveur de créer leurs propres tâches
plutôt que de partager des tâches avec d'autres utilisateurs. Chaque fois qu'une tâche est exécutée, elle utilise les
autorisations de l'utilisateur exécutant. Ce comportement peut dérouter certains utilisateurs.
Types de tâches serveur
Les tâches serveur suivantes sont prédéfinies :
• Déploiement d’agent : distribue l’Agent aux ordinateurs clients.
• Supprimer les ordinateurs qui ne se connectent pas : supprime les clients qui ne se connectent plus à ESET
Remote Administrator depuis la console Web.
• Générer un rapport : permet de générer les rapports dont vous avez besoin.
• Renommer les ordinateurs : cette tâche renomme de manière périodique les ordinateurs situés dans des
groupes au format FQDN.
• Synchronisation des groupes statiques : met à jour les informations des groupes pour afficher des données
actuelles.
245
• Synchronisation des utilisateurs : met à jour un utilisateur ou un groupe d'utilisateurs.
Synchronisation des groupes statiques
La tâche Synchronisation des groupes statiques permet de rechercher des ordinateurs sur le réseau (Active
Directory, Open Directory, LDAP, réseau local ou VMware) et de les placer dans un groupe statique. Si vous
sélectionnez Synchroniser avec Active Directory pendant l’installation du serveur, les ordinateurs détectés
sont ajoutés au groupe Tous. Pour synchroniser les ordinateurs Linux qui ont rejoint un domaine Windows, suivez
ces instructions détaillées.
Il existe trois modes de synchronisation :
• Active Directory/Open Directory/LDAP : saisissez les informations de base de connexion au serveur.
Pour obtenir des instructions détaillées, cliquez ici
• Réseau MS Windows : entrez le groupe de travail à utiliser et les informations d’identification utilisateur
appropriées. Pour obtenir des instructions détaillées, cliquez ici
• VMware : saisissez les informations de connexion à VMware vCenter Server. Pour obtenir des instructions
détaillées, cliquez ici
Mode de synchronisation - Active Directory/Open Directory/LDAP
Cliquez sur Admin > Tâche serveur > Synchronisation des groupes statiques > Nouveau.
Général
Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description
(facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants :
• Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute
automatiquement après que vous ayez cliqué sur Terminer.
• Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle
vous pouvez configurer des paramètres de déclencheur.
• Pour définir le déclencheur ultérieurement, laissez cette coche décochée.
Paramètres
Paramètres communs
Cliquez sur Sélectionner sous Nom du groupe statique. Par défaut, le groupe résidentiel de l'utilisateur
exécutant est utilisé pour les ordinateurs synchronisés. Vous pouvez également créer un groupe statique.
• Objets à synchroniser : ordinateurs et groupes ou ordinateurs uniquement.
• Gestion des collisions de création d’ordinateur : si la synchronisation ajoute des ordinateurs qui sont
déjà membres du groupe statique, vous pouvez choisir une méthode de résolution des conflits :
oIgnorer (les ordinateurs synchronisés ne sont pas ajoutés)
oDéplacer (les nouveaux ordinateurs seront déplacés vers un sous-groupe)
oDupliquer (un nouvel ordinateur est créé avec un autre nom)
• Gestion des extinctions d’ordinateur : si un ordinateur n’existe plus, vous pouvez le supprimer ou
l’ignorer.
• Gestion des extinctions de groupe : si un groupe n’existe plus, vous pouvez le supprimer ou l’ignorer.
• Mode de synchronisation - Active Directory / Open Directory / LDAP
Paramètres de connexion au serveur
• Serveur : saisissez le nom du serveur ou l’adresse IP du contrôleur de domaine.
• Connexion : saisissez les informations d’identification de connexion du contrôleur de domaine sous la forme
246
DOMAIN\username.
• Mot de passe : saisissez le mot de passe utilisé pour se connecter au contrôleur de domaine.
• Utiliser les paramètres LDAP : si vous souhaitez utiliser le protocole LDAP, cochez la case Utiliser le
protocole LDAP au lieu d'Active Directory, puis saisissez des attributs spécifiques qui correspondent à votre
serveur. Vous pouvez également sélectionner une valeur prédéfinie en cliquant sur Personnaliser pour que
les paramètres suivants soient renseignés automatiquement :
oActive Directory - Cliquez sur Parcourir jusqu'à Nom unique. Votre arborescence Active Directory va
s'afficher. Sélectionnez l'entrée supérieure pour synchroniser tous les groupes avec ERA ou ne sélectionnez
que des groupes spécifiques à ajouter. Cliquez sur OK lorsque vous avez terminé.
oOpen Directory de Mac OS X Server (noms d’hôte des ordinateurs)
oOpen Directory de Mac OS X Server (adresses IP des ordinateurs)
oOpenLDAP avec les enregistrements d’ordinateur Samba : configuration des paramètres de nom
DNS dans Active Directory.
Paramètres de synchronisation
• Nom unique : chemin d’accès (nom unique) au nœud dans l’arborescence d’Active Directory. Si ce champ
est laissé vide, l’arborescence entière d’Active Directory est synchronisée.
• Nom(s) unique(s) exclu(s) : vous pouvez choisir d’exclure (ignorer) des nœuds spécifiques dans
l’arborescence d’Active Directory.
• Ignorer les ordinateurs désactivés (uniquement dans Active Directory) : vous pouvez choisir
d’ignorer les ordinateurs désactivés dans Active Directory. La tâche ignore alors ces ordinateurs.
Déclencheur
La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche.
Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule
tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un
déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée
manuellement (un déclencheur peut être ajouté par la suite).
Paramètres avancés de la limitation
En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une
limitation est facultative.
Résumé
Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects,
cliquez sur Terminer. La tâche est alors créée et prête à être utilisée.
Mode de synchronisation - Réseau MS Windows
Cliquez sur Admin > Tâche de serveur > Synchronisation des groupes statiques > Nouveau...
Général
Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description
(facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants :
• Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute
automatiquement après que vous ayez cliqué sur Terminer.
• Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle
vous pouvez configurer des paramètres de déclencheur.
• Pour définir le déclencheur ultérieurement, laissez cette coche décochée.
247
Paramètres
Paramètres communs
Cliquez sur Sélectionner sous Nom du groupe statique. Par défaut, le groupe résidentiel de l'utilisateur
exécutant est utilisé pour les ordinateurs synchronisés. Vous pouvez également créer un groupe statique.
• Objets à synchroniser : ordinateurs et groupes ou ordinateurs uniquement.
• Gestion des collisions de création d’ordinateur : si la synchronisation ajoute des ordinateurs qui sont
déjà membres du groupe statique, vous pouvez choisir une méthode de résolution des conflits :
oIgnorer (les ordinateurs synchronisés ne sont pas ajoutés)
oDéplacer (les nouveaux ordinateurs seront déplacés vers un sous-groupe)
oDupliquer (un nouvel ordinateur est créé avec un autre nom)
• Gestion des extinctions d’ordinateur : si un ordinateur n’existe plus, vous pouvez le supprimer ou
l’ignorer.
• Gestion des extinctions de groupe : si un groupe n’existe plus, vous pouvez le supprimer ou l’ignorer.
• Mode de synchronisation - MS Windows Network
Dans la section Paramètres de synchronisation Microsoft Windows Network, entrez les informations
suivantes :
• Groupe de travail : Entrez le domaine ou le groupe de travail qui contient les ordinateurs à synchroniser. Si
vous ne spécifiez aucun groupe de travail, tous les ordinateurs visibles seront synchronisés.
• Connexion :Entrez les informations d’authentification utilisées pour la synchronisation dans votre réseau
Windows.
• Mot de passe : Entrez le mot de passe utilisé pour vous connecter au réseau Windows.
Déclencheur
La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche.
Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule
tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un
déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée
manuellement (un déclencheur peut être ajouté par la suite).
Paramètres avancés de la limitation
En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une
limitation est facultative.
Résumé
Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects,
cliquez sur Terminer. La tâche est alors créée et prête à être utilisée.
Mode de synchronisation - VMware
Il est possible de synchroniser des machines virtuelles s’exécutant sur VMware vCenter Server.
Cliquez sur Admin > Tâche serveur > Synchronisation des groupes statiques > Nouveau.
Général
248
Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description
(facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants :
• Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute
automatiquement après que vous ayez cliqué sur Terminer.
• Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle
vous pouvez configurer des paramètres de déclencheur.
• Pour définir le déclencheur ultérieurement, laissez cette coche décochée.
Paramètres
Paramètres communs
Cliquez sur Sélectionner sous Nom du groupe statique. Par défaut, le groupe résidentiel de l'utilisateur
exécutant est utilisé pour les ordinateurs synchronisés. Vous pouvez également créer un groupe statique.
• Objets à synchroniser : ordinateurs et groupes ou ordinateurs uniquement.
• Gestion des collisions de création d’ordinateur : si la synchronisation ajoute des ordinateurs qui sont
déjà membres du groupe statique, vous pouvez choisir une méthode de résolution des conflits :
oIgnorer (les ordinateurs synchronisés ne sont pas ajoutés)
oDéplacer (les nouveaux ordinateurs seront déplacés vers un sous-groupe)
oDupliquer (un nouvel ordinateur est créé avec un autre nom)
• Gestion des extinctions d’ordinateur : si un ordinateur n’existe plus, vous pouvez le supprimer ou
l’ignorer.
• Gestion des extinctions de groupe : si un groupe n’existe plus, vous pouvez le supprimer ou l’ignorer.
• Mode de synchronisation - VMWare
Paramètres de connexion au serveur
• Serveur : saisissez le nom DNS ou l’adresse IP de VMware vCenter Server.
• Connexion : saisissez les informations d’identification de VMware vCenter Server.
• Mot de passe : saisissez le mot de passe utilisé pour vous connecter à VMware vCenter Server.
Paramètres de synchronisation
• Vue Structure : sélectionnez le type de vue Structure, Dossiers ou Pool de ressources.
• Chemin d’accès à la structure : cliquez sur Parcourir et accédez au dossier que vous souhaitez
synchroniser. Si le champ n’est pas renseigné, la structure entière sera synchronisée.
• Vue Ordinateur : indiquez si vous souhaitez afficher les ordinateurs par nom, nom d’hôte ou adresse IP
après la synchronisation.
Déclencheur
La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche.
Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule
tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un
déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée
manuellement (un déclencheur peut être ajouté par la suite).
Paramètres avancés de la limitation
En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une
limitation est facultative.
249
Résumé
Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects,
cliquez sur Terminer. La tâche est alors créée et prête à être utilisée.
Synchronisation des groupes statiques - Ordinateurs Linux
Un ordinateur Linux qui a rejoint un domaine Windows n'affiche aucun texte dans les propriétés d'ordinateur
Utilisateurs et ordinateurs Active Directory. Ces informations doivent donc être saisies manuellement.
Vérifiez les conditions préalables requises pour le serveur et celles-ci :
• Les ordinateurs Linux figurent dans Active Directory.
• Un serveur DNS est installé sur le contrôleur de domaine.
• ADSI Edit est installé.
1. Ouvrez une invite de commande, puis exécutez adsiedit.msc.
2. Accédez à Action > Connexion. La fenêtre des paramètres de connexion s'affiche.
3. Cliquez sur Sélectionnez un contexte d'attribution de noms connu.
4. Dans la zone de liste déroulante, sélectionnez le contexte d'attribution de noms Par défaut.
5. Cliquez sur OK. La valeur ADSI à gauche doit correspondre au nom de votre contrôleur de domaine, Contexte
d’attribution de noms par défaut (votre contrôleur de domaine).
6. Cliquez sur la valeur ADSI et développez le sous-groupe.
7. Cliquez sur le sous-groupe, puis accédez au CN (nom commun) ou au OU (unité d'organisation) dans lequel
sont affichés les ordinateurs Linux.
8. Cliquez sur le nom d'hôte de l'ordinateur Linux, puis sélectionnez Propriétés dans le menu contextuel.
Accédez au paramètre dNSHostName, puis cliquez sur Modifier.
9. Remplacez la valeur <non défini> par du texte valide (ubuntu.TEST, par exemple).
10. Cliquez sur OK > OK. Ouvrez Utilisateurs et ordinateurs Active Directory, puis sélectionnez les
propriétés de l'ordinateur Linux. Le nouveau texte doit s'afficher.
Synchronisation utilisateur
Cette tâche serveur synchronise les informations des utilisateurs et du groupe d'utilisateurs à partir d'une source
comme Active Directory, les paramètres LDAP, etc. Pour exécuter cette tâche, cliquez sur Admin > Tâche
serveur >Synchronisation utilisateur> Nouveau...
Général
Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description
(facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants :
• Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute
automatiquement après que vous ayez cliqué sur Terminer.
• Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle
vous pouvez configurer des paramètres de déclencheur.
• Pour définir le déclencheur ultérieurement, laissez cette coche décochée.
250
Paramètres
Paramètres communs
Nom du groupe d'utilisateurs : par défaut, la racine des utilisateurs synchronisés est utilisée (il s'agit du groupe
Tous par défaut). Vous pouvez également créer un groupe d'utilisateurs.
Gestion des collisions de création d'utilisateur : deux types de conflit peuvent se produire :
• Un même groupe contient deux utilisateurs portant le même nom.
• Un utilisateur existant possède le même SID (n'importe où dans le système).
Vous pouvez définir la gestion des collisions sur les options suivantes :
• Ignorer : l'utilisateur n'est pas ajouté à ERA pendant la synchronisation avec Active Directory.
• Remplacer : l'utilisateur existant dans ERA est remplacé par celui d'Active Directory. Dans le cas d'un conflit
de SID, l'utilisateur existant dans ERA est supprimé de son précédent emplacement (même si l'utilisateur figurait
dans un autre groupe).
Gestion des extinctions d'utilisateur : si un utilisateur n'existe plus, vous pouvez le supprimer ou l'ignorer.
Gestion des extinctions de groupe d'utilisateurs : si un groupe d'utilisateurs n'existe plus, vous pouvez le
supprimer ou l'ignorer.
REMARQUE
Si vous utilisez des attributs personnalisés pour un utilisateur, définissez Gestion des collisions de création
d'utilisateur sur Ignorer. Sinon, l'utilisateur (et tous les détails) est remplacé par les données d'Active Directory
et perd les attributs personnalisés. Si vous voulez remplacer l'utilisateur, choisissez Ignorer pour Gestion des
extinctions d'utilisateur.
Paramètres de connexion au serveur
Serveur : saisissez le nom du serveur ou l’adresse IP du contrôleur de domaine.
Connexion : saisissez les informations d’identification de connexion du contrôleur de domaine sous la forme
DOMAINE\nom_utilisateur.
Mot de passe : saisissez le mot de passe utilisé pour se connecter au contrôleur de domaine.
Utiliser les paramètres LDAP : si vous souhaitez utiliser le protocole LDAP, cochez la case Utiliser le
protocole LDAP au lieu d'Active Directory, puis saisissez des attributs spécifiques qui correspondent à votre
serveur. Vous pouvez également sélectionner une valeur prédéfinie en cliquant sur Personnaliser... pour que
les paramètres soient renseignés automatiquement :
• Active Directory
• Open Directory de Mac OS X Server (noms d’hôte d’ordinateur)
• Open Directory de Mac OS X Server (adresses IP d’ordinateur)
• OpenLDAP avec les enregistrements d’ordinateur Samba : configuration des paramètres de nom DNS
dans Active Directory.
Paramètres de synchronisation
Nom unique : chemin d’accès (nom unique) au nœud dans l’arborescence d’Active Directory. Si ce champ est
laissé vide, l’arborescence entière d’Active Directory est synchronisée.
Attributs d'utilisateur et de groupe d'utilisateurs : les attributs par défaut d'un utilisateur sont spécifiques à
l'annuaire auquel l'utilisateur appartient. Si vous souhaitez synchroniser les attributs Active Directory, sélectionnez
le paramètre AD dans le menu déroulant des champs adéquats ou saisissez un nom personnalisé pour l'attribut. Un
espace réservé ERA se trouve en regard de chaque champ synchronisé (par exemple : ${display_name}). Il
251
représente cet attribut dans certains paramètres de politique ERA.
Attributs d’utilisateur avancés : si vous souhaitez utiliser des attributs personnalisés avancés, sélectionnez
Ajouter. Ces champs héritent des informations de l'utilisateur et peuvent être utilisés dans un éditeur de politique
MDM iOS en tant qu'espace réservé.
Déclencheur
La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche.
Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule
tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un
déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée
manuellement (un déclencheur peut être ajouté par la suite).
Paramètres avancés de la limitation
En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une
limitation est facultative.
Résumé
Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects,
cliquez sur Terminer. La tâche est alors créée et prête à être utilisée.
Déploiement de l’agent ERA
Le déploiement à distance d'ERA Agent est effectué dans la section Admin. Cliquez sur Tâche serveur >
Déploiement d’agent > Nouveau pour configurer une nouvelle tâche.
REMARQUE
Il est recommandé de tester au préalable le déploiement en masse de l'Agent dans votre environnement. Une fois
qu'il fonctionne correctement, vous pouvez commencer le déploiement réel sur les ordinateurs clients des
utilisateurs. Avant de tester le déploiement en masse, vous devez également modifier l'intervalle de connexion de
l'Agent.
Général
Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description
(facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants :
• Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute
automatiquement après que vous ayez cliqué sur Terminer.
• Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle
vous pouvez configurer des paramètres de déclencheur.
• Pour définir le déclencheur ultérieurement, laissez cette coche décochée.
Paramètres
Résolution automatique de l'Agent adéquat : si vous disposez de plusieurs systèmes d'exploitation (Windows,
Linux, Mac OS) dans votre réseau, sélectionnez cette option. La tâche recherche automatiquement le package
d'installation de l'Agent adéquat compatible avec le serveur pour chaque système.
Cibles : cliquez sur cette option pour sélectionner les clients destinataires de cette tâche.
Nom d’hôte du serveur (facultatif) : vous pouvez saisir un nom d'hôte du serveur s'il est différent du côté client
252
et serveur.
Nom d'utilisateur/Mot de passe : il s'agit du nom d'utilisateur et du mot de passe de l'utilisateur disposant de
droits suffisants pour effectuer une installation à distance de l'Agent.
Certificat homologue :
• Certificat ERA : il s’agit du certificat de sécurité et de l’autorité de certification pour l’installation de
l’Agent. Vous pouvez utiliser le certificat et l’autorité de certification par défaut ou des certificats
personnalisés.
• Certificat personnalisé : si vous utilisez un certificat personnalisé pour l'authentification, accédez à
celui-ci et sélectionnez-le lors de l'installation de l'Agent. Pour plus d'informations, reportez-vous au
chapitre Certificats.
Phrase secrète du certificat : il s’agit du mot de passe du certificat que vous avez saisi lors de l’installation
d'ERA Server (à l’étape de création d’une autorité de certification) ou du mot de passe de votre certificat
personnalisé.
REMARQUE
• ERA Server peut automatiquement sélectionner le package d'installation de l'Agent adéquat pour les systèmes
d'exploitation. Pour sélectionner manuellement un package, décochez l'option Résolution automatique de
l'Agent adéquat, puis choisissez le package à utiliser parmi la liste des Agents disponibles dans le référentiel
ERA.
• Dans le cas d'une installation sur un ordinateur Linux ou Mac, vérifiez que le démon SSH est activé et en cours
d'exécution sur le port 22 et que le pare-feu ne bloque pas cette connexion sur l'ordinateur cible. Utilisez la
commande suivante (remplacez l'adresse IP par cette d'ERA Server) pour ajouter une exception au pare-feu
Linux :
iptables -A INPUT -s 10.0.0.1 -p tcp --dport 22 -m state --state NEW -j ACCEPT• Pour une
installation sur Linux, sélectionnez un utilisateur autorisé à utiliser la commande sudo ou l'utilisateur root. Si
root est utilisé, le service ssh doit vous autoriser à vous connecter en tant que root.
Déclencheur
La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche.
Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule
tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un
déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée
manuellement (un déclencheur peut être ajouté par la suite).
Paramètres avancés de la limitation
En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une
limitation est facultative.
Résumé
Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects,
cliquez sur Terminer. La tâche est alors créée et prête à être utilisée.
Générer un rapport
La tâche Générer un rapport sert à générer des rapports à partir de modèles de rapport prédéfinis ou
précédemment créés.
Général
Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description
253
(facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants :
• Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute
automatiquement après que vous ayez cliqué sur Terminer.
• Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle
vous pouvez configurer des paramètres de déclencheur.
• Pour définir le déclencheur ultérieurement, laissez cette coche décochée.
Paramètres
Modèles de rapport : cliquez sur Ajouter un modèle de rapport pour sélectionner un modèle de rapport dans
la liste. L'utilisateur qui crée la tâche ne pourra afficher et sélectionner que les modèles de rapport qui sont
disponibles dans son groupe. Vous pouvez sélectionner plusieurs modèles de rapport pour un rapport.
Sélectionnez Envoyer un courrier électronique ou Enregistrer dans un fichier pour obtenir le rapport généré.
Remise du rapport
Envoyer un email
Pour envoyer/recevoir des messages électroniques, vous devez configurer les paramètres SMTP sous Paramètres
du serveur > Paramètres avancés.
Envoyer à : saisissez les adresses électroniques des destinataires des messages électroniques de rapport.
Séparez plusieurs adresses par une virgule (,). Il est également possible d'ajouter des champs Cc et Cci. Ces
derniers fonctionnent comme dans tous les clients de messagerie.
Objet : objet du message de rapport. Saisissez un objet distinctif pour que les messages entrants puissent être
triés. Il s'agit d'un paramètre facultatif. Il est toutefois conseillé de ne pas laisser ce champ vide.
Contenu du message : définissez le corps du message de rapport.
Envoyer un courrier électronique si le rapport est vide : utilisez cette option si vous souhaitez envoyer le
rapport même s'il ne contient pas de données.
Options d’impression
Cliquez sur Afficher les options d’impression pour afficher les paramètres suivants :
• Format de sortie : sélectionnez le format de fichier adéquat. Le rapport généré est joint au message et peut
être imprimé ultérieurement.
• Langue de sortie : sélectionnez la langue du message. La langue par défaut repose sur celle sélectionnée
pour ERA Web Console.
• Taille de la page/Résolution/Orientation du papier/Format de couleur/Unités des marges/Marges :
ces options sont pertinentes si vous souhaitez imprimer le rapport. Sélectionnez les options qui répondent à vos
besoins. Ces options s'appliquent uniquement aux formats PDF et PS, et non au format CSV.
REMARQUE
la tâche Générer un rapport vous permet d'effectuer un choix parmi plusieurs formats de fichier de sortie. Si
vous sélectionnez le format CSV, les valeurs de date et d'heure du rapport sont stockées au format UTC. Lorsque
vous sélectionnez l'une des deux options de sortie restantes (PDF, PS), le serveur utilise l'heure du serveur local.
Enregistrer dans un fichier
Options de fichier
Chemin d'accès au fichier relatif : le rapport est généré dans un répertoire spécifique, par exemple :
254
Dans le cadre de Windows, le rapport est généralement placé dans
C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Data\GeneratedReports\
Sous les anciens systèmes Windows, le chemin d'accès peut être C:\Users\All
Users\ESET\RemoteAdministrator\Server\EraServerApplicationData\Data\GeneratedReports\
Dans le cadre de Linux, le rapport est généralement placé dans
/var/opt/eset/RemoteAdministrator/Server/GeneratedReports/
Enregistrer le fichier si le rapport est vide : utilisez cette option si vous souhaitez enregistrer le rapport même
s'il ne contient pas de données.
Options d’impression
Cliquez sur Afficher les options d’impression pour afficher les paramètres suivants :
• Format de sortie : sélectionnez le format de fichier adéquat. Le rapport généré est joint au message et peut
être imprimé ultérieurement.
• Langue de sortie : sélectionnez la langue du message. La langue par défaut repose sur celle sélectionnée
pour ERA Web Console.
• Taille de la page/Résolution/Orientation du papier/Format de couleur/Unités des marges/Marges :
ces options sont pertinentes si vous souhaitez imprimer le rapport. Sélectionnez les options qui répondent à vos
besoins. Ces options s'appliquent uniquement aux formats PDF et PS, et non au format CSV.
REMARQUE
la tâche Générer un rapport vous permet d'effectuer un choix parmi plusieurs formats de fichier de sortie. Si
vous sélectionnez le format CSV, les valeurs de date et d'heure du rapport sont stockées au format UTC. Lorsque
vous sélectionnez l'une des deux options de sortie restantes (PDF, PS), le serveur utilise l'heure du serveur local.
Déclencheur
La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche.
Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule
tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un
déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée
manuellement (un déclencheur peut être ajouté par la suite).
Paramètres avancés de la limitation
En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une
limitation est facultative.
Résumé
Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects,
cliquez sur Terminer. La tâche est alors créée et prête à être utilisée.
REMARQUE
Ubuntu Server Edition requiert l'installation de X Server et xinit pour que l'impression des rapports (rapports
PDF) fonctionne.
sudo apt-get install server-xorg
sudo apt-get install xinit
startx
Renommer les ordinateurs
Vous pouvez utiliser la tâche Renommer les ordinateurs pour leur attribuer un nouveau nom au format FQDN.
255
Vous pouvez utiliser la tâche serveur existante fournie par défaut avec l’installation d’ERA. Cette tâche renomme
automatiquement toutes les heures les ordinateurs synchronisés situés dans le groupe Perdu et trouvé. Pour
créer une tâche, cliquez sur Tâche serveur > Renommer les ordinateurs > Nouveau.
Général
Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description
(facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants :
• Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute
automatiquement après que vous ayez cliqué sur Terminer.
• Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle
vous pouvez configurer des paramètres de déclencheur.
• Pour définir le déclencheur ultérieurement, laissez cette coche décochée.
Paramètres
Nom du groupe : sélectionnez un groupe statique ou dynamique ou créez-en un pour les ordinateurs renommés.
Renommer selon :
• Nom de l'ordinateur : chaque ordinateur est identifié sur le réseau local par son nom unique.
• FQDN (nom de domaine complet) de l'ordinateur : cela commence par le nom d'hôte puis les noms de
domaine jusqu'au nom de domaine de niveau supérieur.
Une résolution des conflits de nom sera effectuée pour les ordinateurs déjà présents dans ERA (le nom de
l’ordinateur doit être unique) et ceux ajoutés lors de la synchronisation. Les vérifications s’appliquent uniquement
aux noms des ordinateurs situés en dehors de la sous-arborescence en cours de synchronisation.
Déclencheur
La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche.
Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule
tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un
déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée
manuellement (un déclencheur peut être ajouté par la suite).
Paramètres avancés de la limitation
En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une
limitation est facultative.
Résumé
Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects,
cliquez sur Terminer. La tâche est alors créée et prête à être utilisée.
Supprimer les ordinateurs non connectés
La tâche Supprimer les ordinateurs qui ne se connectent pas permet de supprimer des ordinateurs selon
des critères spécifiés. Par exemple, si l'ERA Agent sur un ordinateur client ne s’est pas connecté depuis 30 jours, il
peut être supprimé d'ERA Web Console.
Général
256
Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description
(facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants :
• Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute
automatiquement après que vous ayez cliqué sur Terminer.
• Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle
vous pouvez configurer des paramètres de déclencheur.
• Pour définir le déclencheur ultérieurement, laissez cette coche décochée.
Paramètres
Nom du groupe : sélectionnez un groupe statique ou dynamique ou
créez un nouveau groupe dans lequel les ordinateurs seront
renommés.
Nombre de jours pendant lesquels l’ordinateur n’a pas été
connecté : saisissez le nombre de jours au-delà duquel les
ordinateurs seront supprimés.
Désactiver la licence : utilisez cette option si vous souhaitez
également désactiver les licences des ordinateurs supprimés.
Supprimer les ordinateurs non gérés : si vous cochez cette case, les
ordinateurs non gérés seront également supprimés.
Déclencheur
La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche.
Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule
tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un
déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée
manuellement (un déclencheur peut être ajouté par la suite).
Paramètres avancés de la limitation
En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une
limitation est facultative.
Résumé
Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects,
cliquez sur Terminer. La tâche est alors créée et prête à être utilisée.
Déclencheurs
Les déclencheurs sont essentiellement des capteurs qui réagissent à certains événements d'une manière
prédéfinie. Ils sont utilisés pour exécuter la tâche serveur qui leur est attribuée. Ils peuvent être activés par le
planificateur (événements temporels) ou lorsqu'un événement système spécifique se produit.
257
IMPORTANT
Il n'est pas possible de réutiliser un déclencheur. Chaque tâche serveur doit être déclenchée par un déclencheur
distinct, et chaque déclencheur ne peut exécuter qu'une seule tâche serveur.
Le déclencheur n'exécute pas immédiatement les tâches nouvellement attribuées. Celles-ci sont exécutées dès
que le déclencheur est déclenché. La sensibilité d'un déclencheur face aux événements peut être réduite à l'aide
d'une limitation.
Types de déclencheurs serveur :
Planifié
• Planifié une fois : ce déclencheur est appelé une fois aux date et heure planifiées. Il peut être retardé par
un intervalle aléatoire.
• Quotidiennement : ce déclencheur est appelé chaque jour sélectionné. Vous pouvez définir le début et la
fin de l'intervalle. Par exemple, vous pouvez exécuter une tâche serveur pendant dix week-ends consécutifs.
• Chaque semaine : ce déclencheur est appelé le jour sélectionné de la semaine. Par exemple, il peut
exécuter une tâche serveur tous les lundis et vendredis entre le 1er juillet et le 31 août.
• Mensuel : ce déclencheur est appelé les jours sélectionnés de la semaine définie dans le mois, pendant la
période sélectionnée. La valeur de l'option Répéter définit le jour du mois (le deuxième lundi, par exemple)
pendant lequel la tâche doit s'exécuter.
• Annuel : ce déclencheur est appelé une fois par an (ou pendant plusieurs années, en fonction de la
configuration) à la date de début spécifiée.
REMARQUE
Un intervalle de délai aléatoire peut être défini pour les déclencheurs planifiés. Il définit le délai maximal
d'exécution de la tâche. Le caractère aléatoire peut empêcher une surcharge du serveur.
EXEMPLE
Si John définit qu'une tâche serveur doit être déclenchée le lundi de chaque semaine, à partir du 10
février 2017 à 8:00:00, avec un intervalle de délai aléatoire d'une heure, et qu'elle doit se terminer le 6 avril
2017 à 00:00:00, la tâche s'exécutera avec un délai aléatoire d'une heure entre 8:00 et 9:00, tous les lundis,
jusqu'à la date de fin spécifiée.
Groupe dynamique
• Membres du groupe dynamique modifiés : ce déclencheur est appelé lorsque le contenu d'un groupe
dynamique change, lorsque des clients rejoignent ou quittent un groupe dynamique spécifique, par exemple.
• Taille du groupe dynamique modifiée selon le seuil : ce déclencheur est appelé lorsque le nombre de
clients d'un groupe dynamique devient supérieur ou inférieur au seuil spécifié, par exemple, si plus de
100 ordinateurs figurent dans un groupe donné.
• Taille du groupe dynamique modifiée pendant la période : ce déclencheur est appelé lorsque le
nombre de clients d'un groupe dynamique change pendant une période définie, par exemple, si le nombre
d'ordinateurs d'un groupe donné augmente de 10 % en une heure.
• Taille du groupe dynamique modifiée selon le groupe comparé : ce déclencheur est appelé lorsque
le nombre de clients d'un groupe dynamique observé change par rapport à un groupe de comparaison
(statique ou dynamique), par exemple, si plus de 10 % de tous les ordinateurs sont infectés (groupe Tous
comparé au groupe Infecté).
Autre
• Serveur démarré : ce déclencheur est appelé lorsque le serveur démarre. Il est par exemple utilisé pour
la tâche Synchronisation des groupes statiques.
• Déclencheur lié au Journal des événements : ce déclencheur est appelé lorsqu'un événement d'un
certain type se produit dans les journaux, en cas de menace dans le journal d'analyse, par exemple. Ce type
de déclencheur propose un ensemble de paramètres spéciaux dans les paramètres de la limitation.
• Expression CRON : ce déclencheur est appelé à une date et une heure spécifiques.
Un déclencheur planifié exécute la tâche selon des paramètres de date et d'heure. Les tâches peuvent être
258
planifiées pour s'exécuter une seule fois, de manière récurrente ou selon une expression CRON.
Intervalle d'expression CRON
Une expression CRON sert à configurer des instances spécifiques d'un déclencheur. Elle est principalement utilisée
pour des déclenchements répétitifs planifiés. Il s'agit d'une chaîne composée de 6 ou 7 champs qui représentent
les valeurs distinctes de la planification. Ces champs sont séparés par un espace. Ils contiennent les valeurs
autorisées dans des combinaisons variées.
Une expression CRON peut être aussi simple que celle-ci : * * * * ? * ou plus complexe, comme celle-ci : 0/5
14,18,3-39,52 * ? JAN,MAR,SEP MON-FRI 2012-2020
Voici la liste des valeurs que vous pouvez utiliser dans une expression CRON :
Nom
Secondes
Minutes
Heures
Jour du mois
Mois
Jour de la semaine
Année
Obligatoire
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Valeur
0-59
0-59
0-23
1-31
1 à 12 ou JAN-DEC
0 à 6 ou SUN-SAT
1970-2099
Caractères spéciaux autorisés
,-*/R
,-*/R
,-*/R
,-*/?LW
, - */
,-/?L#
,-*/
La syntaxe d'une expression CRON est la suivante :
┌────────── Secondes
(0 à 59)│ ┌──────────
Minutes (0 à 59)│ │
┌────────── Heures (0
à 23)│ │ │
┌────────── Jour du
mois (1 à 31)│ │ │ │
┌────────── Mois (1 à
12 ou JAN-DEC)│ │ │ │
│ ┌────────── Jour de
la semaine (0 à 6 ou
SUN-SAT) (par
exemple, 0 est
identique à SUN)│ │ │
│ │ │ ┌──────────
Année│ │ │ │ │ │
│* * * * * ? *
• 0 0 0 signifie minuit (secondes, minutes, heures).
• Utilisez le caractère ? lorsqu'une valeur ne peut pas être définie car elle a été définie dans un autre champ
(jour du mois ou jours de la semaine).
• Le caractère * signifie toutes les/tous les (secondes, minutes, heures, jour du mois, mois, jour de la semaine,
année).
• SUN signifie le dimanche.
REMARQUE
Le nom des mois et des jours de la semaine ne respecte pas la casse. Par exemple, MON équivaut à mon ou JAN
équivaut à jan.
Caractères spéciaux :
Virgule (,)
Les virgules servent à séparer des éléments dans une liste. Par exemple, l'utilisation de MON,WED,FRI dans le
sixième champ (jour de la semaine) signifie les lundis, mercredis et vendredis.
259
Tiret (-)
Définit des plages. Par exemple, 2012-2020 signifie chaque année entre 2012 et 2020, inclusif.
Caractère générique (*)
Utilisé pour sélectionner toutes les valeurs possibles dans un champ. Par exemple, le caractère générique * dans le
champ des minutes signifie toutes les minutes. Le caractère * ne peut pas être utilisé dans le champ des jours de
la semaine.
Point d'interrogation (?)
Lorsque vous sélectionnez un jour spécifique, vous pouvez indiquer un jour du mois ou un jour de la semaine. Vous
ne pouvez pas spécifier les deux. Si vous indiquez un jour du mois, vous devez utiliser le caractère ? pour le jour de
la semaine, et inversement. Par exemple, si vous souhaitez que le déclencheur soit déclenché un jour du mois
spécifique (le 10, par exemple) et si le jour de la semaine vous importe peu, indiquez 10 dans le champ des jours
du mois et placez le caractère ? dans le champ des jours de la semaine.
Dièse (#)
Utilisé pour spécifier le énième jour du mois. Par exemple, la valeur 4#3 dans le champ des jours de la semaine
signifie le troisième jeudi du mois (jour 4 = jeudi et #3 = le troisième jeudi du mois). Si vous spécifiez #5 et s'il
n'existe pas de 5ème jour donné de la semaine dans le mois, le déclencheur ne se déclenche pas ce mois.
Barre oblique (/)
Décrit les incréments d'une plage. Par exemple, la valeur 3-59/15 dans le deuxième champ (minutes) indique la
troisième minute de l'heure et toutes les 15 minutes par la suite.
Dernier (Last) (L)
Lorsque le caractère L est utilisé dans le champ des jours de la semaine, il permet de spécifier des constructions
comme le dernier vendredi (5L) d'un mois donné. Dans le champ des jours du mois, il spécifie le dernier jour du
mois, par exemple 31ème jour de janvier, 28ème jour de février pour les années non bissextiles.
Jour de la semaine (Weekday) (W)
Le caractère W est autorisé dans le champ des jours du mois. Ce caractère sert à spécifier le jour (lundi à vendredi)
le plus proche de la date donnée. Par exemple, si vous indiquez 15W comme valeur dans le champ des jours du
mois, vous spécifiez le jour le plus proche du 15 du mois. Si le 15 du mois correspond à un samedi, le déclencheur
se déclenche le vendredi 14. Si le 15 correspond à un dimanche, le déclencheur se déclenche le lundi 16.
Toutefois, si vous spécifiez 1W comme valeur du champ des jours du mois et si le 1er jour du mois correspond à un
samedi, le déclencheur se déclenche le lundi 3, car il ne dépasse pas la limite des jours d'un mois.
REMARQUE
Les caractères L et W peuvent être également combinés dans le champ des jours du mois pour donner LW, c'està-dire le dernier jour de la semaine du mois.
Aléatoire (Random) (R)
Le caractère R est un caractère d'expression CRON ERA spécial qui permet de spécifier des moments aléatoires.
Par exemple, le déclencheur R 0 0 * * ? * se déclenche tous les jours à 00:00 et des secondes aléatoires (0 à 59).
IMPORTANT
Il est recommandé d'utiliser des moments aléatoires pour empêcher la connexion simultanée de tous les ERA
Agent à ERA Server.
Voici des exemples réels qui illustrent quelques variantes des expressions CRON :
260
Expression CRON
0 0 12 * * ? *
R00**?*
R R R 15W * ? *
Signification
Déclenchement à 12:00 (midi) tous les jours.
Déclenchement à 00:00 et des secondes aléatoires (0 à 59) tous les jours.
Déclenchement le 15 de chaque mois à une heure aléatoire (secondes, minutes, heures).
Si le 15 d'un mois correspond à un samedi, le déclencheur se déclenche le vendredi 14.
Si le 15 correspond à un dimanche, le déclencheur se déclenche le lundi 16.
0 15 10 * * ? 2016
Déclenchement à 10:15 tous les jours pendant l'année 2016.
0 * 14 * * ? *
Déclenchement toutes les minutes à partir de 14:00 et jusqu'à 14:59 tous les jours.
0 0/5 14 * * ? *
Déclenchement toutes les 5 minutes à partir de 14:00 et jusqu'à 14:55 tous les jours.
0 0/5 14,18 * * ? *
Déclenchement toutes les 5 minutes à partir de 14:00 jusqu'à 14:55 et déclenchement
toutes les 5 minutes à partir de 18:00 et jusqu'à 18:55 tous les jours.
0 0-5 14 * * ? *
Déclenchement toutes les minutes à partir de 14:00 et jusqu'à 14:05:00 tous les jours.
0 10,44 14 ? 3 WED *
Déclenchement à 14:10 et 14:44 tous les mercredis du mois de mars.
0 15 10 ? * MON-FRI *
Déclenchement à 10:15 tous les jours de la semaine (lundi, mardi, mercredi, jeudis et
vendredi).
0 15 10 15 * ? *
Déclenchement à 10:15 le 15ème jour de tous les mois.
0 15 10 ? * 5L *
Déclenchement à 10:15 le dernier vendredi de tous les mois.
0 15 10 ? * 5L 2016-2020Déclenchement à 10:15 tous les derniers vendredis de chaque mois de l'année 2016 à
l'année 2020, inclusif.
0 15 10 ? * 5#3 *
Déclenchement à 10:15 le troisième vendredi de tous les mois.
00***?*
Déclenchement toutes les heures, tous les jours.
Paramètres avancés de la limitation
La limitation est utilisée pour limiter l'exécution d'une tâche. En règle générale, elle est employée lorsqu'une tâche
est déclenchée par un événement se produisant fréquemment. Dans certains cas, une limitation peut empêcher le
déclenchement d'un déclencheur. Chaque fois qu'un déclencheur est déclenché, il est évalué selon le schéma ciaprès. Seuls les déclencheurs qui remplissent les conditions spécifiées peuvent exécuter la tâche. Si aucune
condition de limitation n'est définie, tous les événements de déclencheur exécutent la tâche.
Critères temporels
Condition 1
Condition 2
Déclencheur
Limitation
Critères statistiques
Condition 1
Condition 2
261
Exécution de tâches
Il existe deux types de conditions de limitation : temporel et statistique. Pour qu'une tâche soit exécutée :
• Elle doit remplir les deux types de conditions.
• Les conditions doivent être définies. Si une condition est vide, elle est omise.
• Toutes les conditions temporelles doivent être remplies, car elles sont évaluées avec l'opérateur ET.
• Toutes les conditions statistiques évaluées avec l'opérateur ET doivent être remplies. Lorsque l'opérateur OU
est utilisé, au moins une condition statistique doit être remplie.
• Les conditions statistiques et temporelles définies ensemble doivent être remplies, car elles sont évaluées
avec l'opérateur ET uniquement. La tâche est ensuite exécutée.
Si aucune des conditions définies n'est remplie, les informations empilées sont réinitialisées pour tous les
observateurs (le décompte redémarre de 0). Cela s'applique aux conditions temporelles et statistiques. Ces
informations sont également réinitialisées si l'Agent ou ERA Server est redémarré. Toutes les modifications
apportées à un déclencheur réinitialisent son état. Il est recommandé d'utiliser une seule condition statistique et
plusieurs conditions temporelles. Plusieurs conditions statistiques peuvent représenter une complication inutile et
modifier les résultats des déclencheurs.
Critères temporels
Toutes les conditions configurées doivent être remplies pour déclencher la tâche.
Agréger les appels pendant la période (T2) : permet un déclenchement pendant la période spécifiée. Si cette
option est définie par exemple sur dix secondes et si dix appels ont lieu pendant cette période, seul le premier
appel déclenche l'événement.
Périodes (T1) : permet le déclenchement uniquement pendant la période définie. Vous pouvez ajouter plusieurs
périodes à la liste. Elles seront triées par ordre chronologique.
Critères statistiques
Application des critères statistiques : les conditions statistiques peuvent être combinées à l'aide de
l'opérateur logique ET (toutes les conditions doivent être remplies) ou OU (la première condition remplie
déclenche l'action).
Déclenché toutes les X occurrences (S1) : permet d'autoriser uniquement chaque x cycle (accès). Si vous
saisissez par exemple la valeur 10, seul chaque dixième cycle est comptabilisé.
Nombre d’occurrences pendant une période donnée (S2) : permet le déclenchement uniquement pendant la
période définie, ce qui détermine la fréquence minimale des événements pour déclencher la tâche. Vous pouvez
par exemple utiliser ce paramètre pour autoriser l'exécution de la tâche si l'événement est détecté 10 fois pendant
une heure. Le déclenchement du déclencheur entraîne une réinitialisation du compteur.
• Période : permet de définir la période pour l'option décrite ci-dessus.
Une troisième condition statistique n'est disponible que pour certains types de déclencheurs. Voir : Déclencheur
> Type de déclencheur > Déclencheur lié au Journal des événements.
262
Critère du journal des événements
Ce critère est évalué par ERA en tant que troisième critère statistique (S3). L'opérateur Application des critères
statistiques (ET / OU) est appliqué afin d'évaluer les trois conditions statistiques ensemble. Il est recommandé
d'utiliser le critère du journal des événements avec la tâche Générer un rapport. Les trois champs sont
obligatoires pour que le critère fonctionne. Le tampon des symboles est réinitialisé si le déclencheur est déclenché
et si un symbole se trouve déjà dans le tampon.
Symbole : selon le type de journal qui est défini dans le menu Déclencheur, vous pouvez sélectionner un
symbole dans le journal que vous pourrez ensuite rechercher. Cliquez sur Modifier pour afficher le menu. Vous
pouvez supprimer le symbole sélectionné en cliquant sur Supprimer.
Nombre d'événements avec un symbole : saisissez un nombre entier d'événements distincts avec le symbole
sélectionné pour exécuter la tâche.
S’applique lorsque le nombre d’événements : cette option définit quel type d'événement déclenche la
condition. Les options disponibles sont les suivantes :
• Reçues dans une ligne : le nombre d'événements sélectionnés doivent se produire consécutivement. Ces
événements doivent être spécifiques.
• Reçues depuis la dernière exécution du déclencheur : la condition est déclenchée lorsque le nombre
sélectionné d'événements spécifiques est atteint (depuis la dernière exécution de la tâche).
REMARQUE
Lorsqu'ils sont utilisés avec une tâche serveur, tous les ordinateurs clients sont considérés. Il est peu probable de
recevoir un nombre plus élevé de symboles distincts de manière consécutive. Utilisez le paramètre Reçues dans
une ligne uniquement dans des cas raisonnables. Une valeur manquante (N/D) est considérée comme non
unique. Le tampon est donc réinitialisé à ce stade.
Propriétés supplémentaires
Comme indiqué ci-dessus, tous les événements n'entraînent pas le déclenchement d'un déclencheur. Les actions
exécutées pour les événements non-déclencheurs peuvent être les suivantes :
• Si plusieurs événements sont ignorés, les derniers N événements sont regroupés en un (stockage des
données des cycles supprimés) [N <= 100]
• Lorsque N == 0, seul le dernier événement est traité (N indique la durée de l'historique ; le dernier
événement est toujours traité).
• Tous les événements non déclencheurs sont fusionnés (fusion du dernier cycle avec N cycles historiques).
Si le déclencheur se déclenche trop souvent ou si vous souhaitez être averti moins souvent, tenez compte des
suggestions suivantes :
• Si l'utilisateur souhaite réagir lorsque les événements sont plus nombreux (et pas en cas d'un seul
événement), reportez-vous à la condition statistique S1.
• Si le déclencheur doit se déclencher uniquement lorsqu'un groupe d'événements se produisent, reportez-vous
à la condition statistique S2.
• Lorsque des événements avec des valeurs non souhaitées sont supposés être ignorés, reportez-vous à la
condition statistique S3.
• Lorsque des événements hors des heures pertinentes (les heures de travail, par exemple) doivent être ignorés,
reportez-vous à la condition temporelle T1.
• Pour définir une durée minimale entre deux déclenchements de déclencheur, utilisez la condition
temporelle T2.
263
REMARQUE
Les conditions peuvent être également associées pour créer des scénarios de limitation plus complexes. Consultez
les exemples de limitation pour plus d'informations.
Exemples de limitation
Les exemples de limitation expliquent comment les conditions de limitation (T1, T2, S1, S2, S3) sont combinées et
évaluées.
REMARQUE
« Cycle » signifie une impulsion du déclencheur. « T » représente les critères temporels, « S » les critères
statistiques et « S3 » les critères de journaux d'événements.
S1 : critère pour les occurrences (autoriser tous les trois cycles)
Heure 0001 02 03 04 05 06 le déclencheur est modifié
Cycles x x x x x x x
S1
1
1
07 080910 11 12 13 14 15
x x
x x
x
x
1
1
S2 : critère pour les occurrences dans le délai (autoriser si trois cycles ont lieu en quatre secondes)
Heure00 01 02 03 04 05 06 le déclencheur est modifié
Cycles x
x x x x
S2
1
07 08 09 10 11 12 13
x
x
x x x
1
S3 : critère pour des valeurs de symbole uniques (autoriser si trois valeurs uniques se suivent)
Heure00 01 02 03 04 05 06 le déclencheur est modifié07 08 09 10 11 12 13
Valeur A o o C D G H
J
K n.a.L M N N
S3
1
1
S3 : critère pour des valeurs de symbole uniques (autoriser si trois valeurs uniques existent depuis le
dernier cycle)
Heure00 01 02 03 04 05 06 07 le déclencheur est modifié08 09 10 11 12 13 14
Valeur A o o C D G H I
J
K n.a.L M N N
S3
1
1
1
T1 : autoriser un cycle pendant certaines périodes (autoriser tous les jours à partir de 8:10, durée de
60 secondes)
Heure8:09:508:09:598:10:008:10:01le déclencheur est modifié8:10:598:11:008:11:01
Cycles x
x
x
x
x
x
x
T1
1
1
1
Ce critère n'est associé à aucun état. Par conséquent, les modifications du déclencheur n'ont aucun effet sur les
résultats.
T2 : autoriser un cycle unique dans un intervalle de temps (autoriser une fois toutes les cinq secondes
au maximum)
Heure00010203040506le déclencheur est modifié07080910111213
Cycles x
x x x x
x
x
x x x
T2
1
1
1
1
Combinaison S1+S2
• S1 : tous les cinq cycles
• S2 : trois cycles en quatre secondes
264
Heure 0001020304050607080910111213141516
Cycles x x x x x
x x x
x
x x
S1
1
S2
1
1
1
Résultat
1
1
1
Le résultat est énuméré en tant que : S1 (opérateur logique ou) S2
Combinaison S1+T1
• S1 : autoriser tous les trois cycles
• T1 : autoriser tous les jours à partir de 8:08, durée de 60 secondes
Heure :8:07:508:07:518:07:528:07:538:08:108:08:118:08:198:08:548:08:558:09:01
Cycles x
x
x
x
x
x
x
x
x
x
S1
1
1
1
T1
1
1
1
1
1
Résultat
1
1
Le résultat est énuméré en tant que : S1 (opérateur logique et) T1
Combinaison S2+T1
• S2 : trois cycles en dix secondes
• T1 : autoriser tous les jours à partir de 8:08, pour une durée de 60 secondes
Heure :8:07:508:07:518:07:528:07:538:08:108:08:118:08:198:08:548:08:558:09:01
Cycles x
x
x
x
x
x
x
x
x
x
S2
1
1
1
1
T1
1
1
1
1
1
Résultat
1
Le résultat est énuméré en tant que : S2 (opérateur logique et) T1.
Notez que l'état de S2 est réinitialisé uniquement lorsque le résultat global est égal à 1.
Combinaison S2+T2
• S2 : trois cycles en dix secondes
• T2 : autoriser une fois toutes les 20 secondes au maximum
Heure :0001
Cycles x x
S2
T2
1 1
Résultat
02 03 04 05 06 07 … 16 17 18 19 20 21 22 23 24
x x x x x x
x x x x x x x x x
1
1 1 1
1 1 1 1 1
1
1
1
1
Le résultat est énuméré en tant que : S2 (opérateur logique et) T2.
Notez que l'état de S2 est réinitialisé uniquement lorsque le résultat global est égal à 1.
Notifications
Les notifications sont essentielles pour effectuer le suivi de l'état global de votre réseau. Lorsqu'un nouvel
événement se produit (selon votre configuration), vous êtes averti à l'aide d'une méthode définie (interception
SNMP ou message électronique) afin que vous puissiez réagir en conséquence.
• Tous les modèles de notification sont affichés dans la liste et peuvent être filtrés par Nom ou par Description.
• Cliquez sur Ajouter un filtre pour ajouter des critères de filtrage et/ou saisir une chaîne dans le champ
Nom/Notification.
• Pour modifier ou supprimer une notification, sélectionnez-la.
265
• Pour créer une notification, cliquez sur Nouvelle notification dans la partie inférieure de la page.
• Cliquez sur Dupliquer pour créer une nouvelle notification selon la notification sélectionnée. Un nouveau nom
est requis pour la tâche en double.
• Un utilisateur peut afficher uniquement les notifications qui sont contenues dans un groupe pour lequel il
dispose de l'autorisation Lire.
Notifications, utilisateurs et autorisations
À l'instar des tâches serveur, l'utilisation des notifications est limitée par les autorisations de l'utilisateur actuel.
Chaque fois que la notification est exécutée, les autorisations de l'utilisateur exécutant sont prises en compte.
L'utilisateur exécutant est toujours l'utilisateur qui a modifié la notification en dernier.
IMPORTANT
Pour qu'une notification fonctionne correctement, il est nécessaire que l'utilisateur exécutant dispose
d'autorisations suffisantes pour tous les objets référencés (périphériques, groupes et modèles). En règle générale,
les autorisations Lire et Utiliser sont requises. Si l'utilisateur ne dispose pas de ces autorisations ou s'il les perd,
la notification ne s'exécutera pas. Les notifications ayant échoué sont affichées en orange et déclenchent l'envoi
d'un message électronique pour avertir l'utilisateur.
Créer une notification : pour créer une notification, l'utilisateur doit disposer de l'autorisation Écrire pour les
notifications sur son groupe résidentiel. Une notification est créée dans le groupe résidentiel de l'utilisateur.
Modifier une notification : pour être en mesure de modifier une notification, l'utilisateur doit disposer de
l'autorisation Écrire pour les notifications sur un groupe dans lequel se trouve la notification.
Supprimer une notification : pour être en mesure de supprimer une notification, l'utilisateur doit disposer de
l'autorisation Écrire pour les notifications sur un groupe dans lequel se trouve la notification.
Filtre Accéder au groupe
Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les
objets visualisés selon le groupe qui les contient.
EXEMPLE
John, dont le groupe résidentiel est Groupe de John, veut supprimer (ou modifier) la notification 1. Cette
notification ayant été créée à l'origine par Larry, elle se trouve dans son groupe résidentiel appelé Groupe de
Larry. Pour que John puisse supprimer (ou modifier) la notification 1, les conditions suivantes doivent être
remplies :
• John doit se voir attribuer un jeu d'autorisations comportant l'autorisation Écrire pour les notifications
• Le jeu d'autorisations doit contenir Groupe de Larry dans Groupes statiques.
Gérer les notifications
Les notifications sont gérées dans l'onglet Admin. Sélectionnez une notification, puis cliquez sur Modifier la
notification ou Dupliquer.
266
General
Vous pouvez modifier le nom et la description d’une notification pour filtrer plus aisément les différentes
notifications.
Modèle de notification
Groupe dynamique existant : un groupe dynamique existant sera utilisé pour générer des notifications.
Sélectionnez un groupe dynamique dans la liste, puis cliquez sur OK.
Modification de la taille d'un groupe dynamique par rapport au groupe comparé : si le nombre de clients
d'un groupe dynamique change par rapport à un groupe de comparaison (statique ou dynamique), la notification
est appelée.
REMARQUE
Vous ne pouvez affecter une notification qu'à un groupe dynamique pour lequel vous disposez d'autorisations
suffisantes. Les groupes dynamiques qui ne se trouvent pas dans votre groupe résidentiel ne sont pas visibles.
Autre modèle de journal des événements
Cette option est utilisée pour les notifications qui ne sont pas associées à un groupe dynamique, mais basées sur
les événements système exclus du journal des événements. Sélectionnez un type de journal sur lequel sera
basée la notification et un opérateur logique pour les filtres.
État suivi : cette option vous avertit en cas de modifications de l’état de l’objet en fonction de vos filtres définis
par l’utilisateur.
REMARQUE
Vous pouvez modifier l'état suivi et + ajouter un filtre ou un opérateur logique pour les filtres.
267
Configuration
Envoyer une notification à chaque modification du contenu des groupes dynamiques : activez cette
option pour être averti lorsque des membres sont ajoutés, supprimés ou modifiés dans un groupe dynamique. ERA
vérifie le groupe dynamique toutes les 20 minutes.
Période de notification : définissez la durée (en minutes, heures ou jours) de la comparaison au nouvel état. Par
exemple, il y a sept jours, le nombre de clients avec des produits de sécurité obsolètes était de dix et le seuil (voir
ci-dessous) était défini à 20. Si le nombre de clients avec des produits de sécurité obsolètes atteint 30, vous êtes
averti.
Seuil : définissez un seuil qui déclenchera l'envoi d'une notification. Vous pouvez définir un nombre ou un
pourcentage de clients (membres du groupe dynamique).
Message généré : il s'agit d'un message prédéfini qui apparaît dans la notification. Il contient des paramètres
configurés sous la forme de texte.
Message : en plus du message prédéfini, vous pouvez ajouter un message personnalisé (il apparaît à la suite du
message prédéfini ci-dessus). Cette option est facultative. Elle est toutefois recommandée pour optimiser le
filtrage des notifications et la vue d'ensemble.
REMARQUE
Les options disponibles dépendent du modèle de notification sélectionné.
Paramètres avancés de la limitation
Agrégation
La condition d'agrégation n'est disponible que pour les modèles de notification suivants :
• Autre modèle de journal des événements
• Groupe dynamqie existant
Nombre de cycles à agréger : cette valeur définit le nombre de
cycles (accès au déclencheur) nécessaires pour activer le
déclencheur. Pour plus d'informations spécifiques, reportez-vous au
chapitre Limitation.
Critères temporels
Toutes les conditions configurées doivent être remplies pour déclencher la tâche.
Agréger les appels pendant la période (T2) : permet un déclenchement pendant la période spécifiée. Si cette
option est définie par exemple sur dix secondes et si dix appels ont lieu pendant cette période, seul le premier
appel déclenche l'événement.
Périodes (T1) : permet le déclenchement uniquement pendant la période définie. Vous pouvez ajouter plusieurs
périodes à la liste. Elles seront triées par ordre chronologique.
Critères statistiques
Application des critères statistiques : les conditions statistiques peuvent être combinées à l'aide de
268
l'opérateur logique ET (toutes les conditions doivent être remplies) ou OU (la première condition remplie
déclenche l'action).
Déclenché toutes les X occurrences (S1) : permet d'autoriser uniquement chaque x cycle (accès). Si vous
saisissez par exemple la valeur 10, seul chaque dixième cycle est comptabilisé.
Nombre d’occurrences pendant une période donnée (S2) : permet le déclenchement uniquement pendant la
période définie, ce qui détermine la fréquence minimale des événements pour déclencher la tâche. Vous pouvez
par exemple utiliser ce paramètre pour autoriser l'exécution de la tâche si l'événement est détecté 10 fois pendant
une heure. Le déclenchement du déclencheur entraîne une réinitialisation du compteur.
• Période : permet de définir la période pour l'option décrite ci-dessus.
Une troisième condition statistique (Critère du journal des événements) n'est disponible que pour Autre
modèle de journal des événements. Elle peut être définie dans la section Modèle de notification.
Critère du journal des événements
Ce critère est évalué par ERA en tant que troisième critère statistique (S3). L'opérateur Application des critères
statistiques (ET / OU) est appliqué afin d'évaluer les trois conditions statistiques ensemble. Il est recommandé
d'utiliser le critère du journal des événements avec la tâche Générer un rapport. Les trois champs sont
obligatoires pour que le critère fonctionne. Le tampon des symboles est réinitialisé si le déclencheur est déclenché
et si un symbole se trouve déjà dans le tampon.
Symbole : selon le type de journal qui est défini dans le menu Déclencheur, vous pouvez sélectionner un
symbole dans le journal que vous pourrez ensuite rechercher. Cliquez sur Modifier pour afficher le menu. Vous
pouvez supprimer le symbole sélectionné en cliquant sur Supprimer.
Nombre d'événements avec un symbole : saisissez un nombre entier d'événements distincts avec le symbole
sélectionné pour exécuter la tâche.
S’applique lorsque le nombre d’événements : cette option définit quel type d'événement déclenche la
condition. Les options disponibles sont les suivantes :
• Reçues dans une ligne : le nombre d'événements sélectionnés doivent se produire consécutivement. Ces
événements doivent être spécifiques.
• Reçues depuis la dernière exécution du déclencheur : la condition est déclenchée lorsque le nombre
sélectionné d'événements spécifiques est atteint (depuis la dernière exécution de la tâche).
Distribution
Objet : l’objet du message de notification. Cette option est facultative. Elle est toutefois recommandée pour
optimiser le filtrage ou lors de la création de règles pour le tri des messages.
Distribution
• Envoyer l'interruption SNMP : envoie une interception SNMP. Elle avertit le serveur à l'aide d'un message
SNMP non sollicité. Pour plus d'informations, reportez-vous à Comment configurer un service d'interruption
SNMP.
• Envoyer un message électronique : envoie un message électronique selon les paramètres de votre
messagerie.
269
• Envoyer syslog - Vous pouvez utiliser ERA pour envoyer les notifications et les messages d'événement à
votre serveur Syslog. Il est également possible d'exporter les journaux à partir du produit ESET d'un client et
de les envoyer au serveur Syslog.
Adresses électroniques : saisissez les adresses électroniques des destinataires des messages de notification, en
les séparant par une virgule (« , »).
Gravité Syslog : choisissez un niveau de gravité dans le menu déroulant. Les notifications apparaîtront alors avec
cette sévérité sur le serveur Syslog.
Cliquez sur Terminer pour créer un nouveau modèle selon le modèle que vous êtes en train de modifier. Vous
serez invité à donner un nom au nouveau modèle.
Comment configurer un service d'interruption SNMP
Pour recevoir des messages SNMP, le service d'interruption SNMP doit être configuré. Étapes de configuration selon
le système d'exploitation :
WINDOWS
Conditions préalables requises
• Le service SNMP (Simple Network Management Protocol) doit être installé sur l'ordinateur sur lequel est
installé ERA Server et sur celui sur lequel sera installé le logiciel d'interruption SNMP.
• Les deux ordinateurs (ci-dessus) doivent se trouver dans le même sous-réseau.
• Le service SNMP doit être configuré sur l'ordinateur ERA Server.
Configuration du service SNMP (ERA Server)
1. Appuyez sur la touche Windows + R pour ouvrir la boîte de dialogue Exécuter, saisissez Services.msc dans le
champ Ouvrir, puis appuyez sur Entrée. Recherchez SNMP Service.
2. Cliquez sur l'onglet Interruptions, saisissez public dans le champ Nom de la communauté, puis cliquez
sur Ajouter à la liste.
3. Cliquez sur Ajouter, saisissez le nom d'hôte, l'adresse IP ou l'adresse IPX de l'ordinateur sur lequel le
logiciel d'interception SNMP est installé dans le champ correspondant, puis cliquez sur Ajouter.
4. Cliquez sur l'onglet Sécurité. Cliquez sur Ajouter pour afficher la fenêtre Configuration du service SNMP.
Saisissez public dans le champ Nom de la communauté, puis cliquez sur Ajouter. Les droits sont définis sur
LECTURE SEULE, ce qui est acceptable.
5. Vérifiez que l'option Accepter les paquets SNMP provenant de ces hôtes est sélectionnée, puis cliquez
sur OK. Le service SNMP est configuré.
Configuration du logiciel d'interception SNMP (client)
1. Le service SNMP est installé et il n'est pas nécessaire de le configurer.
2. Installez AdRem SNMP Manager ou AdRem NetCrunch.
3. AdRem SNMP Manager : démarrez l'application, puis sélectionnez Create New SNMP Node List (Créer
une liste de nœuds SNMP). Cliquez sur Yes (Oui) pour confirmer.
4. Recherchez l'adresse réseau de votre sous-réseau (affiché dans cette fenêtre). Cliquez sur OK pour effectuer
une recherche sur le réseau.
5. Patientez jusqu'à la fin de la recherche. Les résultats de la recherche sont affichés dans la fenêtre Discovery
results (Résultats de la détection). L'adresse IP d'ERA Server doit être affichée dans cette liste.
6. Sélectionnez l'adresse IP du serveur, puis cliquez sur OK. L'adresse du serveur est affichée dans la section
Nodes (Nœuds).
7. Cliquez sur Trap Receiver Stopped (Récepteur d'interruption arrêté), puis sélectionnez Start
(Démarrer). Trap Receiver Started (Récepteur d'interruption démarré) s'affiche. Vous pouvez
désormais recevoir des messages SNMP d'ERA Server.
LINUX et appliance virtuelle ERA
1. L'appliance virtuelle ERA contient le package nécessaire. Sous d'autres systèmes Linux, installez le package
snmpd en exécutant l'une des commandes suivantes :
apt-get install snmpd snmp (distributions Debian, Ubuntu)
yum install net-snmp (distributions Red-Hat, Fedora)
270
2. Ouvrez le fichier /etc/default/snmpd, puis apportez les modifications d'attribut suivantes :
#SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -g snmp -I -smux -p /var/run/snmpd.pid'
L'ajout d'un # désactive complètement cette ligne.
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid c /etc/snmp/snmpd.conf'
Ajoutez cette ligne au fichier.
TRAPDRUN=yes
Changez l'attribut trapdrun en yes.
3. Créez une copie de sauvegarde du fichier snmpd.conf d'origine. Ce fichier sera modifié ultérieurement.
mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.original
4. Créez un fichier snmpd.conf et ajoutez les lignes suivantes :
rocommunity public
syslocation "Testing ERA6"
syscontact [email protected]
5. Ouvrez le fichier /etc/snmp/snmptrapd.conf, puis ajoutez la ligne suivante à la fin du fichier :
authCommunity log,execute,net public
6. Saisissez la commande suivante pour démarrer les services de gestionnaire SNMP et consigner les
interceptions entrantes :
/etc/init.d/snmpd restart
ou
service snmpd restart
7. Pour vérifier que l'intercepteur fonctionne et qu'il intercepte les messages, exécutez la commande
suivantes :
tail -f /var/log/syslog | grep -i TRAP
Certificats
Les certificats sont importants dans ESET Remote Administrator. Ils sont nécessaires pour que les composants ERA
puissent communiquer avec ERA Server. Pour s'assurer que tous les composants communiquent correctement,
tous les certificats homologues doivent être valides et signés par la même autorité de certification.
Vous pouvez créer une autorité de certification et des certificats homologues dans ERA Web Console. Suivez
les instructions en vue de :
• Créer une nouvelle autorité de certification
oImporter une clé publique
oExporter une clé publique
oExporter une clé publique au format BASE64
• Créer un nouveau certificat homologue
oCréer un certificat
271
oExporter un certificat
oCréer un certificat APN
oRévoquer un certificat
oUtilisation du certificat
oDéfinir un nouveau certificat ERA Server
oCertificats personnalisés et ESET Remote Administrator
oCertificat en cours d'expiration : signalement et remplacement
IMPORTANT
macOS/OS X ne prend pas en charge les certificats dont la date d'expiration correspond au 19 janvier 2038 ou à
une date ultérieure. ERA Agent s'exécutant sous macOS/OS X ne sera pas en mesure de se connecter à ERA
Server.
REMARQUE
Pour l'ensemble des certificats et des autorités de certification créés pendant l'installation des composants ERA, la
valeur Valide du est définie sur 2 jours avant la création du certificat.
Pour l'ensemble des certificats et des autorités de certification créés dans ERA Web Console, la valeur Valide du
est définie sur 1 jour avant la création du certificat. C'est pour couvrir tous les écarts de temps possibles entre les
systèmes affectés.
Par exemple, une autorité de certification et un certificat créés le 12 janvier 2017 pendant l'installation auront une
valeur Valide du prédéfinie sur le 10 jan 2017, à 00:00:00, tandis qu'une autorité de certification et un certificat
créés le 12 janvier 2017 dans ERA Web Console auront une valeur Valide du prédéfinie sur le 11 jan 2017, à
00:00:00 .
Certificats homologues
Si une autorité de certification se trouve sur votre système, vous devez créer un certificat homologue pour les
différents composants ESET Remote Administrator. Chaque composant (ERA Agent, ERA Proxy et ERA Server)
nécessite un certificat spécifique.
Nouveau...
Cette option permet de créer un nouveau certificat. Ces certificats sont utilisés par ERA Agent, ERA Proxy et ERA
Server.
Certificat APN/DEP
Cette option permet de créer un certificat APN/DEP. Ce certificat est utilisé par MDM. Cette action nécessite une
licence valide.
Utilisation du certificat
Vous pouvez également vérifier quels clients utilisent ce certificat ERA.
Modifier...
Sélectionnez cette option pour modifier un certificat existant de la liste. Les options sont identiques à celles qui
s'appliquent lors de la création d'un certificat.
Exporter...
Cette option permet d’exporter un certificat sous la forme d’un fichier. Ce fichier est nécessaire si vous installez
ERA Agent localement sur un ordinateur ou lors de l’installation de MDM.
Exporter en Base64...
272
Cette option permet d’exporter un certificat sous la forme d’un fichier .txt.
Révoquer...
Si vous ne souhaitez plus utiliser de certificat, sélectionnez Révoquer. Cette option rend le certificat non valide.
Les certificats non valides ne sont pas acceptés par ESET Remote Administrator.
IMPORTANT
la révocation est irréversible ; vous ne pourrez plus utiliser un certificat qui a été révoqué. Vérifiez qu'il ne reste
pas d'Agents ERA utilisant ce certificat avant de le révoquer. Vous éviterez ainsi la perte de la connexion aux
ordinateurs client ou aux serveurs (ERA Server, ERA Proxy, Connecteur de périphérique mobile, Hôte de l'agent
virtuel).
Accéder au groupe
Il est possible de déplacer un certificat ou une autorité vers un autre groupe. Cet élément devient alors disponible
pour les utilisateurs qui disposent de suffisamment de droits pour ce groupe. Pour trouver facilement le groupe
résidentiel d'un certificat, sélectionnez ce dernier, puis cliquez sur
Accéder au groupe dans le menu déroulant.
Le groupe résidentiel du certificat apparaît dans la première ligne du menu contextuel (/Tous/San Diego, par
exemple. Reportez-vous à notre exemple de scénario pour en savoir plus sur le partage de certificats).
IMPORTANT
Vous ne pouvez afficher que les certificats qui figurent dans votre groupe résidentiel (à condition que vous
disposiez de l'autorisation Lire pour les certificats). Les certificats qui sont créés lors de l'installation d'ERA se
trouvent dans le groupe Tous. Seuls les administrateurs y ont accès.
Afficher les certificats révoqués : vous montre tous les certificats révoqués.
Certificat d’agent pour l’installation assistée du serveur : ce certificat est généré pendant l'installation du
serveur si vous avez sélectionné l'option Générer les certificats.
Filtre Accéder au groupe
Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les
objets visualisés selon le groupe qui les contient.
Créer un nouveau certificat
Dans le cadre du processus d'installation, ESET Remote Administrator requiert la création d'un certificat
homologue pour les Agents. Ces certificats servent à authentifier les produits distribués sous votre licence.
REMARQUE
Il existe une exception, le certificat d’agent pour l’installation assistée du serveur ne peut pas être créé
manuellement. Ce certificat est généré pendant l'installation du serveur, pour autant que l'option Générer les
certificats soit sélectionnée.
Pour créer un certificat dans ERA Web Console, accédez à Admin > Certificats, puis cliquez sur Actions > ERA
Web Console.
General
Description : saisissez une description du certificat.
Produit : sélectionnez dans le menu déroulant le type de certificat que vous souhaitez créer.
273
Hôte : conservez la valeur par défaut (astérisque) dans le champ Hôte afin de permettre la distribution de
ce certificat sans l’associer à un nom DNS ou une adresse IP spécifique.
Phrase secrète : il est recommandé de laisser ce champ vide, mais vous pouvez définir une phrase secrète pour
le certificat qui sera nécessaire lors d’une tentative d’activation par les clients.
Attributs (objet)
Ces champs ne sont pas obligatoires, mais vous pouvez les utiliser afin d’y faire figurer des informations détaillées
sur le certificat.
Nom commun : cette valeur doit contenir la chaîne « Agent », « Proxy » ou « Serveur » selon le produit
sélectionné.
Si vous le souhaitez, vous pouvez saisir des informations descriptives sur le certificat.
Saisissez des valeurs dans les champs Valide du et Valide jusqu'au pour garantir la validité du certificat.
REMARQUE
Pour l'ensemble des certificats et des autorités de certification créés pendant l'installation des composants ERA, la
valeur Valide du est définie sur 2 jours avant la création du certificat.
Pour l'ensemble des certificats et des autorités de certification créés dans ERA Web Console, la valeur Valide du
est définie sur 1 jour avant la création du certificat. C'est pour couvrir tous les écarts de temps possibles entre les
systèmes affectés.
Par exemple, une autorité de certification et un certificat créés le 12 janvier 2017 pendant l'installation auront une
valeur Valide du prédéfinie sur le 10 jan 2017, à 00:00:00, tandis qu'une autorité de certification et un certificat
créés le 12 janvier 2017 dans ERA Web Console auront une valeur Valide du prédéfinie sur le 11 jan 2017, à
00:00:00 .
Signer
Effectuez un choix parmi deux méthodes de signature :
• Autorité de certification : si vous souhaitez signer à l'aide de l'autorité de certification ERA (autorité de
certification créée pendant l'installation d'ERA).
oSélectionnez l'autorité de certification ERA dans la liste des autorités de certification.
oCréez une autorité de certification.
• Fichier pfx personnalisé : pour utiliser un fichier .pfx personnalisé, cliquez sur Parcourir, accédez au
fichier .pfx personnalisé et cliquez sur OK. Cliquez sur Charger pour charger ce certificat sur le serveur.
REMARQUE
Si vous souhaitez signer un nouveau certificat à l'aide de l'autorité de certification ERA (créée pendant
l'installation d'ERA) dans l'appliance virtuelle ERA, il est nécessaire de renseigner le champ Phrase secrète de
l'autorité de certification. Il s'agit du mot de passe que vous avez spécifié pendant la configuration de
l'appliance virtuelle ERA
Résumé
Passez en revue les informations de certificat saisies, puis cliquez sur Terminer. Le certificat est créé. Il est
désormais disponible dans la liste Certificats en vue de son utilisation lors de l'installation de l'Agent. Le certificat
sera créé dans votre groupe résidentiel.
REMARQUE
Au lieu de créer un certificat, vous pouvez importer une clé publique, exporter une clé publique ou exporter un
certificat homologue.
274
Exporter un certificat homologue
Exporter un Certificats homologues
1. Dans la liste, sélectionnez le certificat homologue que vous souhaitez utiliser, puis cochez la case en
regard de celui-ci.
2. Dans le menu contextuel, sélectionnez Exporter. Le certificat (y compris la clé privée) est exporté sous
forme de fichier .pfx. Saisissez un nom pour votre clé publique, puis cliquez sur Enregistrer.
Exporter en Base64 à partir des certificats homologues :
Les certificats pour les composants ERA sont disponibles dans la console Web. Pour copier le contenu d’un
certificat au format Base64, cliquez sur Admin > Certificats homologues, sélectionnez un certificat puis
sélectionnez Exporter en Base64. Vous pouvez également télécharger le certificat codé au format Base64 en
tant que fichier. Répétez cette étape pour les certificats des autres composants ainsi que pour votre autorité de
certification.
REMARQUE
si vous utilisez des certificats qui ne sont pas au format Base64, il faudra les convertir en Base64 (ou les
exporter selon la procédure ci-dessus). C’est le seul format accepté par les composants ERA pour se connecter au
serveur ERA. Pour plus d'informations sur la conversion des certificats, reportez-vous à la page de manuel Linux
(en anglais) et à la page de manuel OS X (en anglais). Par exemple :
'cat ca.der | base64 > ca.base64.txt'
'cat agent.pfx | base64 > agent.base64.txt'
Certificat APN/DEP
Un certificat APN (Apple Push Notification) / DEP (Device Enrollment Program, Programme d'inscription des
appareils) est utilisé par ERA MDM pour l'inscription d'appareils iOS. Vous devez d'abord créer un certificat Push
fourni par Apple et le faire signer par Apple pour pouvoir inscrire des appareils iOS dans ERA. Vous devez
également vous assurer que la licence d'ERA est valide.
Cliquez sur l'onglet Admin > Certificats > Certificats homologues, sur Nouveau , puis sélectionnez
Certificat APN/DEP.
REMARQUE
Pour obtenir un certificat APN, vous avez besoin d'un identifiant Apple. Cet identifiant est requis par Apple pour
signer le certificat.
Pour obtenir un jeton d'inscription DEP, vous avez besoin d'un compte Apple DEP.
Créer une demande
Spécifiez les attributs du certificat (code de pays, nom d'organisation, etc.), puis cliquez sur Envoyer la
demande.
275
Télécharger
Téléchargez votre demande de signature de certificat (CSR) et une clé privée.
Certificat
1. Ouvrez le portail de certificats push Apple et connectez-vous à l'aide de votre identifiant Apple.
2. Cliquez sur Créer un certificat.
3. Remplissez la note (facultatif). Cliquez sur Sélectionner le fichier, puis chargez le fichier CSR que vous avez
téléchargé à l'étape précédente en cliquant sur Charger.
4. Un écran de confirmation s'affiche au bout de quelques instants pour vous informer que le certificat APNS
du serveur ESET Mobile Device Management a été créé.
5. Poursuivez en cliquant sur le bouton Télécharger et en enregistrant le fichier .pem sur votre ordinateur.
6. Fermez le portail Apple Push Certificate et procédez au chargement dans ERA.
276
IMPORTANT
Un certificat APNS est requis pour les politiques Connecteur de périphérique mobile DEP et autre que DEP.
Si vous créez un certificat d'inscription DEP, continuez ici.
Charger
Une fois toutes les étapes ci-dessus terminées, vous pouvez créer une politique pour MDC pour activer APNS pour
l'inscription iOS. Vous pouvez ensuite inscrire n'importe quel appareil iOS en accédant à la page
https://<mdmcore>:<enrollmentport>/unique_enrollment_token à partir du navigateur de l'appareil.
Afficher les certificats révoqués
Cette liste contient tous les certificats qui ont été créés et rendus non valides par ERA Server. Les certificats
révoqués sont automatiquement supprimés de l'écran principal Certificat homologue. Cliquez sur Afficher les
certificats révoqués pour afficher les certificats qui ont été révoqués dans la fenêtre principale.
Pour révoquer un certificat, procédez comme suit :
1. Accédez à Admin > Certificats > Certificats homologues, sélectionnez un certificat, puis cliquez sur
Révoquer...
277
2. Indiquez le motif de la révocation, puis cliquez sur Révoquer.
3. Cliquez sur OK. Le certificat disparaît alors de la liste des certificats homologues. Pour afficher les certificats
précédemment révoqués, cliquez sur le bouton Afficher les certificats révoqués.
Définir un nouveau certificat ERA Server
Le certificat ERA Server est créé pendant l'installation, puis il est distribué aux ERA Agents et aux autres
composants pour permettre les communications avec ERA Server. Si nécessaire, vous pouvez configurer ERA
Server afin d'utiliser un autre certificat homologue. Vous pouvez utiliser le certificat ERA Server (automatiquement
généré pendant l'installation) ou un certificat personnalisé. Le certificat ERA Server est requis pour
l'authentification et une connexion TSL sécurisée. Le certificat du serveur sert à s'assurer que les ERA Agents et
ERA Proxys ne se connectent pas à un serveur illégitime. Cliquez sur Outils > Paramètres du serveur pour
modifier les paramètres du certificat.
1. Cliquez sur Admin > Paramètres du serveur, développez la section Connexion, puis sélectionnez
Modifier le certificat.
278
2. Effectuez un choix parmi les deux types de certificat homologue :
• Certificat Remote Administrator : cliquez sur Ouvrir le certificat, puis sélectionnez le certificat à utiliser.
• Certificat personnalisé : accédez au certificat personnalisé. Si vous effectuez une migration, sélectionnez le
certificat exporté depuis votre ancien serveur ERA Server.
3. Sélectionnez Certificat personnalisé, le fichier .pfx de certificat ERA Server que vous avez exporté à
partir de l'ancien serveur, puis cliquez sur OK.
4. Redémarrez le service ERA Server (consultez notre article de la base de connaissances).
Certificats personnalisés avec ERA
Si vous avez votre propre PKI (infrastructure de clé publique) dans votre environnement et souhaitez qu'ESET
279
Remote Administrator utilise vos certificats personnalisés pour la communication entre ses composants, les étapes
suivantes vous guident tout au long du processus de configuration. l'exemple ci-dessous a été réalisé sur Windows
Server 2012 R2. Si vous utilisez une autre version de Windows Server, certains écrans peuvent être légèrement
différents, mais l'objectif de la procédure reste le même.
REMARQUE
Une méthode plus simple pour créer un certificat personnalisé consiste à utiliser l'outil keytool qui est compris
dans Java. Pour plus d'informations, consultez cet article de la base de connaissances.
Rôles de serveur requis :
• Active Directory Certificate Services (AD CS).
• Services de domaine Active Directory.
1. Ouvrez la console de gestion et ajoutez les snap-ins de certificat :
• Connectez-vous au serveur en tant que membre du groupe administrateur local.
• Exécutez mmc.exe pour ouvrir la console de gestion.
• Cliquez sur Fichier dans le menu supérieur et sélectionnez Ajouter/Supprimer un snap-in (ou appuyez sur
CTRL+M).
• Sélectionnez Certificats dans le volet de gauche et cliquez sur le bouton Ajouter.
• Sélectionnez Compte d'ordinateur et cliquez sur Suivant.
• Vérifiez que l'option Ordinateur local est sélectionnée (par défaut) et cliquez sur Terminer.
• Cliquez sur OK.
2. Créez une demande de certificat personnalisé :
• Double-cliquez sur Certificats (Ordinateur local) pour l'ouvrir.
• Double-cliquez sur Personnel pour l'ouvrir. Cliquez avec le bouton droit sur Certificats et sélectionnez
280
Toutes les tâches > Opérations avancées et choisissez Créer une demande personnalisée.
• La fenêtre de l'assistant d'inscription du certificat s'ouvre, cliquez sur Suivant.
• Sélectionnez l'option Continuer sans politique d’inscription et cliquez sur Suivant pour continuer.
281
• Choisissez Clé existante (Aucun modèle) dans la liste déroulante et vérifiez que le format de demande
PKCS #10 est sélectionné. Cliquez sur Suivant.
• Développez la section Détails en cliquant sur la flèche pointant vers le bas, puis cliquez sur le bouton
Propriétés.
282
• Dans l'onglet Général, saisissez le Nom convivial du certificat ; vous pouvez également saisir une
description (facultatif).
• Dans l'onglet Objet, effectuez les opérations suivantes :
Dans la section Nom de l’objet, choisissez Nom commun dans la liste déroulante sous Type et saisissez era
server dans le champ Valeur, puis cliquez sur le bouton Ajouter. CN=era server apparaît dans la zone
d'information de droite. Si vous créez une demande de certificat pour ERA Agent ou ERA Proxy, saisissez era
agent ou era proxy dans le champ de valeur du nom commun.
REMARQUE
le nom commun doit contenir l'une de ces chaînes : "serveur », « agent » ou « proxy », selon la demande de
certificat que vous souhaitez créer.
283
Dans la section Autre nom, choisissez DNS dans la liste déroulante sous Type et saisissez * (astérisque) dans le
champ Valeur, puis cliquez sur le bouton Ajouter.
• Dans l'onglet Extensions, développez la section Utilisation de clé en cliquant sur la flèche pointant vers le
bas. Ajoutez les informations suivantes des Options disponibles : Signature numérique, Accord de clé,
Chiffrement de clé. Désélectionnez la case Rendre ces utilisations de clé critiques.
284
• Dans l'onglet Clé privée, effectuez les opérations suivantes :
Développez la section Fournisseur de service cryptographique en cliquant sur la flèche pointant vers le bas.
La liste de tous les fournisseurs de services cryptographiques s'affiche. Vérifiez que seule l'option Fournisseur de
service cryptographique Microsoft RSA SChannel (cryptage) est sélectionnée.
REMARQUE
désélectionnez tous les fournisseurs de services cryptographiques (à l'exception de Fournisseur de service
cryptographique Microsoft RSA SChannel (cryptage) qui doit être sélectionnée).
285
Développez la section Options de clé. Dans le menu Taille de clé, sélectionnez une valeur d'au moins 2048.
Sélectionnez Rendre la clé privée exportable.
Développez la section Type de clé, sélectionnez l'option Échanger. Cliquez sur Appliquer et vérifiez les
paramètres.
Cliquez sur le bouton OK. Les informations de certificat s'affichent ; cliquez sur le bouton Suivant pour continuer.
Cliquez sur le bouton Parcourir pour sélectionner l'emplacement dans lequel la demande de signature de
certificat sera enregistrée. Saisissez le nom du fichier et vérifiez que l'option Base 64 est sélectionnée.
286
Cliquez sur le bouton Terminer ; la demande de signature de certificat est maintenant générée.
3. Importez la demande de certificat personnalisé et émettez un certificat personnalisé à partir des
demandes en attente.
• Ouvrez le gestionnaire de serveurs, cliquez sur Outils > Autorité de certification.
• Dans l'arborescence Autorité de certification (locale), sélectionnez votre serveur (généralement
FQDN) > Propriétés > onglet Module de politique, cliquez sur le bouton Propriétés... Veillez à ce que
l'option Définir le statut de demande de certificat soit définie sur En attente. L’administrateur doit
explicitement émettre l'option de certificat sélectionnée. Si ce n'est pas le cas, utilisez le bouton radio pour
sélectionner cette option. Sinon, le processus ne fonctionnera pas correctement. Si vous avez modifié ce
paramètre, redémarrez les services de certificat Active Directory.
287
• Dans l'arborescence Autorité de certification (locale), sélectionnez votre serveur (généralement
FQDN) > Toutes les tâches > Envoyer une nouvelle demande et accédez au fichier CSR généré à
l'étape 2.
• Le certificat est ajouté aux demandes en attente. Sélectionnez le fichier CSR dans le panneau de navigation
de droite. Dans le menu Action, sélectionnez Toutes les tâches > Émettre.
288
4. Exportez le certificat personnalisé émis dans le fichier .tmp.
• Cliquez sur Certificats émis dans le volet de gauche. Cliquez avec le bouton droit sur le certificat à exporter,
puis cliquez sur Toutes les tâches > Exporter les données binaires...
• Dans la boîte de dialogue Exporter les données binaires, choisissez Certificat binaire dans la liste déroulante,
puis, dans les options d'exportation, cliquez sur Enregistrer les données binaires dans un fichier et cliquez
sur OK.
• Dans la boîte de dialogue Enregistrer les données binaires, Indiquez l'emplacement d'enregistrement du
certificat, puis cliquez sur Enregistrer.
5. Importez le fichier .tmp créé.
• Accédez à Certificat (ordinateur local) > cliquez avec le bouton droit sur Personnel, sélectionnez Toutes
les tâches > Importer...
• Cliquez sur Suivant.
• Localisez le fichier binaire .tmp enregistré précédemment en utilisant l'option Parcourir, puis cliquez sur
Ouvrir. Sélectionnez Placer tous les certificats dans le magasin suivant > Personnel. Cliquez sur Suivant.
• Le certificat est importé lorsque vous cliquez sur Terminer.
6. Exportez le certificat, y compris la clé privée, dans le fichier .pfx.
• Dans la zone Certificats (ordinateur local), développez l'option Personnel et cliquez sur Certificats ;
sélectionnez le certificat créé que vous souhaitez exporter, dans le menu Action, pointez vers Toutes les
tâches > Exporter...
• Dans l'assistant d'exportation du certificat, cliquez sur Oui, exporter la clé privée. (Cette option
n'apparaît que si la clé privée est marquée comme étant exportable et si vous avez accès à la clé privée.)
• Dans Format du fichier exporté, sélectionner l'option Inclure tous les certificats dans le chemin de
certification, cochez la case Inclure tous les certificats dans le chemin de certification si possible et
cliquez sur Suivant.
289
• Mot de passe, saisissez un mot de passe pour chiffrer la clé privée que vous exportez. Dans Confirmer le mot
de passe, saisissez de nouveau le même mot de passe, puis cliquez sur Suivant.
290
• Nom de fichier, saisissez un nom de fichier et le chemin du fichier .pfx dans lequel seront stockés le
certificat et la clé privée exportés. Cliquez sur Suivant, puis sur Terminer.
7. Une fois le certificat .pfx personnalisé créé, vous pouvez configurer les composants ERA qui l'utilisent.
REMARQUE
l'exemple ci-dessus indiquent comment créer le certificat ERA Server. Répétez les mêmes étapes pour les
certificats ERA Agent et ERA Proxy. Le certificat ERA Proxy peut être utilisé par ERA MDM.
Configurez ERA Server pour commencer à utiliser le certificat .pfx personnalisé.
Pour qu'ERA Agent ou ERA Proxy/ERA MDM utilise le certificat .pfx personnalisé, réparez le composant approprié.
Accédez au menu Démarrer > Programmes et fonctionnalités, cliquez avec le bouton droit sur ESET Remote
Administrator Agent et sélectionnez Modifier. Cliquez sur le bouton OK et exécutez Réparer. Cliquez sur
Suivant en conservant l'hôte serveur et le port serveur. Cliquez sur le bouton Parcourir à côté de Certificat
homologue et localisez le fichier de certificat .pfx personnalisé. Saisissez le mot de passe du certificat que vous
avez indiqué à l'étape 6. Cliquez sur Suivant et terminez la réparation. ERA Agent utilise désormais le certificat
.pfx personnalisé.
291
Certificat en cours d'expiration : signalement et remplacement
ERA peut vous avertir lorsqu'un certificat ou une autorité de certification arrive à expiration. L'onglet Notifications
contient des notifications prédéfinies pour le certificat ERA et l'autorité de certification ERA. Pour activer cette
fonctionnalité, cliquez sur Modifier la notification et spécifiez des informations détaillées dans la section
Distribution, comme l'adresse électronique ou l'interception SNMP. Chaque utilisateur ne peut afficher que les
notifications pour les certificats qui figurent dans son groupe résidentiel (à condition qu'il dispose de l'autorisation
Lire pour Certificats).
REMARQUE
Vérifiez que vous avez au préalable configuré les paramètres de connexion SMTP dans Serveur. Une fois ces
paramètres configurés, vous pouvez modifier une notification pour ajouter une adresse électronique de
distribution.
Si le certificat d'un ordinateur arrive à expiration, les informations d'état changent automatiquement. L'état est
signalé dans les onglets Tableau de bord, Liste des ordinateurs, Aperçu de l'état et Certificat :
292
Pour remplacer une autorité de certification ou un certificat en cours d'expiration, suivez les étapes suivantes :
1. Créez une autorité de certification, avec une nouvelle période de validité (si l'ancienne va bientôt arriver à
expiration), qui soit idéalement valide immédiatement.
2. Créez des certificats homologues pour ERA Server et d'autres composants (Agent/Proxy/MDM) pendant la
période de validité de la nouvelle autorité de certification.
3. Créez des politiques pour définir les nouveaux certificats homologues. Appliquez les politiques aux
composants ERA, ERA Proxy, MDM et ERA Agent sur tous les ordinateurs clients du réseau.
4. Patientez jusqu'à ce que les nouveaux certificats homologues et la nouvelle autorité de certification soient
appliqués et que les clients soient répliqués.
REMARQUE
Dans l'idéal, patientez 24 heures ou vérifiez si tous les composants ERA (Agents/Proxy) ont été répliqués au moins
deux fois.
5. Remplacez le certificat du serveur dans les paramètres d'ERA Server pour que les clients puissent
s'authentifier à l'aide des nouveaux certificats homologues.
6. Une fois que vous avez terminé toutes les étapes décrites ci-dessus, que chaque client se connecte à ERA et
que tout fonctionne comme prévu, révoquez les anciens certificats homologues et supprimez l'ancienne
autorité de certification.
Autorités de certification
Les autorités de certification sont répertoriées dans la section Autorités de certification dans laquelle vous
pouvez les gérer. Si vous possédez plusieurs autorités de certification, vous pouvez appliquer un filtre pour les
trier.
REMARQUE
Les autorités de certification et les certificats sont accessibles à l'aide des mêmes autorisations que celles de la
fonction Certificats. Les certificats et les autorités créés pendant l'installation, ainsi que ceux créés par la suite
par l'administrateur, figurent dans le groupe statique Tous. Pour plus d'informations sur les droits d'accès,
reportez-vous à la liste des autorisations.
293
Actions >
Nouveau : permet de créer une autorité de certification.
Actions >
Supprimer : permet de supprimer l'autorité de certification sélectionnée.
Actions >
Importer la clé publique
Actions >
Exporter la clé publique
Actions >
Accéder au groupe : une autorité de certification peut être déplacée vers un autre groupe pour
devenir accessible par les utilisateurs qui disposent de droits suffisants pour ce groupe.
Filtre Accéder au groupe
Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les
objets visualisés selon le groupe qui les contient.
EXEMPLE : comment répartir l'accès aux certificats et aux autorités
Si l'administrateur ne veut pas autoriser John à accéder aux autorités de certification ERA et s'il souhaite qu'il
puisse utiliser des certificats, il doit procéder comme suit :
1. Il doit créer un nouveaugroupe statique appelé Certificats.
2. Il doit créer un jeu d'autorisations.
a.Il doit appeler ce jeu d'autorisations Autorisations pour les certificats.
b.Il doit ajouter un groupe appelé Certificats à la section Groupes statiques.
c.Dans la section Fonctionnalités, il doit sélectionner l'autorisation Écrire pour Certificats.
d.Dans la section Utilisateurs, il doit cliquer sur Utilisateurs natifs et sélectionner John.
e.Il doit cliquer sur Terminer pour enregistrer le jeu d'autorisations.
3. Il doit déplacer les certificats du groupe Tous vers le nouveau groupe Certificats :
a.Il doit accéder à Admin > Certificats > Certificats homologues.
b.Il doit cocher les cases situées en regard des certificats à déplacer.
c.Il doit cliquer sur Actions > Accéder au groupe, sélectionner le groupe Certificats et cliquer sur OK.
John est à présent en mesure de modifier et utiliser les certificats déplacés. Les autorités de certification ne sont
toutefois pas accessibles par cet utilisateur. John ne pourra pas non plus utiliser les autorités existantes (du
groupe Tous) pour signer les certificats.
Créer une nouvelle autorité de certification
Pour créer une autorité, accédez à Admin > Certificats > Autorité de certification, puis cliquez sur Action >
Nouveau dans la partie inférieure de la page.
Autorité de certification
Saisissez une description de l'autorité de certification et sélectionnez une phrase secrète. Cette phrase
secrète doit contenir au moins 12 caractères.
Attributs (objet)
1. Saisissez un nom commun (nom) pour l'autorité de certification. Sélectionnez un nom unique afin de faire la
distinction entre plusieurs autorités de certification. Vous pouvez éventuellement saisir des informations
descriptives sur l'autorité de certification.
2. Saisissez des valeurs dans les champs Valide du et Valide jusqu'au pour garantir la validité du certificat.
294
REMARQUE
Pour l'ensemble des certificats et des autorités de certification créés pendant l'installation des composants ERA, la
valeur Valide du est définie sur 2 jours avant la création du certificat.
Pour l'ensemble des certificats et des autorités de certification créés dans ERA Web Console, la valeur Valide du
est définie sur 1 jour avant la création du certificat. C'est pour couvrir tous les écarts de temps possibles entre les
systèmes affectés.
Par exemple, une autorité de certification et un certificat créés le 12 janvier 2017 pendant l'installation auront une
valeur Valide du prédéfinie sur le 10 jan 2017, à 00:00:00, tandis qu'une autorité de certification et un certificat
créés le 12 janvier 2017 dans ERA Web Console auront une valeur Valide du prédéfinie sur le 11 jan 2017, à
00:00:00 .
3. Cliquez sur Enregistrer pour enregistrer la nouvelle autorité de certification. Elle est désormais répertoriée
dans la liste des autorités de certification située sous Admin > Certificats > Autorité de certification, et
prête à être utilisée. L'autorité de certification est créée dans le groupe résidentiel de l'utilisateur qui l'a créée.
Pour gérer l’autorité de certification, cochez la case en regard de celle-ci dans la liste et utilisez le menu
contextuel (cliquez avec le bouton gauche sur l’autorité de certification) ou le bouton Action situé dans la partie
inférieure de la page. Les options disponibles sont les suivantes : Importer une clé publique et Exporter une clé
publique ou Modifier l'autorité de certification.
Exporter une clé publique
Exporter une clé publique à partir d’une autorité de certification :
1. Dans la liste, sélectionnez l’autorité de certification que vous souhaitez utiliser, puis cochez la case en regard
de celle-ci.
2. Sélectionnez Actions >
Exporter la clé publique. La clé publique est exportée sous forme de fichier
.der. Saisissez un nom pour la clé publique, puis cliquez sur Enregistrer.
REMARQUE
si vous supprimez l’autorité de certification ERA par défaut et en créez une autre, celle-ci ne fonctionnera pas.
Vous devez également changer le certificat du serveur dans Paramètres du serveur, puis redémarrez le service
ERA Server.
Exporter une clé publique en Base64 à partir d’une autorité de certification :
295
1. Dans la liste, sélectionnez l’autorité de certification que vous souhaitez utiliser, puis cochez la case en regard
de celle-ci.
2. Sélectionnez Actions >
Exporter la clé publique en Base64. Vous pouvez également télécharger le
certificat codé au format Base64 en tant que fichier. Répétez cette étape pour les certificats des autres
composants ainsi que pour votre autorité de certification.
REMARQUE
• Si vous utilisez des certificats qui ne sont pas au format Base64, vous devrez les convertir en Base64 (ou les
exporter selon la procédure ci-dessus). C’est le seul format accepté par les composants ERA pour se connecter au
serveur ERA. Pour plus d’informations sur la conversion des certificats, voir http://linux.die.net/man/1/base64 et
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/base64.1.html. Par
exemple :
'cat ca.der | base64 > ca.base64.txt'
'cat agent.pfx | base64 > agent.base64.txt'• Pour exporter un certificat, un utilisateur doit disposer
du droit Utiliser sur les certificats. Pour plus d'informations, reportez-vous à la liste complète des droits d'accès.
Importer une clé publique
Pour importer une autorité de certification tierce, cliquez sur
Admin > Certificats > Autorités de certification.
1. Cliquez sur le bouton Actions, puis sélectionnez
Importer la clé publique.
2. Sélectionnez le fichier à charger : cliquez sur Parcourir pour accéder au fichier que vous souhaitez
importer.
3. Entrez une description du certificat, puis cliquez sur Importer. L'autorité de certification est importée.
Droits d’accès
Les droits d’accès vous permettent de gérer les utilisateurs d'ERA Web Console et leurs autorisations. On distingue
deux types :
1. Utilisateurs natifs : comptes d'utilisateurs créés et gérés depuis ERA Web Console.
2. Groupes de sécurité du domaine mappé : comptes d'utilisateurs gérés et authentifiés par Active Directory.
Vous pouvez également configurer l’authentification à 2 facteurs pour les utilisateurs natifs et les groupes de
sécurité du domaine mappé. Cela renforcera la sécurité lors de la connexion et de l’accès à la console Web ERA.
L’accès aux éléments des deux catégories doit être octroyé (à l’aide des jeux d’autorisations) à chaque utilisateur
d'ERA Web Console.
296
IMPORTANT
L'utilisateur natif Administrateur dont le groupe résidentiel est Tous a un accès total. Il n’est pas conseillé
d’utiliser ce compte de façon régulière. Nous vous recommandons vivement de créer un autre compte 'admin' ou
d’utiliser les administrateurs des groupes de sécurité du domaine mappé en leur attribuant le jeu d’autorisations
de l’administrateur. Vous disposerez ainsi d’une solution de secours en cas de problème avec le compte de
l’administrateur. Vous pouvez également créer d’autres comptes avec des droits d’accès restreints selon les
compétences souhaitées. Utilisez uniquement le compte Administrateur par défaut comme option de secours.
Les utilisateurs sont gérés dans la zone utilisateurs de la section Admin. Les jeux d’autorisations définissent les
niveaux d’accès des différents utilisateurs à différents éléments. Pour plus d'informations, consultez la liste de tous
les droits d'accès et de leurs fonctions.
Exemples liés à la liste des droits d'accès
Le Guide d'administration contient divers exemples liés aux droits d'accès. En voici la liste :
Comment dupliquer des politiques
Différence entre les droits Utiliser et Écrire
Comment créer une solution pour les administrateurs de filiale
Comment partager des objets via la duplication
Comment répartir l'accès aux certificats et aux autorités
Comment autoriser un utilisateur à créer des programmes d'installation
Comment supprimer les notifications
Comment créer des politiques
Autoriser les utilisateurs à afficher toutes les politiques
Partager des licences entre les administrateurs de filiale
Utilisateurs
La gestion des utilisateurs s'effectue dans la section Admin d'ERA Web Console.
Nouveau modèle de sécurité ESET Remote Administrator 6.5
ESET Remote Administrator 6.5 contient un modèle de sécurité amélioré pour les utilisateurs et les jeux
d'autorisations. Voici les principes fondamentaux de ce modèle :
• Chaque utilisateur dispose d'un groupe résidentiel.
• Chaque objet (périphérique, tâche, modèle, etc.) créé par un utilisateur est automatiquement stocké dans le
groupe résidentiel de celui-ci.
• Les jeux d'autorisations sont uniquement appliqués aux objets de groupes définis. Ces groupes statiques
sont définis dans la section
d'autorisations.
Groupes statiques lors de la création ou de la modification d'un jeu
• Un utilisateur peut se voir attribuer plusieurs jeux d'autorisations. Il s'agit de la méthode préférée pour répartir
l'accès aux objets.
• Un utilisateur qui dispose d'un groupe résidentiel Tous et d'un jeu d'autorisations complet sur ce groupe est
un administrateur.
• Les objets figurent dans des groupes statiques et leur accès est toujours lié aux groupes et non aux
utilisateurs (les utilisateurs sont ainsi interchangeables, lorsqu'un utilisateur est en congé, par exemple). Les
tâches serveur et les notifications constituent des exceptions, car elles utilisent le concept d'utilisateur
« exécutant ».
297
Filtre Accéder au groupe
Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les
objets visualisés selon le groupe qui les contient.
EXEMPLE : solution pour les administrateurs de filiale
Si une entreprise possède deux bureaux et des administrateurs locaux par bureau, ceux-ci doivent se voir
attribuer des jeux d'autorisations supplémentaires pour différents groupes.
L'entreprise compte deux administrateurs : John à San Diego et Larry à Sydney. Les deux administrateurs doivent
administrer uniquement les ordinateurs de leur bureau et utiliser les fonctionnalités Tableau de bord,
Politiques, Rapports et Modèles de groupe dynamique sur les ordinateurs. L'administrateur principal doit
procéder comme suit :
1. Il doit créer des groupes statiques : Bureau de San Diego et Bureau de Sydney.
2. Il doit créer des jeux d'autorisations :
a.Jeu d'autorisations appelé Jeu d'autorisations Sydney, avec le groupe statique Bureau de Sydney, et des
autorisations d'accès complet (à l'exclusion des paramètres du serveur).
b.Jeu d'autorisations appelé Jeu d'autorisations San Diego, avec le groupe statique Bureau de San Diego, et des
autorisations d'accès complet (à l'exclusion des paramètres du serveur).
c.Jeu d'autorisations appelé Groupe Tous/Tableau de bord, avec le groupe statique Tous, et les autorisations
suivantes :
• Lire pour Tâches client
• Utiliser pour Modèles de groupe dynamique
• Utiliser pour Rapports et tableau de bord
• Utiliser pour Politiques
• Utiliser pour Envoyer l'email
• Utiliser pour Envoyer l'interruption SNMP
• Utiliser pour Exporter le rapport dans un fichier
• Utiliser pour Licences
• Écrire pour Notifications
3. Il doit créer l'utilisateur John et attribuer au groupe résidentiel Bureau de San Diego les jeux d'autorisations Jeu
d'autorisations San Diego et Groupe Tous/Tableau de bord.
4. Il doit créer l'utilisateur Larry et attribuer au groupe résidentiel Bureau de Sydney les jeux d'autorisations Jeu
d'autorisations Sydney et Groupe Tous/Tableau de bord.
Si les autorisations sont définies de cette manière, John et Larry peuvent utiliser les mêmes tâches et politiques,
rapports et tableau de bord. Ils peuvent également utiliser des modèles de groupe dynamique sans restrictions. Ils
ne peuvent toutefois utiliser que les modèles des ordinateurs contenus dans leur groupe résidentiel.
Groupes de sécurité de domaine
Pour faciliter l'utilisation d'Active Directory, les utilisateurs des groupes de sécurité du domaine peuvent être
autorisés à se connecter à ERA. Des utilisateurs de ce type peuvent coexister avec les utilisateurs natifs ERA.
Les jeux d'autorisations doivent être toutefois définis pour le groupe de sécurité Active Directory (au lieu de
chaque utilisateur, comme dans le cas des utilisateurs natifs).
Partage d'objets
Si un administrateur veut partager des objets tels que des modèles de groupe dynamique, des modèles de rapport
ou des politiques, les possibilités suivantes s'offrent à lui :
• Il peut déplacer les objets vers des groupes partagés.
• Il peut créer des objets en double et les déplacer vers des groupes statiques accessibles par d'autres
utilisateurs (voir l'exemple ci-après).
298
EXEMPLE : partage par le biais de la duplication
Pour pouvoir dupliquer un objet, l'utilisateur doit disposer de l'autorisation Lire sur l'objet d'origine et de
l'autorisation Écrire sur son groupe résidentiel pour ce type d'action.
L'administrateur, dont le groupe résidentiel est Tous, veut partager Modèle spécial avec l'utilisateur John. Le
modèle a été créé à l'origine par l'administrateur. Il est donc automatiquement contenu dans le groupe Tous.
L'administrateur doit procéder comme suit :
1. Il doit accéder à Admin > Modèles de groupe dynamique.
2. Il doit sélectionner Modèle spécial et cliquer sur Dupliquer. Il doit définir un nom et une description, si
nécessaire, puis cliquer sur Terminer.
3. Le modèle en double sera placé dans le groupe résidentiel de l'administrateur, dans le groupe Tous.
4. Il doit accéder à Admin > Modèles de groupe dynamique, sélectionner le modèle en double, cliquer sur
Accéder au groupe >
Déplacer et sélectionner le groupe statique de destination (sur lequel John a une
autorisation). Il doit cliquer sur OK.
Partage d'objets avec d'autres utilisateurs via un groupe partagé
Pour mieux comprendre le fonctionnement du nouveau modèle de sécurité, reportez-vous au schéma ci-après. Il
existe un cas dans lequel deux utilisateurs sont créés par l'administrateur. Chaque utilisateur dispose d'un groupe
résidentiel contenant les objets qu'il a créés. Le Jeu d'autorisations San Diego donne le droit à John de manipulater
les objects contenus dans son groupe résidentiel. La situation est identique pour Larry. Si ces utilisateurs doivent
partager certains objets (des ordinateurs, par exemple), ces derniers doivent être déplacés vers le Groupe partagé
(groupe statique). Les deux utilisateurs doivent se voir attribuer le Jeu d'autorisations partagé pour lequel le
Groupe partagé est répertorié dans la section Groupes statiques.
Bureau de San Diego
Jeu d'autorisations San Diego
Objets I.
John
Groupe partagé
Jeu d'autorisations partagé
Objets III.
Larry
Bureau de Sydney
Jeu d'autorisations Sydney
Objets II.
REMARQUE
Une nouvelle installation d’ERA comporte uniquement le compte Administrateur (utilisateur natif avec le groupe
résidentiel Tous).
Droits d'accès ERA expliqués dans un modèle logique (cliquez pour développer)
299
Créer un utilisateur natif
Pour créer un utilisateur natif, accédez à l'onglet Admin, cliquez sur Droits d'accès > Utilisateurs, puis
sur Nouveau dans la partie inférieure de la page.
REMARQUE
Pour créer correctement un utilisateur, il est recommandé de procéder de la manière suivante :
1. Décidez quel groupe statique sera le groupe résidentiel de l'utilisateur. Créez le groupe en cas de besoin.
2. Décidez quel jeu d'autorisations sera adapté à l'utilisateur. Créez un jeu d'autorisations, si nécessaire.
3. Lisez ce chapitre et créez l'utilisateur.
300
Général
Général
Saisissez un nom d'utilisateur et une description facultative pour le nouvel utilisateur. Sélectionnez Groupe
résidentiel. Il s'agit d'un groupe statique qui contiendra automatiquement tous les objets créés par cet utilisateur.
Définir le mot de passe
Le mot de passe de l'utilisateur doit contenir au moins 8 caractères. Il ne doit pas comporter le nom d'utilisateur.
Compte
Activé : sélectionnez cette option, sauf si vous souhaitez que le compte soit inactif (en vue de l'utiliser
ultérieurement).
Modification obligatoire du mot de passe : sélectionnez cette option pour forcer l'utilisateur à modifier son
mot de passe lors de sa première connexion à ERA Web Console.
Expiration du mot de passe : cette option définit le nombre de jours de validité du mot de passe. Lorsque ce
nombre de jours est atteint, le mot de passe doit être modifié.
Déconnexion automatique (min) : cette option définit la durée d'inactivité (en minutes) après laquelle
l'utilisateur est déconnecté de la console Web.
Les options Nom complet, Adresse électronique de contact et Numéro de téléphone du contact peuvent
être définies pour identifier l'utilisateur.
Jeu d'autorisations
Un utilisateur peut se voir attribuer plusieurs jeux d'autorisations. Vous pouvez sélectionner une compétence
prédéfinie : Jeu d’autorisations du réviseur (droits d’accès en lecture seule pour le groupe Tous), Jeu
d’autorisations de l’administrateur (accès complet au groupe Tous), Jeu d’autorisations d’installation
assistée du serveur (droits d'accès minimum pour l'installation assistée du serveur) ou vous pouvez utiliser un
jeu d'autorisations personnalisé. Chaque jeu d'autorisations fournit uniquement des autorisations pour les objets
contenus dans les groupes statiques sélectionnés dans le jeu d'autorisations. Les utilisateurs sans jeu
d'autorisations ne seront pas en mesure de se connecter à la console Web.
AVERTISSEMENT
Tous les jeux d'autorisations prédéfinis possèdent le groupe Tous dans la section Groupes statiques. Sachezle lorsque vous les attribuez à un utilisateur. L'utilisateur disposera de ces autorisations sur tous les objets d'ERA.
Résumé
Passez en revue les paramètres configurés pour cet utilisateur, puis cliquez sur Terminer pour le créer.
Mapper un groupe sur un groupe de sécurité de domaine
Vous pouvez mapper un groupe de sécurité de domaine sur ERA Server et autoriser les utilisateurs existants
(membres de ces groupes de sécurité de domaine) à devenir utilisateurs d'ERA Web Console.
REMARQUE
Cette fonctionnalité est uniquement disponibles pour les systèmes avec Active Directory. Elle ne peut pas être
utilisée avec LDAP.
Pour accéder à l'Assistant Groupe de sécurité de domaine mappé, accédez à Admin > Droits d'accès >
Groupes de sécurité du domaine mappé > Nouveau ou cliquez simplement sur Nouveau lorsque le groupe
de sécurité du domaine mappé est sélectionné dans l'arborescence.
301
Général
Groupe de domaines
Saisissez un nom pour ce groupe. Vous pouvez également saisir une description du groupe. Sélectionnez
Groupe résidentiel. Il s'agit d'un groupe statique qui contiendra automatiquement tous les objets créés par les
utilisateurs de ce groupe de domaines. Ce groupe de domaines est défini par un SID de groupe (identifiant de
sécurité). Cliquez sur Sélectionner pour sélectionner un groupe dans la liste, puis sur OK pour confirmer la
sélection.
Compte
Activé : sélectionnez cette option, sauf si vous souhaitez que le compte soit inactif (en vue de l'utiliser
ultérieurement).
Déconnexion automatique (min) : cette option définit la durée d'inactivité (en minutes) après laquelle
l'utilisateur est déconnecté de la console Web.
Les options Adresse électronique de contact et Numéro de téléphone du contact peuvent être définies pour
identifier le groupe.
Jeu d'autorisations
Attribuez des compétences (droits) aux utilisateurs de ce groupe. Il est possible d'attribuer un ou plusieurs jeux
d'autorisations. Vous pouvez utiliser une compétence prédéfinie :
• Jeu d’autorisations du réviseur (droits d'accès en lecture seule pour le groupe Tous)
• Jeu d’autorisations de l’administrateur (accès complet au groupe Tous)
• Jeu d’autorisations d’installation assistée du serveur (droits d'accès minimum requis pour l'installation
assistée du serveur)
• Jeu d'autorisations personnalisé
Chaque jeu d'autorisations fournit uniquement des autorisations pour les objets contenus dans les groupes
302
statiques sélectionnés dans le jeu d'autorisations. Un utilisateur sans jeu d'autorisations ne sera pas en mesure
de se connecter à la console Web.
AVERTISSEMENT
Tous les jeux d'autorisations prédéfinis possèdent le groupe Tous dans la section Groupes statiques. Sachezle lorsque vous les attribuez à un utilisateur. L'utilisateur disposera de ces autorisations sur tous les objets d'ERA.
Synthèse
Passez en revue les paramètres configurés pour cet utilisateur, puis cliquez sur Terminer pour créer le groupe.
Les utilisateurs apparaissent dans l'onglet Utilisateurs du domaine une fois qu'ils se sont connectés pour la
première fois.
Attribuer un jeu d'autorisations à un utilisateur
Pour attribuer un jeu d'autorisations spécifique à un utilisateur, cliquez sur Admin > Droits d'accès > Jeux
d'autorisations, puis sur Modifier. Pour plus d’informations, reportez-vous à la section Gérer les jeux
d’autorisations.
Dans la section Utilisateurs, modifiez un utilisateur spécifique en cliquant sur Modifier..., puis cochez une case
en regard d'un jeu d'autorisations spécifique dans la section Jeux d’autorisations non attribués (disponibles).
303
Authentification à 2 facteurs
L’authentification à 2 facteurs offre un moyen sécurisé de se connecter à ERA Web Console et d'y accéder.
• Pour activer l’authentification à 2 facteurs pour le compte d'un autre utilisateur, des autorisations d'accès en
écriture sont nécessaires sur cet utilisateur. Une fois l'authentification à 2 facteurs activée, un utilisateur doit la
configurer par lui-même avant de se connecter. Les utilisateurs reçoivent un lien dans un message texte (SMS)
qu'ils peuvent ouvrir dans le navigateur Web de leur téléphone pour lire les instructions relatives à la
configuration de l'authentification à 2 facteurs.
• L’authentification à 2 facteurs est fournie par ESET et sa technologie ESET Secure Authentication. Il n’est pas
nécessaire de déployer ou d’installer ESET Secure Authentication dans votre environnement. ERA se connecte
automatiquement aux serveurs ESET afin d’authentifier les utilisateurs qui se connectent à ERA Web Console.
• Les utilisateurs pour lesquels l’authentification à 2 facteurs est activée devront se connecter à ESET Remote
Administrator à l’aide de ESET Secure Authentication.
REMARQUE
Vous ne pouvez pas utiliser des utilisateurs employant l'authentification à 2 facteurs pour l'installation assistée du
serveur.
Jeux d’autorisations
Un jeu d'autorisations représente les autorisations des utilisateurs qui ont accès à ERA Web Console. Il définit les
tâches que l'utilisateur peut effectuer ou les informations qu'il peut afficher dans la console Web. Les utilisateurs
natifs possèdent leurs propres autorisations, tandis que les utilisateurs du domaine disposent des autorisations de
leur groupe de sécurité mappé. Chaque jeu d'autorisations possède son domaine d'application (groupes statiques).
Les autorisations sélectionnées dans la section
Fonctionnalités s'appliquent aux objets dans les groupes
définis dans la section
Groupes statiques de chaque utilisateur auquel est attribué un jeu d'autorisations
donné. L'accès à un groupe statique donné donne automatiquement accès à tous ses sous-groupes. Lorsque les
groupes statiques sont bien définis, il est possible de créer des filiales distinctes pour les administrateurs locaux
(voir l'exemple).
Un utilisateur peut se voir attribuer un jeu d'autorisations sans qu'il soit en mesure de l'afficher. Un jeu
304
d'autorisations est également un objet qui est automatiquement stocké dans le groupe résidentiel de l'utilisateur
qui l'a créé. Lorsqu'un compte d'utilisateur est créé, l'utilisateur est stocké en tant qu'objet dans le groupe
résidentiel de l'utilisateur créateur. En règle générale, comme l'administrateur crée les utilisateurs, ces derniers
sont stockés dans le groupe Tous.
Filtre Accéder au groupe
Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les
objets visualisés selon le groupe qui les contient.
IMPORTANT
Bonne pratique relative à l'utilisation des autorisations :
• N'autorisez jamais les utilisateurs inexpérimentés à accéder aux paramètres du serveur. Seul un administrateur
peut être autorisé à y accéder.
• Envisagez de limiter l'accès à Tâches client > Exécuter une commande. Il s'agit d'une tâche très puissante
qui peut être utilisée à mauvais escient.
• Les utilisateurs qui ne sont pas administrateurs ne doivent pas disposer d'autorisations pour Jeux
d'autorisations, Utilisateurs natifs et Paramètres du serveur.
• Si un modèle plus complexe d'autorisations est nécessaire, n'hésitez pas à créer d'autres jeux d'autorisations et
à les attribuer en conséquence.
Il est possible de donner un accès en lecture, utilisation et écriture aux groupes d'utilisateurs en regard des
autorisations des fonctionnalités ERA.
305
EXEMPLE : duplication
Pour pouvoir dupliquer un objet, l'utilisateur doit disposer de l'autorisation Lire sur l'objet d'origine et de
l'autorisation Écrire sur son groupe résidentiel pour ce type d'action.
John, dont le groupe résidentiel est Groupe de John, souhaite dupliquer la Politique 1 qui a été créée à l'origine par
Larry et qui est automatiquement contenue dans le groupe résidentiel de Larry, appelé Groupe de Larry. Voici
comment procéder :
1. Créez un groupe statique. Appelez-le Politiques partagées, par exemple.
2. Attribuez à John et à Larry l'autorisation Lire pour Politiques dans le groupe Politiques partagées.
3. Larry doit déplacer Politique 1 vers le groupe Politiques partagées.
4. Attribuez à John l'autorisation Écrire pour Politiques dans son groupe résidentiel.
5. John peut à présent dupliquer la Politique 1. Le doublon apparaîtra dans son groupe résidentiel.
EXEMPLE : différence entre les autorisations Utiliser et Écrire
Si l'administrateur ne souhaite pas autoriser John à modifier les politiques dans le groupe Politiques partagées, il
peut créer un jeu d'autorisations avec la configuration suivante :
• Fonctionnalités des politiques : autorisations Lire et Utiliser sélectionnées
• Groupes statiques : Politiques partagées
Avec ces autorisations, John peut exécuter ces politiques mais ne peut pas les modifier, en créer de nouvelles ou
les supprimer. Si un administrateur ajoute l'autorisation Écrire, John peut créer, dupliquer, modifier et supprimer
les politiques au sein du groupe statique sélectionné (Politiques partagées).
Gérer les jeux d'autorisations
Pour apporter des modifications à un jeu d'autorisations spécifique, cliquez dessus, puis sur Modifier. Cliquez sur
Dupliquer pour créer un jeu d'autorisations en double que vous pouvez modifier et attribuer à un utilisateur
spécifique. Le doublon est stocké dans le groupe résidentiel de l'utilisateur qui l'a dupliqué.
Général
Saisissez un nom pour le jeu (paramètre obligatoire). Vous pouvez également saisir une description dans le champ
Description.
Groupes statiques
Vous pouvez ajouter un groupe statique (ou plusieurs groupes statiques) qui hérite de cette compétence. Les
autorisations qui sont cochées dans la section
Fonctionnalités s'appliquent aux objets contenus dans les
groupes sélectionnés dans cette section.
Fonctionnalités
Sélectionnez les modules auxquels vous souhaitez donner accès. L'utilisateur doté de cette compétence a accès à
ces tâches spécifiques. Il est également possible de définir des autorisations différentes pour chaque type de tâche
serveur et de tâche client. Des compétences prédéfinies sont disponibles pour le groupe Tous.
• Compétence Administrateur (accès complet)
• Compétence Réviseur (lecture seule)
L'octroi de l'autorisation Écrire accorde automatiquement les droits Utiliser et Lire, tandis que l'octroi du droit
Utiliser accorde automatiquement le droit Lire.
AVERTISSEMENT
Tous les jeux d'autorisations prédéfinis possèdent le groupe Tous dans la section Groupes statiques. Sachezle lorsque vous les attribuez à un utilisateur. L'utilisateur disposera de ces autorisations sur tous les objets d'ERA.
Groupe d’utilisateurs
Vous pouvez ajouter un groupe d'utilisateurs (ou plusieurs groupes d'utilisateurs) d'ESET Mobile Device
Management pour iOS.
306
Utilisateurs
Sélectionnez un utilisateur auquel attribuer ce jeu d'autorisations. Tous les utilisateurs disponibles sont répertoriés
à gauche. Sélectionnez des utilisateurs spécifiques ou choisissez tous les utilisateurs à l'aide du bouton Ajouter
tout. Les utilisateurs attribués sont répertoriés à droite. Il n'est pas obligatoire d'attribuer un utilisateur et vous
pouvez le faire ultérieurement.
Résumé
Passez en revue les paramètres configurés pour cette compétence, puis cliquez sur Terminer. Le jeu
d'autorisations est stocké dans le groupe résidentiel de l'utilisateur qui l'a créé.
Cliquez sur Enregistrer sous pour créer un nouveau modèle selon le modèle que vous êtes en train de modifier.
Vous serez invité à donner un nom au nouveau modèle.
Liste des autorisations
Types d'autorisation
Lorsque vous créez ou modifiez un jeu d'autorisations dans Admin > Droits d'accès > Jeux d'autorisations >
Nouveau / Modifier > Fonctionnalités, vous pouvez voir la liste de toutes les autorisations disponibles. Les
autorisations d'ERA Web Console sont classées dans des catégories telles que Groupes et ordinateurs,
Utilisateurs natifs, Certificats, Politiques, etc. Un jeu d'autorisations donné peut autoriser un accès en
lecture, utilisation ou écriture. En règle générale :
Les autorisations Lire sont destinées aux utilisateurs effectuant des audits. Ils peuvent afficher les données mais
ne sont pas autorisés à apporter des modifications.
Les autorisations Utiliser permettent aux utilisateurs d'utiliser des objets et d'exécuter des tâches. Ils ne peuvent
toutefois pas apporter de modifications ni effectuer de suppressions.
Les autorisations Écrire permettent aux utilisateurs de modifier des objets respectifs et/ou de les dupliquer.
Certains types d'autorisations (répertoriés ci-dessous) contrôlent un processus et non un objet. C'est la raison pour
laquelle les autorisations travaillent à un niveau global. Peu importe donc le groupe statique auquel est appliquée
une autorisation. Si un processus est autorisé pour un utilisateur, il ne peut l'utiliser que sur les objets pour
lesquels ils disposent d'autorisations suffisantes. Par exemple, l'autorisation Exporter le rapport dans un fichier
autorise la fonctionnalité d'exportation. Toutefois, les données contenues dans le rapport sont déterminées par
d'autres autorisations.
Les utilisateurs peuvent se voir attribuer des autorisations pour les processus suivants :
• Enterprise Inspector Administrator
• Utilisateur Enterprise Inspector
• Déploiement de l’agent ERA
• Rapports et tableau de bord (seule la fonctionnalité du tableau de bord ; les modèles de rapport utilisables
sont toutefois dépendants des groupes statiques accessibles)
• Envoyer un email
• Envoyer l’interruption SNMP
• Exporter le rapport dans un fichier
• Paramètres du serveur
Types de fonctionnalité :
Groupes et ordinateurs
Lire : permet de répertorier les ordinateurs et les groupes et les ordinateurs au sein d'un groupe.
307
Utiliser : permet d'utiliser un ordinateur/groupe en tant que cible pour une politique ou une tâche.
Écrire : permet de créer, modifier et supprimer des ordinateurs. Il est également possible de renommer un
ordinateur ou un groupe.
Enterprise Inspector Administrator
Écrire : permet d'effectuer des tâches administratives dans Enterprise Inspector.
Utilisateur Enterprise Inspector
Lire : accorde un accès en lecture seule à Enterprise Inspector.
Écrire : accorde un accès en lecture et écriture à Enterprise Inspector.
Jeux d’autorisations
Lire : permet de lire la liste des jeux d'autorisations et la liste des droits d'accès au sein de ceux-ci.
Utiliser : permet d'attribuer/de supprimer des jeux d'autorisations existants pour les utilisateurs.
Écrire : permet de créer, modifier et supprimer des jeux d'autorisations.
IMPORTANT
Lorsque vous attribuez (ou annulez l'attribution) un jeu d'autorisations à un utilisateur, l'autorisation Utiliser est
requise pour les options Jeux d'autorisations et Utilisateurs natifs.
Groupes de domaines
Lire : permet de répertorier les groupes de domaines.
Utiliser : permet d'accorder/de révoquer des jeux d'autorisations.
Écrire : permet de créer, modifier et supprimer des groupes de domaines.
Utilisateurs natifs
Lire : permet de répertorier les utilisateurs natifs.
Utiliser : permet d'accorder et de révoquer des jeux d'autorisations.
Écrire : permet de créer, modifier et supprimer des utilisateurs natifs.
Déploiement de l’agent ERA
Utiliser : permet de déployer l'Agent via les liens rapides ou d'ajouter manuellement des ordinateurs clients dans
ERA Web Console.
Programmes d'installation stockés
Lire : permet de répertorier les programmes d'installation.
Utiliser : permet d'exporter un programme d'installation stocké.
Écrire : permet de créer, modifier et supprimer des programmes d'installation stockés.
Certificats
Lire : permet de lire la liste des certificats homologues et des autorités de certification.
Utiliser : permet d'exporter les certificats homologues et les autorités de certification et de les utiliser dans des
programmes d'installation ou des tâches.
308
Écrire : permet de créer des certificats homologues ou des autorités de certification et de les révoquer.
Déclencheurs et tâches serveur
Lire : permet de lire la liste des tâches et leurs paramètres (à l'exception des champs sensibles comme ceux des
mots de passe).
Utiliser : permet d'exécuter une tâche existante avec la commande Exécuter maintenant (en tant qu'utilisateur
actuellement connecté à la console Web).
Écrire : permet de créer, modifier et supprimer des tâches serveur.
Il est possible de développer les catégories en cliquant sur le signe plus
tâche serveur peuvent être sélectionnés.
. De plus, un ou plusieurs types de
Tâches client
Lire : permet de lire la liste des tâches et leurs paramètres (à l'exception des champs sensibles comme ceux des
mots de passe).
Utiliser : permet de planifier l'exécution de tâches client existantes ou d'annuler leur exécution. Pour l'attribution
des tâches (ou l'annulation de l'attribution) aux cibles (ordinateurs ou groupes), un droit d'accès en utilisation
supplémentaire est requis pour les cibles concernées.
Écrire : permet de créer, modifier et supprimer des tâches client existantes. Pour l'attribution des tâches (ou
l'annulation de l'attribution) aux cibles (ordinateurs ou groupes), un droit d'accès en utilisation supplémentaire
est requis pour les objets cibles concernés.
Il est possible de développer les catégories en cliquant sur le signe plus
tâche client peuvent être sélectionnés.
. De plus, un ou plusieurs types de
Modèles des groupes dynamiques
Lire : permet de lire la liste des modèles des groupes dynamiques.
Utiliser : permet d'utiliser des modèles existants pour les groupes dynamiques.
Écrire : permet de créer, modifier et supprimer des modèles de groupe dynamique.
Rapports et tableau de bord
Lire : permet de répertorier les modèles de rapport et leurs catégories. Générez des rapports à partir des modèles
de rapport. Consultez vos propres tableaux de bord reposant sur des tableaux de bord par défaut.
Utiliser : permet de modifier vos tableaux de bord à l'aide des modèles de rapport disponibles.
Écrire : permet de créer, modifier et supprimer des modèles de rapport existants et leurs catégories. Cette
autorisation permet de modifier également les tableaux de bord par défaut.
Politiques
Lire : permet de lire la liste des politiques et leur configuration.
Utiliser : permet d'attribuer des politiques existantes aux cibles (ou d'annuler leur attribution). Pour les cibles
concernées, un droit d'accès supplémentaire en utilisation est nécessaire.
Écrire : permet de créer, modifier et supprimer des politiques.
Envoyer un email
Utiliser : permet d'envoyer des emails. (Cette autorisation s'avère utile pour les notifications et les tâches serveur
309
de génération de rapport.)
Envoyer l’interruption SNMP
Utiliser : autorise l'envoi d'une interception SNMP. (Cette autorisation s'avère utile pour les notifications.)
Exporter le rapport dans un fichier
Utiliser : permet de stocker des rapports dans le système de fichiers de l'ordinateur ERA Server. Cette autorisation
s'avère utile avec les tâches serveur de génération de serveur.
Licences
Lire : permet de lire la liste des licences et les statistiques d'utilisation.
Utiliser : permet d'utiliser la licence pour l'activation.
Écrire : permet d'ajouter et de supprimer des licences. (Le groupe résidentiel de l'utilisateur doit être défini sur
Tous. Par défaut, seul l'administrateur peut le faire.)
Notifications
Lire : permet de lire la liste des notifications et leurs paramètres.
Écrire : permet de créer, modifier et supprimer des notifications. Pour une gestion correcte des notifications, des
droits d'accès supplémentaires en utilisation peuvent être nécessaire pour les options Envoyer l'interruption
SNMP ou Envoyer l'email, selon la configuration des notifications.
Paramètres du serveur
Lire : permet de lire les paramètres du serveur.
Écrire : permet de modifier les paramètres du serveur.
Paramètres du serveur
Dans cette section, vous pouvez configurer des paramètres spécifiques pour ESET Remote Administrator Server.
Connexion
Port Remote Administrator (nécessite un redémarrage de l’ordinateur) : il s’agit du port de connexion
entre ESET Remote Administrator Server et le ou les agents. Si vous modifiez cette option, le service ERA Server
doit être redémarré pour que la modification soit prise en compte.
Port de la console Web (nécessite un redémarrage de l’ordinateur) : port de connexion entre ERA Web
Console et ERA Server.
Sécurité avancée : utilisez ce paramètre pour qu'ERA Server utilise le protocole TLS le plus récent et les
certificats et autorités de certification nouvellement créés afin d'employer SHA-2. Si vous activez la sécurité
avancée, la compatibilité avec les anciens systèmes ne sera peut-être pas conservée.
Certificat (redémarrage requis) : vous pouvez gérer ici les certificats ERA Server. Cliquez sur Modifier le
certificat et sélectionnez le certificat ERA Server qu'ERA Server doit utiliser. Pour plus d’informations, reportez-vous
au chapitre Certificats homologues.
IMPORTANT
Ces modifications requièrent le redémarrage du service ESET Remote Administrator Server. Pour obtenir
des instructions, consultez cet article de base de connaissances.
310
Mises à jour
Intervalle de mise à jour : intervalle de réception des mises à jour. Vous pouvez sélectionner un intervalle
régulier et configurer les paramètres ou utiliser une expression CRON.
Serveur de mise à jour : il s'agit du serveur de mise à jour à partir duquel ERA Server reçoit les mises à jour pour
les produits ESET et les composants ERA.
Type de mise à jour : sélectionnez le type des mises à jour que vous souhaitez recevoir. Vous pouvez choisir une
mise à jour régulière, de version bêta ou retardée. Il n’est pas recommandé de sélectionner les mises à jour de
versions bêta pour les systèmes de production, car cela présente un risque.
Paramètres avancés
Proxy HTTP : utilisez un serveur proxy pour faciliter le trafic Internet vers les clients de votre réseau. Si ERA
Server a été installé à l'aide du programme d'installation tout-en-un, le proxy HTTP est activé automatiquement.
WakeUp : ERA Server peut exécuter une réplication instantanée d'ERA Agent sur un ordinateur client. Les ports
UDPv4 et UDPv6 sont utilisés avec les numéros de port par défaut 1237 et 1238. Cela s'avère utile lorsque vous ne
souhaitez pas attendre l'intervalle régulier de connexion d'ERA Agent à ERA Server, quand vous souhaitez exécuter
immédiatement une tâche client sur les clients ou appliquer tout de suite une politique, par exemple.
Serveur SMTP : utilisez un serveur SMTP pour permettre à ERA Server d'envoyer des messages électroniques
(des notifications ou des rapports, par exemple). Indiquez les détails du serveur SMTP.
Serveur Syslog : vous pouvez utiliser ERA pour envoyer les notifications et les messages d'événement à votre
serveur Syslog. Il est également possible d'exporter les journaux à partir du produit ESET d'un client et de les
envoyer au serveur Syslog.
Groupes statiques : permet le couplage automatique des ordinateurs détectés avec les ordinateurs déjà
présents dans les groupes statiques. Le couplage fonctionne à partir du nom d'hôte signalé par ERA Agent et doit
être désactivé s'il n'est pas approuvé. Si le couplage échoue, l'ordinateur est placé dans le groupe Perdu et trouvé.
Référentiel : emplacement du référentiel dans lequel sont stockés tous les fichiers d’installation.
REMARQUE
Le référentiel par défaut est SÉLECTION AUTOMATIQUE. Il est possible de créer et d'utiliser un référentiel hors
ligne.
Diagnostics : active ou désactive l'envoi des statistiques des rapports de défaillance anonymes à ESET pour
l'amélioration de l'expérience client.
Journalisation : définissez le détail de journal qui détermine le niveau d’informations collectées et journalisées,
de Trace (informations) à Fatal (informations critiques les plus importantes).
Le dernier fichier journal d'ERA Server se trouve à cet emplacement :
oWindows: C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs
oLinux: /var/log/eset/RemoteAdministrator/Server/
• Vous pouvez configurer l'exportation des journaux vers Syslog ici.
Nettoyage de base de données : pour éviter toute surcharge d'une base de données, vous pouvez utiliser cette
option pour nettoyer régulièrement les journaux.
311
Personnalisation
Personnaliser l'IU : il est possible d'ajouter un logo personnalisé à ERA Web Console et les rapports générés via
une tâche serveur.
• Aucun : conception de base, aucun logo personnalisé.
• Co-marketing : permet d'ajouter un logo personnalisé à la console Web et dans le pied de page des rapports.
• Marque blanche : permet d'ajouter un logo personnalisé à la console Web et dans le pied de page ou l'entête des rapports.
Logo de l'entreprise
• Logo sur un arrière-plan foncé (en-tête de la console Web) : ce logo est affiché dans le coin supérieur
gauche de la console Web.
• Logo sur un arrière-plan clair : ce logo est affiché dans l'en-tête (pour les titulaires de licence MSP) ou dans
le pied de page (paramètre de co-marketing) des rapports générés par le biais d'une tâche serveur.
Cliquez sur
pour sélectionner un logo. Cliquez sur
pour supprimer le logo actuel.
pour télécharger le logo actuel. Cliquez sur
Rapports : si cette option est activée, vous pouvez ajouter du texte dans le champ Texte de pied de page de
rapport. Ce texte sera ajouté dans le coin inférieur droit des rapports générés au format PDF.
IMPORTANT
Il n'est pas possible d'utiliser un logo personnalisé avec du texte de pied de page personnalisé. Le logo a la même
position que le texte du pied de page. Si un logo et un pied de page sont utilisés ensemble, seul le logo sera
visible. Lorsque le paramètre Marque blanche est utilisé, le logo personnalisé apparaît dans le coin supérieur
gauche du rapport. Un logo ESET plus petit est placé dans le coin inférieur droit à la place du texte du pied de
page.
Serveur SMTP
ESET Remote Administrator peut envoyer automatiquement des rapports et des notifications par courrier
électronique. Activez Utiliser un serveur SMTP, accédez à Admin > Paramètres du serveur > Paramètres
avancés > Serveur SMTP, puis indiquez les informations suivantes :
• Hôte : nom d'hôte ou adresse IP du serveur SMTP.
• Port : SMTP utilise le port 25 par défaut. Vous pouvez toutefois le modifier si le serveur SMTP utilise un autre
port.
• Nom d'utilisateur : si le serveur SMTP requiert une authentification, indiquez le nom du compte d'utilisateur
SMTP (n'incluez pas le domaine).
• Mot de passe : mot de passe associé au compte d'utilisateur SMTP.
• Type de sécurité de connexion : spécifiez le type de connexion. La valeur par défaut est Non sécurisé. Si
le serveur SMTP autorise des connexions sécurisées, sélectionnez TLS ou STARTTLS. Si vous souhaitez renforcer
la sécurité de vos connexions, utilisez une extension STARTTLS ou SSL/TLS qui a recours à un port distinct pour
les communications chiffrées.
• Type d'authentification : la valeur par défaut est Aucune authentification. Vous pouvez toutefois
sélectionner un type d'authentification adéquat dans la liste déroulante (par exemple Connexion, CRAM-MD5,
CRAM-SHA1, SCRAM-SHA1, NTLM ou Automatique).
• Adresse de l'expéditeur : spécifiez l'adresse de l'expéditeur qui apparaît dans l'en-tête des notifications
(De :).
• Serveur SMTP de test : permet de s'assurer que les paramètres SMTP sont corrects. Cliquez sur le bouton
Envoyer un courrier de test. Une fenêtre contextuelle s'ouvre. Saisissez l'adresse électronique du
destinataire. Le message électronique de test est envoyé à cette adresse via le serveur SMTP. Vérifiez la
312
présence du message de test dans la boîte aux lettres du destinataire.
Coupler automatiquement les ordinateurs détectés
S'il existe plusieurs instances d'un même ordinateur dans ERA (si ERA Agent a été réinstallé sur un ordinateur
client déjà administré, par exemple), la fonctionnalité Coupler automatiquement les ordinateurs détectés
gère cette situation et couple ces instances en une seule instance. Ainsi, une vérification manuelle et le tri des
ordinateurs détectés ne sont plus nécessaires.
Le couplage fonctionne sur le nom d'hôte signalé par ERA Agent. Si celui-ci n'est pas approuvé, il est recommandé
de désactiver l'option Coupler automatiquement les ordinateurs détectés. Si le couplage échoue, un
ordinateur est placé dans le groupe Perdu et trouvé. L'idée est que dès qu'ERA Agent est réinstallé sur un
ordinateur déjà administré, celui-ci est automatiquement couplé et placé correctement dans ERA sans votre
intervention. Le nouvel ERA Agent obtient aussi immédiatement ses politiques et tâches.
• Lorsque l'option est désactivée, les ordinateurs qui doivent être placés dans le groupe Perdu et trouvé sont
couplés avec le premier ordinateur non administré détecté (espace réservé, icône en forme de cercle) qui se
trouve n'importe où dans l'arborescence ERA. S'il n'existe aucun espace réservé doté du même nom, l'ordinateur
est placé dans le groupe Perdu et trouvé.
• Lorsque l'option est activée (par défaut), les ordinateurs qui doivent être placés dans le groupe Perdu et
trouvé sont couplés avec le premier ordinateur non administré détecté (espace réservé, icône en forme de
cercle) qui se trouve n'importe où dans l'arborescence ERA. S'il n'existe aucun espace réservé doté du même
nom, l'ordinateur est couplé avec le premier ordinateur administré détecté (alerte ou icône en forme de coche)
qui se trouve n'importe où dans l'arborescence ERA. Si ce couplage échoue, l'ordinateur est placé dans le groupe
Perdu et trouvé.
REMARQUE
Si vous ne souhaitez pas utiliser le couplage automatique, désactivez-le. Vous pouvez toujours vérifier et trier les
ordinateurs manuellement.
Serveur Syslog
Si votre réseau comprend un serveur Syslog, vous pouvez configurer ERA Server pour envoyer des Notifications à
votre serveur Syslog. Vous pouvez également activer Exporter les journaux vers Syslog pour recevoir certains
événements (événement de menace, événement agrégé de pare-feu, événement agrégé HIPS, etc.) des
ordinateurs clients exécutant ESET Endpoint Security, par exemple.
Pour activer le serveur Syslog :
1. Accédez à Admin > Paramètres du serveur > Paramètres avancés > Serveur Syslog, puis utilisez le
curseur en regard de l'option Utiliser le serveur Syslog.
2. Spécifiez les paramètres obligatoires suivants :
a.Hôte (adresse IP ou nom d'hôte de la destination des messages Syslog)
b.Numéro de port (la valeur par défaut est 514).
c.Format du journal : BSD (spécifications), Syslog (spécifications)
d.Protocle de transport pour l'envoi des messages à Syslog (UDP, TCP ou TLS)
Une fois les modifications apportées, cliquez sur Enregistrer.
313
REMARQUE
des écritures sont effectuées en permanence dans le fichier journal d'application standard. Syslog ne sert que de
support pour l'exportation de certains événements asynchrones, tels que des notifications ou divers événements
d'ordinateur client.
Exporter les journaux vers Syslog
ESET Remote Administrator peut exporter certains journaux/événements et les envoyer ensuite à votre serveur
Syslog. Des événements (événement de menace, événement agrégé de pare-feu, événement agrégé HIPS, etc.)
sont générés sur un ordinateur client administré exécutant un produit ESET (par exemple ESET Endpoint Security).
Ces événements peuvent être traités par toute solution SIEM (Security Information and Event Management)
capable d'importer des événements à partir d'un serveur Syslog. Les événements sont écrits sur le serveur Syslog
par ESET Remote Administrator.
1. Pour activer le serveur Syslog, accédez à Admin > Paramètres du serveur > Paramètres avancés >
Serveur Syslog > Utiliser le serveur Syslog.
2. Pour activer l'exportation, accédez à Admin > Paramètres du serveur > Paramètres avancés >
Journalisation > Exporter les journaux vers Syslog.
3. Choisissez l'un des formats suivants pour les messages d'événement :
a.JSON (JavaScript Object Notation)
b.LEEF (Log Event Extended Format) : format utilisé par l'application QRadar d'IBM
Événements exportés au format JSON
JSON est un format léger pour l'échange de données. Il repose sur un groupe de paires nom/valeur et une liste
classée de valeurs.
Evénements exportés
Cette section contient des détails sur le format et la signification des attributs de tous les événements exportés. Le
message d'événement prend la forme d'un objet JSON avec quelques clés obligatoires et facultatives. Chaque
314
événement exporté contiendra la clé suivante :
event_type string
Type d'événements exportés : Threat_Event, FirewallAggregated_Event,
HipsAggregated_Event.
ipv4
stringfacultatifAdresse IPv4 de l'ordinateur générant l'événement.
ipv6
stringfacultatifAdresse IPv6 de l'ordinateur générant l'événement.
source_uuidstring
UUID de l'ordinateur générant l'événement.
occurred
string
Heure UTC d'occurrence de l'événement. Le format est %d-%b-%Y %H:%M:%S
severity
string
Gravité de l'événement. Les valeurs possibles (du moins grave au plus grave) sont les
suivantes : Information Notice Warning Error CriticalFatal
Clés personnalisées selon event_type :
1. ThreatEvent
Tous les événements de menace générés par des points de terminaison gérés seront transférés à Syslog. Clé
spécifique à un événement de menace :
threat_type
stringfacultatifType de menace
threat_name stringfacultatifNom de la menace
threat_flags
stringfacultatifIndicateurs liés à des menaces
scanner_id
stringfacultatifID d'analyseur
scan_id
stringfacultatifID d'analyse
engine_version stringfacultatifVersion du moteur d'analyse
object_type
stringfacultatifType d'objet lié à cet événement
object_uri
stringfacultatifURI de l’objet
action_taken stringfacultatifAction prise par le point de terminaison
action_error
stringfacultatifMessage d'erreur en cas d'échec de « l'action »
threat_handledbool facultatifIndique si la menace a été gérée ou non
need_restart bool facultatifIndique si un redémarrage est nécessaire ou non
username
stringfacultatifNom du compte utilisateur associé à l'événement
processname stringfacultatifNom du processus associé à l'événement
circumstances stringfacultatifBrève description de la cause de l'événement
2. FirewallAggregated_Event
Les journaux d'événements générés par le pare-feu personnel d'ESET sont agrégés par la gestion d'ESET Remote
Administrator Agent pour éviter le gaspillage de bande passante pendant la réplication ERA Agent/ ERA Server. Clé
spécifique à un événement de pare-feu :
event
string facultatifNom de l'événement
source_address
string facultatifAdresse de la source de l'événement
source_address_typestring facultatifType d'adresse de la source de l'événement
source_port
numberfacultatifPort de la source de l'événement
target_address
string facultatifAdresse de la destination de l'événement
target_address_type string facultatifType d'adresse de la destination de l'événement
target_port
numberfacultatifPort de la destination de l'événement
protocol
string facultatifProtocole
account
string facultatifNom du compte utilisateur associé à l'événement
process_name
string facultatifNom du processus associé à l'événement
rule_name
string facultatifNom de la règle
rule_id
string facultatifID de règle
inbound
bool
facultatifIndique si la connexion était entrante ou non
threat_name
string facultatifNom de la menace
aggregate_count
numberfacultatifNombre de messages identiques générés par le point de terminaison
entre deux réplications consécutives entre ERA Server et l'ERA Agent de
gestion
3. HIPSAggregated_Event
315
Les événements du système HIPS (Host-based Intrusion Prevention System) sont filtrés sur la gravité avant d'être
transmis plus avant en tant que messages Syslog. Seuls les événements dont les niveau de gravité sont Error,
Critical et Fatal sont envoyés à Syslog. Les attributs spécifiques à HIPS sont les suivants :
application
string facultatifNom de l’application
operation
string facultatifOpération
target
string facultatifCible
action
string facultatifAction
rule_name
string facultatifNom de la règle
rule_id
string facultatifID de règle
aggregate_countnumberfacultatifNombre de messages identiques générés par le point de terminaison entre
deux réplications consécutives entre ERA Server et l'ERA Agent de gestion
Événements exportés au format LEEF
Le format LEEF est un format d'événement personnalisé pour IBM® Security QRadar®. Les événements possèdent
des attributs standard et personnalisés. ERA utilise certains des attributs standard décrits dans la documentation
officielle d'IBM. Les attributs personnalisés sont les mêmes que dans le format JSON. Il existe cinq catégories
d'événements :
• Menace
• Pare-feu
• HIPS
• Audit
• Alertes Enterprise Inspector
REMARQUE
Vous trouverez des informations supplémentaires sur le format Log Event Extended Format (LEEF) sur le site Web
officiel d'IBM.
Gestion de licences
ESET Remote Administrator utilise un système de licences ESET entièrement nouveau. Vous pouvez facilement
gérer vos licences à l’aide de ESET Remote Administrator. Tout achat d’une licence pour un produit ESET vous
donne automatiquement accès à ESET Remote Administrator.
REMARQUE
Vous pouvez activer votre produit ESET à l'aide de ESET Remote Administrator. Cela s'applique également aux
versions antérieures.
Si vous possédez déjà un nom d’utilisateur et un mot de passe fournis par ESET et que vous voulez les
convertir en clé de licence, consultez la section Convertir les informations d’identification de licence
héritée. Les nom d'utilisateur et mot de passe ont été remplacés par une clé de licence/ID public. La clé de
licence est une chaîne unique utilisée pour identifier le propriétaire de la licence et l'activation. Un ID public est
une chaîne courte utilisée pour identifier la licence auprès d’un tiers (par exemple, le compte Administrateur
Sécurité chargé de la distribution d’unités).
Security Admin permet de gérer des licences spécifiques. Il est différent du Propriétaire de la licence. Le
propriétaire de la licence peut déléguer une licence à un administrateur de la sécurité pour l’autoriser à gérer des
licences spécifiques. S’il accepte, des privilèges de gestion de licences lui sont octroyés. Nous recommandons à
tous les propriétaires de licence de créer aussi des comptes Security Admin pour leur propre usage.
Les licences peuvent être gérées dans cette section, en ligne en cliquant sur Ouvrir ELA (ESET License
Administrator) ou à l’aide de l’interface Web d’ESET License Administrator (reportez-vous à la section
Administrateur Sécurité).
316
Autorisations pour la gestion des licences
Chaque utilisateur peut se voir attribuer une autorisation pour les licences. Les autorisations sont valides
uniquement pour une licence contenue dans le groupe statique auquel ce jeu d'autorisations est attribué. Chaque
type d'autorisation permet à l'utilisateur d'effectuer des actions différentes.
IMPORTANT
Dans ERA 6.5, un nouveau modèle de sécurité a changé la gestion des licences. Seuls les administrateurs dont le
groupe résidentiel est défini sur Tous et qui possèdent l'autorisation Écrire sur les licences du groupe résidentiel
peuvent ajouter et supprimer des licences. Chaque licence est identifiée par un ID public et peut contenir une ou
plusieurs unités. Seul un administrateur peut distribuer des licences à d'autres utilisateurs (administrateurs de
niveau inférieur). Une licence n'est pas réductible.
Utilisation de la console Web
Dans ESET Remote Administrator, la section Gestion de licences est accessible à partir du menu principal sous
Admin > Gestion de licences.
Il est possible d'idenitifier les licences par leur ID public. Dans ESET License Administrator et ERA, chaque licence
est identifiée par ID public, Type de licence et Indicateurs :
• Type de licence peut être Full_Paid (licence payante), Trial (licence d'essai) et NFR (licence non destinée à
la revente).
• Indicateurs comprend MSP, Business et Consumer.
La liste des licences est regroupée dans les catégories (activées par)
ou
Clé de licence,
Licence hors ligne
Administrateur Sécurité.
Vous pouvez utiliser l'option Modes pour modifier le mode de sélection (unique ou multiple). Cliquez sur la flèche
dans le coin supérieur droit et sélectionnez l'une des options suivantes dans le menu contextuel :
Mode de sélection unique : vous pouvez sélectionner un seul élément.
Mode de sélection multiple : permet d'utiliser les cases à cocher pour sélectionner plusieurs éléments.
Rafraîchir : recharge/actualise les informations affichées.
Développer tout : permet d'afficher toutes les informations.
Réduire tout : permet de masquer toutes les informations.
317
• Le Nom du produit de sécurité pour lequel sa licence est destinée.
• L'État global de la licence (si la licence est arrivée à expiration, arrive bientôt à expiration ou est surutilisée,
un message d'avertissement s'affiche ici).
• Le nombre d'unités pouvant être activées à l'aide de cette licence et le nombre d'unités hors ligne.
• Le nombre de Sous-unités de produits serveur ESET (boîtes aux lettres, protection de passerelle,
connexions).
• La date d’expiration de la licence.
• Le Nom du propriétaire et le Contact de la licence.
État de la licence : affiché pour l’élément de menu actif.
Vert : la licence est activée.
Rouge : la licence n'est pas enregistrée via ESET License Administrator ou elle est arrivée à expiration.
Orange : votre licence est épuisée ou proche de la date d’expiration (expiration dans moins de 30 jours).
Synchroniser les licences
ESET License Administrator est automatiquement synchronisé une fois par jour. Cliquez sur Synchroniser les
licences pour rafraîchir immédiatement les informations des licences dans ERA.
Filtre Accéder au groupe
Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les
objets visualisés selon le groupe qui les contient.
Ajouter une licence ou une clé de licence
Cliquez sur Ajouter des licences, puis sélectionnez la méthode à utiliser pour ajouter la ou les nouvelles
318
licences :
1. Clé de licence : saisissez une clé de licence pour une licence valide, puis cliquez sur Ajouter une
licence. La clé de licence est vérifiée auprès du serveur d'activation puis ajoutée à la liste.
2. Informations d'identification de l'Administrateur Sécurité : connectent un compte Administrateur Sécurité
et toutes ses licences à la section Gestion de licences.
3. Fichier de licence : ajoutez un fichier de licence (.lf), puis cliquez sur Ajouter une licence. Le fichier de
licence est vérifié, et la licence est ajoutée à la liste.
Supprimer les licences
Sélectionnez une licence dans la liste ci-dessus, puis cliquez ici pour la supprimer entièrement. Il vous sera
demandé de confirmer cette action. La suppression de la licence ne déclenche pas la désactivation du produit.
Votre produit ESET restera activé même après que la licence a été supprimée dans ERA License Management.
Les licences peuvent être distribuées aux produits ESET depuis ERA à l'aide de deux tâches :
• Tâche Installer un logiciel
• Tâche Activation du produit
EXEMPLE : comment un administrateur peut partager des licences avec des administrateurs de
filiale
Cet exemple comporte trois utilisateurs et un administrateur. Chaque utilisateur possède son propre groupe
résidentiel :
• John, San Diego
• Larry, Sydney
• Makio, Tokyo
L'administrateur importe trois licences. Elles sont contenues dans le groupe statique Tous et ne peuvent pas être
utilisées par d'autres utilisateurs.
L'administrateur peut cliquer sur l'icône représentant un engrenage
qui est située en regard de la licence à
attribuer à un autre utilisateur. Cliquez sur
Groupe d'accès >
Déplacer, puis sélectionnez le groupe sur
lequel l'utilisateur dispose d'une autorisation. Pour l'utilisateur John, cliquez sur le groupe San Diego. John doit
disposer de l'autorisation Utiliser pour les licences dans le groupe San Diego.
Lorsque l'utilisateur John se connecte, il ne peut afficher et utiliser que la licence qui a été déplacée dans son
groupe. L'administrateur doit répéter le processus de manière analogique pour d'autres utilisateurs (Larry et
Makio). Ensuite, les utilisateurs peuvent uniquement visualiser leur licence, tandis que l'administrateur peut toutes
les voir.
319
Ajouter une licence - Clé de licence
ESET Remote Administrator possède son propre système de gestion de licences qui est accessible à partir du menu
principal dans Admin > Gestion de licences.
Vous pouvez utiliser l'une des trois méthodes suivantes lors de l'ajout d'une licence : vous pouvez saisir la clé de
licence, fournir les informations d'identification du compte Administrateur Sécurité ou charger un fichier de
licence hors ligne.
IMPORTANT
Dans ERA 6.5, un nouveau modèle de sécurité a changé la gestion des licences. Seuls les administrateurs dont le
groupe résidentiel est défini sur Tous et qui possèdent l'autorisation Écrire sur les licences du groupe résidentiel
peuvent ajouter et supprimer des licences. Chaque licence est identifiée par un ID public et peut contenir une ou
plusieurs unités. Seul un administrateur peut distribuer des licences à d'autres utilisateurs (administrateurs de
niveau inférieur). Une licence n'est pas réductible.
Dans le champ Clé de licence, saisissez ou copiez et collez la clé de licence que vous avez reçue lors de
l'achat de votre solution de sécurité ESET. Si vous utilisez des informations d'identification de licence héritée (nom
d'utilisateur et mot de passe), convertissez-les en clé de licence. Si la licence n'est pas enregistrée, le processus
d'enregistrement est déclenché. Celui-ci a lieu sur le portail ELA (ERA fournit l'URL valide pour l'enregistrement en
fonction de l'origine de la licence).
Saisissez les informations d'identification du compte Administrateur Sécurité (ERA affiche toutes les licences
déléguées dans Gestionnaire de licences ERA).
320
Fichier de licence hors ligne : copiez un jeton de fichier de licence spécifique, accédez au portail ESET
License Administrator et ajoutez les informations sur les produits qu'ERA peut gérer.
REMARQUE
Pour plus d'informations sur le téléchargement d'un fichier de licence hors ligne, voir Propriétaire de licence ou
Administrateur Sécurité.
321
Une fois que vous êtes connecté au portail ESET License Administrator, cochez la case en regard de l'option
Autoriser la gestion avec Remote Administrator, puis ajoutez le jeton de serveur (jeton du fichier de licence
d'ERA) au portail ESET License Administrator lors de la génération du fichier de licence hors ligne. Sinon, le fichier
de licence hors ligne n'est pas accepté par ESET Remote Administrator.
322
Retournez dans Gestion de licences ERA, cliquez sur Parcourir pour accéder au fichier de licence hors ligne que
vous avez exporté dans ELA, cliquez sur Charger, puis sur le bouton Ajouter des licences.
Liste des licences regroupées dans les catégories (activées par)
Administrateur Sécurité.
323
Clé de licence,
Licence hors ligne ou
Les licences peuvent être distribuées aux produits de sécurité ESET depuis ERA à l'aide de deux tâches :
• Tâche Installer un logiciel
• Tâche Activation du produit
FAQ
Q : Il y a un champ d’informations personnalisées sur le client dans la version 5. Cela permet à nos MSP de
déterminer à qui appartiennent les clients. Cette possibilité existe-t-elle dans la version V6 ?
R : Les groupes dynamiques sont un peu différents (ils sont évalués au niveau de l’agent) et n’autorisent pas la
création de « paramètres personnalisés/d’identification ». Vous pouvez cependant générer un rapport pour afficher
les données client personnalisées.
Q : Comment résoudre l’erreur « Échec de la connexion, état "non connecté" » ?
R : Vérifiez si le service ERA Server ou MS SQL Server est en cours d'exécution. Si ce n'est pas le cas, démarrez-le.
S’il fonctionne, relancez le service, actualisez la console Web puis essayez à nouveau de vous connecter. Pour plus
d'informations, reportez-vous à la section Résolution des problèmes liés à la connexion.
Q : À quoi sert le groupe « Perdu et trouvé » ?
R :Tous les ordinateurs connectés à ERA Server qui ne sont pas membres d’un groupe statique sont
automatiquement affichés dans ce groupe. Vous pouvez travailler avec le groupe et les ordinateurs qui le
composent de la même manière qu’avec les ordinateurs appartenant à n’importe quel autre groupe statique. Ce
groupe peut être renommé ou déplacé dans un autre groupe, mais il ne peut pas être supprimé.
Q : Comment créer un profil de mise à jour double ?
R : Pour obtenir des instructions détaillées, reportez-vous à cet article de la base de connaissances ESET.
Q : Comment actualiser les informations d’une page ou d’une section de la page sans actualiser l’ensemble de la
fenêtre du navigateur ?
324
R : Cliquez sur Rafraîchir dans le menu contextuel situé dans la partie supérieure droite d’une section de la page.
Q : Comment effectuer une installation silencieuse de ERA Agent ?
R : Vous pouvez utiliser un GPO comme script de démarrage à cet effet. À l’heure actuelle, il n’est pas possible
d’effectuer une installation silencieuse depuis la console Web.
Q : Rogue Detection Sensor ne détecte pas tous les clients sur le réseau.
R : RD Sensor écoute passivement les communications réseau sur le réseau. Si les PC ne sont pas en
communication, ils ne sont pas répertoriés par RD Sensor. Vérifiez vos paramètres DNS pour vous assurer que la
communication n’est pas bloquée en raison de problèmes liés à la recherche DNS.
Q : Comment réinitialiser le nombre de menaces actives affichées dans ERA après le nettoyage des menaces ?
R :Pour réinitialiser le nombre de menaces actives, il convient de lancer une analyse complète (approfondie) du ou
des ordinateurs cibles à l’aide d’ERA. Si vous avez nettoyé une menace manuellement, vous pouvez mettre l’alerte
correspondante en mode silence.
Q : Comment configurer une expression CRON pour l’intervalle de connexion d’ERA Agent ?
R : P_REPLICATION_INTERVAL accepte une expression CRON.
La valeur par défaut est « R R/20 * * * ? * » correspondant à des connexions à des secondes aléatoires (R=0-60)
chaque 20e minute aléatoire (par exemple 3, 23, 43 ou 17,37,57). Les valeurs aléatoires doivent être utilisées pour
l’équilibrage de la charge dans le temps. Ainsi, chaque ERA Agent se connecte à une heure aléatoire différente. Si
un CRON précis est utilisé, par exemple « 0 * * * * ? * », tous les agents ainsi paramétrés se connecteront en
même temps (chaque minute à :00 seconde), et il y aura des pics de charge sur le serveur à ce moment. Pour plus
d'informations, reportez-vous à la section Intervalle d'expression CRON.
Q : Comment créer un nouveau groupe dynamique pour un déploiement automatique ?
R : Pour obtenir des instructions détaillées, reportez-vous à cet article de la base de connaissances ESET.
Q : Lorsque j'importe un fichier contenant la liste des ordinateurs à ajouter à ERA, quel format de fichier dois-je
utiliser ?
R : Vous devez utiliser un fichier comportant les lignes suivantes :
Tous\Groupe1\GroupeN\Ordinateur1
Tous\Groupe1\GroupeM\OrdinateurX
Tous est le nom requis pour le groupe racine.
Q : Quels certificats tiers peuvent être utilisés pour signer des certificats ERA ?
R :Le certificat doit être un certificat AC (ou AC intermédiaire) muni de l’indicateur 'keyCertSign' de la contrainte
'keyUsage'. Cela signifie que ce certificat peut être utilisé pour signer d’autres certificats.
Q : Comment puis-je réinitialiser le mot de passe de l’administrateur pour la console Web (il s’agit du mot de
passe saisi pendant la configuration sur les systèmes d’exploitation Windows) ?
R : Il est possible de réinitialiser le mot de passe en exécutant le programme d'installation du serveur et en
choisissant Réparer. Il est possible que vous ayez besoin du mot de passe de la base de données ERA si vous
n'avez pas utilisé l'authentification Windows lors de la création de la base de données.
REMARQUE
vous devez faire attention, car certaines des opérations de réparation peuvent éventuellement entraîner la
suppression des données stockées.
Q : Comment puis-je réinitialiser le mot de passe de l’administrateur pour la console Web (Linux, saisi
pendant la configuration) ?
325
R :S’il existe un autre utilisateur dans ERA disposant des droits suffisants, vous devriez pouvoir réinitialiser le mot
de passe du compte administrateur. Mais si l’administrateur est le seul compte dans le système (il est créé lors de
l’installation), vous ne pouvez pas réinitialiser ce mot de passe.
Réinstallez ERA, recherchez l’entrée de la base de données correspondant au compte Administrateur, et mettez
l’ancienne base de données à jour selon cette entrée. Généralement, la meilleure solution consiste à sauvegarder
les informations d’identification du compte Administrateur dans un endroit sûr et de créer de nouveaux utilisateurs
avec le jeu de privilèges souhaité. Dans l’idéal, le compte Administrateur ne doit pas être utilisé à d’autres fins que
pour la création d’autres utilisateurs ou la réinitialisation de leurs comptes.
Q : Comment résoudre les problèmes si RD Sensor ne détecte rien ?
R : Si votre système d’exploitation est détecté en tant que périphérique réseau, il ne sera pas communiqué à ERA
en tant qu’ordinateur. Les périphériques réseau (imprimantes, routeurs) sont exclus. RD Sensor a été compilé avec
libpcap version 1.3.0, vérifiez que cette version est bien installée sur votre système. La seconde exigence
concerne l’existence d’un réseau ponté depuis la machine virtuelle sur laquelle est installé RD Sensor. Si ces
exigences sont satisfaites, exécutez nmap avec détection du système d’exploitation
(http://nmap.org/book/osdetect-usage.html) pour vérifier si l’OS de votre ordinateur peut être détecté.
Q : Je ne vois aucun élément dans la fenêtre des modèles des groupes dynamiques. Pourquoi ?
R : Il est plus que probable que vos utilisateurs ne disposent pas d'autorisations suffisantes. Les utilisateurs
peuvent voir les modèles uniquement s'ils sont contenus dans un groupe statique pour lequel les utilisateurs se
sont vus attribuer une autorisation Lire pour les modèles de groupe dynamique.
Q : Je ne vois aucune information dans la fenêtre du tableau de bord. Pourquoi ?
R : Il est plus que probable que vos utilisateurs ne disposent pas d'autorisations suffisantes. Pour que les données
soient affichées, les utilisateurs doivent disposer d'autorisations sur les ordinateurs et le tableau de bord.
Reportez-vous à l'exemple de jeu d'autorisations.
À propos d'ESET Remote Administrator
Pour ouvrir la fenêtre À propos de, accédez au menu Aide > À propos de. Cette fenêtre comporte des
informations détaillées sur la version d'ESET Remote Administrator installée, et répertorie les modules du
programme installés. La partie supérieure de la fenêtre comporte des informations sur le système d'exploitation et
les ressources du système. Vous verrez aussi une licence utilisée par ERA pour télécharger les mises à jour des
modules (la même que pour activer ERA).
REMARQUE
Pour obtenir des instructions afin de connaître la version d’un composant ERA, reportez-vous à notre article de la
base de connaissances.
IMPORTANT : Veuillez lire soigneusement les termes et conditions d'application du produit stipulés ci-dessous
avant de télécharger, d'installer, de copier ou d'utiliser le produit. EN TÉLÉCHARGEANT, INSTALLANT,
COPIANT OU UTILISANT LE LOGICIEL, VOUS ACCEPTEZ CES TERMES ET CONDITIONS.
Contrat de Licence pour l'Utilisateur Final du Logiciel.
Selon les termes du présent Contrat de Licence pour l'Utilisateur Final du Logiciel (« Contrat ») signé par et entre
ESET, spol s.r.o., dont le siège social se situe au Einsteinova 24, 851 01 Bratislava, République slovaque, inscrite
au Registre du Commerce du tribunal de Bratislava I. Section Sro, Insertion No 3586/B, numéro d'inscription des
entreprises : 31 333 535 (« ESET » ou « Fournisseur ») et vous, personne physique ou morale, (« vous » ou
« Utilisateur Final »), vous êtes autorisé à utiliser le Logiciel défini à l'article 1 du présent Contrat. Dans le cadre
des modalités indiquées ci-dessous, le Logiciel défini à l'article 1 du présent Contrat peut être enregistré sur un
support de données, envoyé par courrier électronique, téléchargé sur Internet, téléchargé à partir de serveurs du
Fournisseur ou obtenu à partir d'autres sources.
326
CE DOCUMENT N'EST PAS UN CONTRAT D'ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE L'UTILISATEUR FINAL. Le
Fournisseur reste le propriétaire de la copie du Logiciel et du support physique fourni dans l'emballage commercial,
et de toutes les copies du Logiciel que l'Utilisateur Final est autorisé à faire dans le cadre du présent Contrat.
En cliquant sur « J'accepte » lorsque vous téléchargez, installez, copiez ou utilisez le Logiciel, vous acceptez les
termes et conditions du présent Contrat. Si vous n'êtes pas d'accord avec tous les termes et conditions du présent
Contrat, cliquez immédiatement sur l'option d'annulation, annulez le téléchargement ou l'installation, détruisez ou
renvoyez le Logiciel, le support d'installation, la documentation connexe et une facture au Fournisseur ou à
l'endroit où vous avez obtenu le Logiciel.
VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET COMPRIS LE PRÉSENT
CONTRAT ET ACCEPTÉ D'EN RESPECTER LES TERMES ET CONDITIONS.
1. Logiciel. Dans le cadre de ce Contrat, le terme « Logiciel » désigne :
(i) le programme informatique et tous ses composants ;
(ii) l'intégralité du contenu des disques, CD-ROM, DVD, courriers électroniques et pièces jointes, ou d'autre support
fourni avec le présent Contrat, y compris la forme de code objet de Logiciel, fourni sur support de transport de
données, via courrier électronique ou téléchargé sur Internet ;
(iii) tout document écrit explicatif et les autres types de documents liés au Logiciel, notamment toute description
du Logiciel et de ses caractéristiques, toute description des propriétés et du fonctionnement du Logiciel, toute
description de l'environnement de fonctionnement dans lequel le Logiciel est utilisé, les instructions d'utilisation ou
d'installation du Logiciel ou toute description de la manière d'utiliser le Logiciel (« Documentation ») ;
(iv) les copies du Logiciel, les correctifs d'erreurs possibles dans le Logiciel, les ajouts au Logiciel, les extensions du
Logiciel, les versions modifiées du Logiciel et les mises à jour des composants du Logiciel, le cas échéant, qui Vous
sont fournies sous licence par le Fournisseur conformément à l'Article 3 de ce Contrat. Le Logiciel est fourni
exclusivement sous la forme d'un code objet exécutable.
2. Installation, Ordinateur et Clé de licence. Le Logiciel fourni sur un support de données, envoyé par courrier
électronique, téléchargé à partir d'Internet ou de serveurs du Fournisseur ou obtenu à partir d'autres sources
nécessite une installation. Vous devez installer le Logiciel sur un Ordinateur correctement configuré, qui doit au
moins satisfaire les exigences spécifiées dans la Documentation. La méthode d'installation est décrite dans la
Documentation. L'Ordinateur sur lequel le Logiciel sera installé doit être exempt de tout programme ou matériel
susceptible de nuire au bon fonctionnement du Logiciel. Le terme Ordinateur désigne le matériel, notamment les
ordinateurs personnels, ordinateurs portables, postes de travail, ordinateurs de poche, smartphones, appareils
électroniques portatifs ou autres appareils électroniques, pour lequel le Logiciel a été conçu et sur lequel il sera
installé et/ou utilisé. Le terme Clé de licence désigne la séquence unique de symboles, lettres, chiffres ou signes
spéciaux fournie à l'Utilisateur Final afin d'autoriser l'utilisation légale du Logiciel, de sa version spécifique ou de
l'extension de la durée de la Licence conformément au présent Contrat.
3. Licence. Sous réserve que vous ayez accepté les termes du présent Contrat et que vous respectiez tous les
termes et conditions stipulés dans le présent Contrat, le Fournisseur vous accorde les droits suivants (« Licence ») :
a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable d'installer le Logiciel sur le
disque dur d'un ordinateur ou sur un support similaire de stockage permanent de données, d'installer et de stocker
le Logiciel dans la mémoire d'un système informatique et d'exécuter, de stocker et d'afficher le Logiciel.
b) Précision du nombre de licences. Le droit d'utiliser le Logiciel est lié au nombre d'Utilisateurs Finaux. On
entend par « Utilisateur Final » : (i) l'installation du Logiciel sur un seul système informatique, ou (ii) si l'étendue de
la Licence est liée au nombre de boîtes aux lettres, un Utilisateur Final désigne un utilisateur d'ordinateur qui reçoit
un courrier électronique par le biais d'un client de messagerie. Si le client de messagerie accepte du courrier
électronique et le distribue automatiquement par la suite à plusieurs utilisateurs, le nombre d'Utilisateurs Finaux
doit être déterminé en fonction du nombre réel d'utilisateurs auxquels le courrier électronique est distribué. Si un
serveur de messagerie joue le rôle de passerelle de courriel, le nombre d'Utilisateurs Finaux est égal au nombre de
serveurs de messagerie pour lesquels la passerelle fournit des services. Si un certain nombre d'adresses de
messagerie sont affectées à un seul et même utilisateur (par l'intermédiaire d'alias) et que ce dernier les accepte
327
et si les courriels ne sont pas distribués automatiquement du côté du client à d'autres utilisateurs, la Licence n'est
requise que pour un seul ordinateur. Vous ne devez pas utiliser la même Licence au même moment sur plusieurs
ordinateurs. L'Utilisateur Final n'est autorisé à saisir la Clé de licence du Logiciel que dans la mesure où il a le droit
d'utiliser le Logiciel conformément à la limite découlant du nombre de licences accordées par le Fournisseur. La Clé
de licence est confidentielle. Vous ne devez pas partager la Licence avec des tiers ni autoriser des tiers à utiliser la
Clé de licence, sauf si le présent Contrat ou le Fournisseur le permet. Si votre Clé de licence est endommagée,
informez-en immédiatement le Fournisseur.
c) Version Business Edition. Une version Business Edition du Logiciel est requise pour utiliser le Logiciel sur des
serveurs de courrier, relais de courrier, passerelles de courrier ou passerelles Internet.
d) Durée de la Licence. Le droit d'utiliser le Logiciel est limité dans le temps.
e) Logiciel acheté à un fabricant d'équipement informatique. La Licence du Logiciel acheté à un fabricant
d'équipement informatique ne s'applique qu'à l'ordinateur avec lequel vous l'avez obtenu. Elle ne peut pas être
transférée à un autre ordinateur.
f) Version d'évaluation ou non destinée à la revente. Un Logiciel classé comme non destiné à la revente ou
comme version d'évaluation ne peut pas être vendu et ne doit être utilisé qu'aux fins de démonstration ou
d'évaluation des caractéristiques du Logiciel.
g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour laquelle elle a été
accordée. Si vous ne respectez pas les dispositions du présent Contrat, le Fournisseur est en droit de mettre fin au
Contrat, sans renoncer à tout droit ou recours juridique ouvert au Fournisseur dans de tels cas. En cas d'annulation
du présent Contrat, vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le Logiciel et toutes les
copies de sauvegarde à ESET ou à l'endroit où vous avez obtenu le Logiciel. Lors de la résiliation de la Licence, le
Fournisseur est en droit de mettre fin au droit de l'Utilisateur final à l'utilisation des fonctions du Logiciel, qui
nécessitent une connexion aux serveurs du Fournisseur ou à des serveurs tiers.
4. Fonctions avec des exigences en matière de connexion Internet et de collecte de données. Pour
fonctionner correctement, le Logiciel nécessite une connexion Internet et doit se connecter à intervalles réguliers
aux serveurs du Fournisseur ou à des serveurs tiers et collecter des données en conformité avec la Politique de
confidentialité. Une connexion Internet et une collecte de données sont requises pour les fonctions suivantes du
Logiciel :
a) Mises à jour du Logiciel. Le Fournisseur est autorisé à publier des mises à jour du Logiciel (« Mises à jour »)
de temps à autre, mais n'en a pas l'obligation. Cette fonction est activée dans la configuration standard du
Logiciel ; les Mises à jour sont donc installées automatiquement, sauf si l'Utilisateur Final a désactivé l'installation
automatique des Mises à jour. Pour la mise à disposition de Mises à jour, une vérification de l'authenticité de la
Licence est requise. Elle comprend notamment la collecte d'informations sur l'Ordinateur et/ou la plate-forme sur
lesquels le Logiciel est installé, en conformité avec la Politique de confidentialité.
b) Transfert des Informations au Fournisseur. Le Logiciel contient des fonctions qui collectent des données
sur le processus d'installation, l'Ordinateur ou la plate-forme hébergeant le Logiciel, des informations sur les
opérations et fonctions du Logiciel et des informations sur les périphériques administrés (« Informations »), puis les
envoient au Fournisseur. Les Informations peuvent contenir des données (notamment des données personnelles
obtenues aléatoirement ou accidentellement) sur les périphériques administrés. Si vous activez cette fonction du
Logiciel, les Informations peuvent être collectées et traitées par le Fournisseur, comme stipulé dans la Politique de
confidentialité et conformément aux réglementations en vigueur.Le Logiciel requiert un composant installé sur
l'ordinateur administré qui permet le transfert des informations entre l'ordinateur administré et le logiciel
d'administration à distance. Les informations, qui sont sujettes au transfert, contiennent des données
d'administration telles que des informations sur le matériel et les logiciels de l'ordinateur administré ainsi que des
instructions d'administration provenant du logiciel d'administration à distance. Le contenu des autres données
transférées depuis l'ordinateur administré doit être déterminé par les paramètres du logiciel installé sur
l'ordinateur administré. Le contenu des instructions du logiciel d'administration doit être déterminé par les
paramètres du logiciel d'administration à distance.
Aux fins du présent Contrat, il est nécessaire de collecter, traiter et stocker des données permettant au
Fournisseur de vous identifier conformément à la Politique de confidentialité. Vous acceptez que le Fournisseur
328
vérifie à l'aide de ses propres moyens si vous utilisez le Logiciel conformément aux dispositions du présent
Contrat. Vous reconnaissez qu'aux fins du présent Contrat, il est nécessaire que vos données soient transférées
pendant les communications entre le Logiciel et les systèmes informatiques du Fournisseur ou de ceux de ses
partenaires commerciaux, dans le cadre du réseau de distribution et de support du Fournisseur, afin de garantir les
fonctionnalités du Logiciel, l'autorisation d'utiliser le Logiciel et la protection des droits du Fournisseur.
Après la conclusion du présent Contrat, le Fournisseur et ses partenaires commerciaux, dans le cadre du réseau de
distribution et de support du Fournisseur, sont autorisés à transférer, à traiter et à stocker des données
essentielles vous identifiant, aux fins de facturation, d'exécution du présent Contrat et de transmission de
notifications sur votre Ordinateur. Vous acceptez de recevoir des notifications et des messages, notamment des
informations commerciales.
Des informations détaillées sur la vie privée, la protection des données personnelles et Vos droits en
tant que personne concernée figurent dans la Politique de confidentialité, disponible sur le site Web
du Fournisseur et directement accessible à partir de l'installation. Vous pouvez également la
consulter depuis la section d'aide du Logiciel.
5. Exercice des droits de l'Utilisateur Final. Vous devez exercer les droits de l'Utilisateur Final en personne ou
par l'intermédiaire de vos employés. Vous n'êtes autorisé à utiliser le Logiciel que pour assurer la sécurité de vos
opérations et protéger les Ordinateurs ou systèmes informatiques pour lesquels vous avez obtenu une Licence.
6. Restrictions des droits. Vous ne pouvez pas copier, distribuer, extraire des composants ou créer des travaux
dérivés basés sur le Logiciel. Vous devez respecter les restrictions suivantes lorsque vous utilisez le Logiciel :
(a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de stockage permanent, à
condition que cette copie de sauvegarde archivée ne soit pas installée ni utilisée sur un autre ordinateur. Toutes
les autres copies que vous pourriez faire du Logiciel seront considérées comme une violation du présent Contrat.
(b) Vous n'êtes pas autorisé à utiliser, modifier, traduire, reproduire ou transférer les droits d'utilisation du Logiciel
ou des copies du Logiciel d'aucune manière autre que celles prévues dans le présent Contrat.
(c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou utiliser le Logiciel pour
offrir des services commerciaux.
(d) Vous ne pouvez pas rétroconcevoir, décompiler ou désassembler le Logiciel ni tenter de toute autre façon de
découvrir le code source du Logiciel, sauf dans la mesure où cette restriction est expressément interdite par la loi.
(e) Vous acceptez de n'utiliser le Logiciel que de façon conforme à toutes les lois applicables de la juridiction dans
laquelle vous utilisez le Logiciel, notamment les restrictions applicables relatives aux droits d'auteur et aux droits
de propriété intellectuelle.
(f) Vous acceptez de n'utiliser le Logiciel et ses fonctions que de façon à ne pas entraver la possibilité des autres
Utilisateurs Finaux à accéder à ces services. Le Fournisseur se réserve le droit de limiter l'étendue des services
fournis à chacun des Utilisateurs Finaux, pour permettre l'utilisation des services au plus grand nombre possible
d'Utilisateurs Finaux. Le fait de limiter l'étendue des services implique aussi la résiliation totale de la possibilité
d'utiliser toute fonction du Logiciel ainsi que la suppression des Données et des informations présentes sur les
serveurs du Fournisseur ou sur des serveurs tiers, qui sont afférentes à une fonction particulière du Logiciel.
(g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la Clé de licence, qui soit contraire aux
termes du présent Contrat, ou conduisant à fournir la Clé de licence à toute personne n'étant pas autorisée à
utiliser le logiciel (comme le transfert d'une Clé de licence utilisée ou non utilisée ou la distribution de Clés de
licence dupliquées ou générées ou l'utilisation du Logiciel suite à l'emploi d'une Clé de licence obtenue d'une
source autre que le Fournisseur).
7. Droit d'auteur. Le Logiciel et tous les droits inclus, notamment les droits d'auteur et les droits de propriété
intellectuelle sont la propriété d'ESET et/ou de ses concédants de licence. ESET est protégée par les dispositions
des traités internationaux et par toutes les lois nationales applicables dans le pays où le Logiciel est utilisé. La
structure, l'organisation et le code du Logiciel sont des secrets commerciaux importants et des informations
confidentielles appartenant à ESET et/ou à ses concédants de licence. Vous n'êtes pas autorisé à copier le Logiciel,
329
sauf dans les exceptions précisées en 6 (a). Toutes les copies que vous êtes autorisé à faire en vertu du présent
Contrat doivent contenir les mentions relatives aux droits d'auteur et de propriété qui apparaissent sur le Logiciel.
Si vous rétroconcevez, décompilez ou désassemblez le Logiciel ou tentez de toute autre façon de découvrir le code
source du Logiciel, en violation des dispositions du présent Contrat, vous acceptez que les données ainsi obtenues
doivent être automatiquement et irrévocablement transférées au Fournisseur dans leur totalité, dès que de telles
données sont connues, indépendamment des droits du Fournisseur relativement à la violation du présent Contrat.
8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à l'exception des droits qui
vous sont expressément garantis en vertu des termes du présent Contrat en tant qu'Utilisateur Final du Logiciel.
9. Versions multilingues, logiciel sur plusieurs supports, copies multiples. Si le Logiciel est utilisé sur
plusieurs plateformes et en plusieurs langues, ou si vous recevez plusieurs copies du Logiciel, vous ne pouvez
utiliser le Logiciel que pour le nombre de systèmes informatiques ou de versions pour lesquels vous avez obtenu
une Licence. Vous ne pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des
versions ou des copies du Logiciel que vous n'utilisez pas.
10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en acceptez les modalités.
Vous pouvez résilier ce Contrat à tout moment en désinstallant de façon permanente, détruisant et renvoyant, à
vos frais, le Logiciel, toutes les copies de sauvegarde et toute la documentation associée remise par le Fournisseur
ou ses partenaires commerciaux. Quelle que soit la façon dont ce Contrat se termine, les dispositions énoncées
aux articles 7, 8, 11, 13, 19 et 21 continuent de s'appliquer pour une durée illimitée.
11. DÉCLARATIONS DE L'UTILISATEUR FINAL. EN TANT QU'UTILISATEUR FINAL, VOUS RECONNAISSEZ QUE LE
LOGICIEL EST FOURNI « EN L'ÉTAT », SANS AUCUNE GARANTIE D'AUCUNE SORTE, QU'ELLE SOIT EXPRESSE OU
IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE
LICENCE, NI SES FILIALES, NI LES DÉTENTEURS DE DROIT D'AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION OU
N'ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE VENTE, DE
CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE LOGICIEL NE PORTE PAS ATTEINTE À DES
BREVETS, DROITS D'AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR NI
AUCUN AUTRE TIERS NE GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE LE
FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D'ERREURS. VOUS ASSUMEZ L'ENTIÈRE
RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L'OBTENTION DES RÉSULTATS ESCOMPTÉS ET
POUR L'INSTALLATION, L'UTILISATION ET LES RÉSULTATS OBTENUS.
12. Aucune obligation supplémentaire. À l'exception des obligations mentionnées explicitement dans le
présent Contrat, aucune obligation supplémentaire n'est imposée au Fournisseur et à ses concédants de licence.
13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE
FOURNISSEUR, SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE SERONT EN AUCUN CAS TENUS POUR
RESPONSABLES D'UNE QUELCONQUE PERTE DE PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS
D'OBTENTION DE BIENS OU SERVICES DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE,
INTERRUPTION D'ACTIVITÉ, PERTE DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT,
FORTUIT, ÉCONOMIQUE, DE GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU'EN SOIT LA CAUSE ET QUE
CE DOMMAGE DÉCOULE D'UNE RESPONSABILITÉ CONTRACTUELLE, DÉLICTUELLE OU D'UNE NÉGLIGENCE OU DE
TOUTE AUTRE THÉORIE DE RESPONSABILITÉ, LIÉE À L'INSTALLATION, À L'UTILISATION OU À L'IMPOSSIBILITÉ
D'UTILISER LE LOGICIEL, MÊME SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE
L'ÉVENTUALITÉ D'UN TEL DOMMAGE. CERTAINS PAYS ET CERTAINES LOIS N'AUTORISANT PAS L'EXCLUSION DE
RESPONSABILITÉ, MAIS AUTORISANT LA LIMITATION DE RESPONSABILITÉ, LA RESPONSABILITÉ DU FOURNISSEUR,
DE SES EMPLOYÉS OU DE SES CONCÉDANTS DE LICENCE SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR
LA LICENCE.
14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de toute partie agissant
comme client si l'exécution y est contraire.
15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance technique à leur
discrétion, sans garantie ni déclaration solennelle. L'Utilisateur Final devra peut-être sauvegarder toutes les
données, logiciels et programmes existants avant que l'assistance technique ne soit fournie. ESET et/ou les tiers
mandatés par ESET ne seront en aucun cas tenus responsables d'un quelconque dommage ou d'une quelconque
perte de données, de biens, de logiciels ou de matériel, ou d'une quelconque perte de profit en raison de la
330
fourniture de l'assistance technique. ESET et/ou les tiers mandatés par ESET se réservent le droit de décider si
l'assistance technique couvre la résolution du problème. ESET se réserve le droit de refuser, de suspendre
l'assistance technique ou d'y mettre fin à sa discrétion. Des informations de licence, d'autres informations et des
données conformes à la Politique de confidentialité peuvent être requises en vue de fournir une assistance
technique.
16. Transfert de Licence. Le Logiciel ne peut pas être transféré d'un système informatique à un autre, à moins
d'une précision contraire dans les modalités du présent Contrat. L'Utilisateur Final n'est autorisé qu'à transférer de
façon définitive la Licence et tous les droits accordés par le présent Contrat à un autre Utilisateur Final avec
l'accord du Fournisseur, si cela ne s'oppose pas aux modalités du présent Contrat et dans la mesure où (i)
l'Utilisateur Final d'origine ne conserve aucune copie du Logiciel ; (ii) le transfert des droits est direct, c'est-à-dire
qu'il s'effectue directement de l'Utilisateur Final original au nouvel Utilisateur Final ; (iii) le nouvel Utilisateur Final
assume tous les droits et devoirs de l'Utilisateur Final d'origine en vertu du présent Contrat ; (iv) l'Utilisateur Final
d'origine transmet au nouvel Utilisateur Final toute la documentation permettant de vérifier l'authenticité du
Logiciel, conformément à l'article 17.
17. Vérification de l'authenticité du Logiciel. L'Utilisateur final peut démontrer son droit d'utiliser le Logiciel de
l'une des façons suivantes : (i) au moyen d'un certificat de licence émis par le Fournisseur ou un tiers mandaté par
le Fournisseur ; (ii) au moyen d'un contrat de licence écrit, si un tel contrat a été conclu ; (iii) en présentant un
courrier électronique envoyé au Fournisseur contenant tous les renseignements sur la licence (nom d'utilisateur et
mot de passe). Des informations de licence et des données d'identification de l'Utilisateur Final conformes à la
Politique de confidentialité peuvent être requises en vue de vérifier l'authenticité du Logiciel.
18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel est fourni aux
pouvoirs publics, y compris le gouvernement des États-Unis, avec les droits de Licence et les restrictions
mentionnés dans le présent Contrat.
19. Contrôle à l'exportation et à la réexportation. Le Logiciel, la Documentation ou leurs parties, y compris
les informations sur le Logiciel ou ses composants, seront soumis aux mesures sur le contrôle des importations et
des exportations conformément aux réglementations légales qui peuvent être publiées par les gouvernements
compétents à ce sujet, en vertu de la loi applicable, y compris les règlements relatifs à l'administration des
exportations des États-Unis, ainsi que les restrictions relatives aux utilisateurs finaux, à l'utilisation finale et à la
destination émises par le gouvernement des États-Unis et les autres gouvernements. Vous acceptez de vous
conformer strictement à tous les règlements d'importation et d'exportation applicables et de reconnaître que vous
pourrez être tenu responsable de l'obtention des licences pour l'exportation, la réexportation, le transfert ou
l'importation du Logiciel.
20. Avis. Tous les avis, les renvois du Logiciel et la documentation doivent être adressés à : ESET, spol. s r. o.
Einsteinova 24, 851 01 Bratislava, République Slovaque.
21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et interprété conformément à
celle-ci. L'Utilisateur Final et le Fournisseur conviennent que les principes relatifs aux conflits de la loi applicable et
la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s'appliquent pas.
Vous acceptez expressément que le tribunal de Bratislava I. arbitre tout litige ou conflit avec le Fournisseur ou en
relation avec votre utilisation du Logiciel, et vous reconnaissez expressément que le tribunal a la juridiction pour
de tels litiges ou conflits.
22. Dispositions générales. Si une disposition du présent Contrat s'avère nulle et inopposable, cela n'affectera
pas la validité des autres dispositions du présent Contrat. Ces dispositions resteront valables et opposables en
vertu des conditions stipulées dans le présent Contrat. Le présent Contrat ne pourra être modifié que par un
avenant écrit et signé par un représentant autorisé du Fournisseur ou une personne expressément autorisée à agir
à ce titre en vertu d'un contrat de mandat.
Ceci constitue le Contrat total entre le Fournisseur et vous relativement au Logiciel et remplace l'ensemble des
précédentes déclarations, discussions, promesses, communications ou publicités concernant le Logiciel.
331
Politique de confidentialité
ESET, spol. s r.o., dont le siège social est établi au Einsteinova 24, 851 01 Bratislava, Slovaquie, enregistrée au
registre du commerce géré par le Tribunal de district de Bratislava I, Section Sro, Entrée No 3586/B, Numéro
d'identification de l'entreprise 31 333 535, en tant que Contrôleur des données (« ESET » ou « Nous ») souhaite
faire preuve de transparence en ce qui concerne le traitement des données personnelles et la confidentialité des
clients. Pour cela, Nous publions cette Politique de confidentialité dans le seul but d'informer notre client
(« Utilisateur Final » ou « Vous ») sur les sujets suivants :
-Traitement des données personnelles,
-Confidentialité des données,
-Droits des personnes concernées.
Traitement des données personnelles
Les services ESET qui sont implémentés dans le produit installé localement sont fournis selon les termes du
Contrat de Licence de l'Utilisateur Final (« CLUF »), mais certains d'entre eux peuvent nécessiter une attention
particulière. Nous souhaitons Vous donner plus de détails sur le traitement des données lié à la fourniture de nos
produits et services. Nous proposons différents services qui sont décrits dans le CLUF et la documentation, tels que
la gestion des produits de sécurité ESET. Pour que tous ces services soient fonctionnels, Nous devons collecter :
-des informations concernant l'installation, notamment la plate-forme sur laquelle notre produit est installé, et
des informations sur les opérations et fonctionnalités de nos produits (empreinte matérielle, identifiants
d'installation, vidages sur incident, identifiants de licence, adresse IP, adresse MAC, paramètres de configuration
du produit qui peuvent également inclure les périphériques administrés) ;
-des informations de licence, telles que l'identifiant de la licence, et des données personnelles comme le nom, le
prénom, l'adresse, l'adresse e-mail sont nécessaires pour la facturation, la vérification de l'authenticité de la
licence et la fourniture de nos services ;
-des coordonnées et des données contenues dans vos demandes d'assistance peuvent être requises pour fournir
le service d'assistance. Selon le canal que Vous choisissez pour nous contacter, Nous pouvons collecter votre
adresse e-mail, votre numéro de téléphone, des informations sur la licence, des détails sur le produit et la
description de votre demande d'assistance. Nous pouvons Vous demander de nous fournir d'autres informations
pour faciliter la fourniture du service d'assistance, comme des fichiers journaux générés.
-Les données concernant l'utilisation de notre service sont entièrement anonymes à la fin de la session. Aucune
information personnellement identifiable n'est stockée après la fin de la session.
La gestion des produits de sécurité ESET requiert les informations suivantes et les stocke localement : ID et nom
du siège, nom du produit, informations sur la licence, informations sur l'activation et l'expiration, informations
matérielles et logicielles concernant l'ordinateur administré avec le produit de sécurité ESET installé. Les journaux
relatifs aux activités des produits de sécurité ESET et des périphériques administrés sont collectés et disponibles
afin de faciliter la gestion et la supervision des fonctionnalités et des services sans soumission automatique à
ESET.
Confidentialité des données
ESET est une entreprise présente dans le monde entier par le biais d'entités affiliées et de partenaires du réseau
de distribution, de service et d'assistance ESET. Les informations traitées par ESET peuvent être transférées depuis
et vers les entités affiliées ou les partenaires pour l'exécution du CLUF (pour fourniture de services, l'assistance ou
la facturation, par exemple). Il est possible que Nous devions transférer vos données vers un pays en l'absence de
décision d'adéquation de la Commission européenne. Même dans ce cas, chaque transfert d'informations est
soumis à la législation en matière de protection des données et n'est effectué que si cela s'avère nécessaire. Un
mécanisme de protection de la confidentialité, des clauses contractuelles standard, des règles d'entreprise
contraignantes ou toute autre protection adéquate doivent être mis en place, sans aucune exception.
332
Nous faisons tout notre possible pour éviter que les données soient stockées plus longtemps que nécessaire, tout
en fournissant les produits et services en vertu du CLUF. Notre période de rétention peut être plus longue que la
durée de validité de votre licence, pour vous donner le temps d'effectuer votre renouvellement. Des statistiques
réduites et rendues anonymes et d'autres données anonymes peuvent être traitées ultérieurement à des fins
statistiques.
ESET met en place des mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité
adapté aux risques potentiels. Nous faisons tout notre possible pour garantir la confidentialité, l'intégrité, la
disponibilité et la résilience constantes des systèmes et des services de traitement. Toutefois, en cas de violation
de données entraînant un risque pour vos droits et libertés, Nous sommes prêts à informer l'autorité de contrôle
ainsi que les personnes concernées. La personne titulaire des données a le droit de déposer une plainte auprès
d'une autorité de contrôle.
Droits des personnes concernées
ESET est soumise à la réglementation des lois slovaques et est tenue de respecter la législation en matière de
protection des données de l'Union européenne. Chaque personne concernée se voit conférer les droits suivants :
-droit de demander l'accès à ses données personnelles auprès d'ESET,
-droit à la rectification de ses données personnelles si elles sont inexactes (Vous avez également le droit de
compléter les données personnelles incomplètes),
-droit de demander l'effacement de ses données personnelles,
-droit de demander de restreindre le traitement de ses données personnelles,
-droit de s'opposer au traitement et
-droit à la portabilité des données.
Nous pensons que toutes les informations que nous traitons sont utiles et nécessaires pour fournir les services et
produits à nos clients.
Si Vous souhaitez exercer votre droit en tant que personne concernée ou si vous avez une question ou une
inquiétude, envoyez-nous un message à l'adresse suivante :
ESET, spol. s r.o.
Data Protection Officer
Einsteinova 24
85101 Bratislava
République slovaque
[email protected]
333
">