Paramètres de la stratégie de l'Agent d'administration
Tout développer | Tout réduire
Pour configurer les paramètres de la stratégie de l'Agent d'administration, procédez comme suit :
- Dans le menu principal, accédez à Ressources (Appareils) → Stratégies et profils.
- Cliquez sur le nom de la stratégie de l'Agent d'administration.
La fenêtre des propriétés de la stratégie de l'Agent d'administration s'ouvre.
N'oubliez pas que pour les appareils Windows, macOS et Linux, différents paramètres sont disponibles.
Onglet Général
Sur cet onglet, vous avez la possibilité de modifier l'état de la stratégie et de configurer l'héritage des paramètres de la stratégie :
- Le groupe État de la stratégie permet de sélectionner l'un des modes de stratégie :
- Active
- Inactif
Si cette option a été sélectionnée, la stratégie devient inactive, mais elle est conservée dans le dossier Stratégies. Elle pourra être activée en fonction des besoins.
- Le groupe de paramètres Héritage des paramètres permet de configurer l'héritage de la stratégie :
- Hériter les paramètres de la stratégie parent
Si cette option est activée, les valeurs des paramètres de la stratégie sont héritées depuis la stratégie du groupe de niveau supérieur et sont verrouillées.
Cette option est activée par défaut.
- Imposer l'héritage des paramètres aux stratégies enfants
Une fois que les modifications dans la stratégie sont appliquées, les opérations suivantes sont exécutées :
- Les valeurs des paramètres de la stratégie seront diffusées dans les stratégies des sous-groupes d'administration, dans les stratégies enfant.
- Dans le bloc Héritage des paramètres de la section Général de la fenêtre des propriétés de chaque stratégie enfant, la case Hériter des paramètres de la stratégie parent est automatiquement cochée.
Quand la case est cochée, les valeurs des paramètres des stratégies enfants sont verrouillées.
Cette option est Inactif par défaut.
Onglet Configuration des événements
Cet onglet permet de configurer l'enregistrement des événements dans le journal et les notifications relatives à ces derniers. Les événements sont répartis par niveau d'importance dans les sections suivantes de l'onglet Configuration des événements :
- Erreur de fonctionnement
- Avertissement
- Information
Dans chaque section, la liste de types d'événements reprend les types d'événements et la condition de stockage par défaut sur le Serveur d'administration (en jours). Le bouton Propriétés permet de définir les paramètres d'enregistrement des événements dans le journal et de notification des événements sélectionnés dans la liste. Par défaut, les paramètres de notification courants spécifiés pour l'ensemble du serveur d'administration servent pour tous les types d'événements. Cependant, vous pouvez modifier des paramètres spécifiques aux types d'événements requis.
Onglet Paramètres de l'application
Paramètres
La section Paramètres vous permet de configurer les paramètres de la stratégie de l'Agent d'administration :
- Distribuer les fichiers uniquement via les points de distribution
Si cette option est activée, les appareils clients reçoivent les mises à jour uniquement via les points de distribution, et non directement sur les serveurs de mises à jour.
Si cette option est désactivée, les appareils clients peuvent récupérer les mises à jour de différentes sources : directement à partir des serveurs de mises à jour, d'un dossier local ou réseau.
Cette option est Inactif par défaut.
- Taille maximale de la file d'attente d'événements (Mo)
- &L'application est autorisée à récupérer des données étendues de stratégie sur l'appareil
L'Agent d'administration installé sur un appareil administré transfère des informations sur la stratégie d'application de sécurité appliquée à l'application de sécurité (par exemple, Kaspersky Endpoint Security for Windows). Vous pouvez afficher les informations transférées dans l'interface de l'application de sécurité.
L'Agent d'administration transfère les informations suivantes :
- Protéger le service de l'Agent &d'administration contre la suppression ou l'arrêt non autorisé et empêcher la modification des paramètres
Lorsque cette option est activée, après l'installation de l'Agent d'administration sur un appareil administré, le module ne peut pas être supprimé ou reconfiguré sans les privilèges requis. Il est impossible d'arrêter le service de l'Agent d'administration. Cette option n'a aucun effet sur les contrôleurs de domaine.
Activez cette option pour protéger l'Agent d'administration sur les postes de travail exploités avec des privilèges d'administrateur local.
Cette option est Inactif par défaut.
- Utiliser un mot de passe de désinstallation
Si cette option est activée, à l'aide du bouton Modifier vous pouvez indiquer le mot de passe pour l'utilitaire klmover et la désinstallation à distance de l'Agent d'administration.
Notez que l'utilitaire klmover est utilisé uniquement pour déplacer des appareils administrés sous la gestion d'un Serveur d'administration virtuel.
Cette option est Inactif par défaut.
Stockages
La section Stockages permet de sélectionner les types des objets dont les informations seront envoyées sur le Serveur d'administration par l'Agent d'administration. Si la stratégie de l'Agent d'administration bloque la modification ce certains paramètres de cette section, vous ne pouvez pas modifier ceux-ci :
- Détails sur les applications installées
- Inclut les informations sur les correctifs
Les informations sur les correctifs des applications installées sur les appareils clients sont envoyées au Serveur d'administration. L'activation de cette option peut augmenter la charge sur le Serveur d'administration et le SGBD, et causer une augmentation du volume de la base de données.
Cette option est activée par défaut. Il est disponible uniquement pour Windows.
- Détails sur les mises à jour Windows Update
Si cette option est activée, les informations sur les mises à jour Microsoft Windows qui doivent être installées sur les appareils clients sont envoyées au Serveur d'administration.
Parfois, même si l'option est désactivée, les mises à jour sont affichées dans les propriétés de l'appareil dans la section Mises à jour disponibles. Cela peut se produire si, par exemple, les appareils de l'organisation présentent des vulnérabilités qui pourraient être corrigées par ces mises à jour.
Cette option est activée par défaut. Il est disponible uniquement pour Windows.
- Détails sur les vulnérabilités dans les applications et les mises à jour correspondantes
Si cette option est activée, les informations sur les vulnérabilités dans les applications tierces (y compris les logiciels Microsoft), détectées sur les appareils administrés, et sur les mises à jour du logiciel destinées à corriger les vulnérabilités dans les applications tierces (à l'exception des logiciels Microsoft) sont envoyées au Serveur d'administration.
La sélection de cette option (Détails sur les vulnérabilités dans les applications et les mises à jour correspondantes) augmente la charge du réseau, la charge du disque du Serveur d'administration et la consommation des ressources de l'Agent d'administration.
Cette option est activée par défaut. Il est disponible uniquement pour Windows.
Pour administrer les mises à jour des logiciels Microsoft, utilisez l'option Détails sur les mises à jour Windows Update.
- Informations sur le registre du matériel
Mises à jour et vulnérabilités du logiciel
La section Mises à jour et vulnérabilités du logiciel permet de configurer la recherche des mises à jour Windows et de rechercher les vulnérabilités parmi les fichiers exécutables. Les paramètres dans la section Mises à jour et vulnérabilités du logiciel sont disponibles uniquement sur les appareils sous Windows :
- Le groupe de paramètres Mode de recherche des mises à jour Windows Update permet de sélectionner le mode de recherche des mises à jour :
- Actif
Si cette option a été sélectionnée, le Serveur d'administration à l'aide de l'Agent d'administration initie la demande de l'Agent de mises à jour Windows sur l'appareil client à la source des mises à jour : Windows Update Servers or WSUS. Ensuite, l'Agent d'administration transmet sur le Serveur d'administration les informations obtenues en provenance de l'Agent de mises à jour Windows.
L'option ne prend effet que si l'option Se connecter au serveur de mise à jour pour mettre à jour les données de la tâche Recherche de vulnérabilités et de mises à jour requises est sélectionnée.
Cette option est sélectionnée par défaut.
- Passif
Si cette option a été sélectionnée, l'Agent d'administration transmet périodiquement sur le Serveur d'administration les informations sur les mises à jour obtenues lors de la dernières synchronisation de l'Agent de mises à jour Windows avec la source des mises à jour. Si la synchronisation de l'Agent de mises à jour Windows avec la source des mises à jour n'est pas exécutée, les données sur les mises à jour sur le Serveur d'administration vieillissent.
Sélectionnez cette option si vous souhaitez obtenir des mises à jour à partir du cache mémoire de la source des mises à jour.
- Désactivé
Si cette option a été sélectionnée, le Serveur d'administration ne formule aucune requête d'informations sur les mises à jour.
Sélectionnez cette option si, par exemple, vous souhaitez d'abord tester les mises à jour sur votre appareil local.
- Analyser les fichiers exécutables à la recherche de vulnérabilités lors du lancement
Si cette option est activée, lors du lancement des fichiers exécutables, leur analyse sur la présence des vulnérabilités est exécutée.
Cette option est Inactif par défaut.
Administration du redémarrage
Dans la section Administration du redémarrage, vous pouvez définir l'action à exécuter si le système d'exploitation d'un appareil administré doit être redémarré en vue d'une utilisation, d'une installation ou une désinstallation correctes d'une application. Les paramètres de la section Administration du redémarrage sont disponibles uniquement sur les appareils sous Windows :
- Ne pas redémarrer le système d'exploitation
Les appareils clients ne redémarrent pas automatiquement après l'opération. Pour arrêter le fonctionnement, il faut redémarrer l'appareil (par exemple, manuellement ou à l'aide d'une tâche d'administration des appareils). Les informations sur la nécessité du redémarrage sont enregistrées dans les résultats de la tâche et dans l'état de l'appareil. Cette option convient aux tâches d' sur les serveurs et autres appareils pour lesquels la continuité des opérations est critique.
- Redémarrer le système d'exploitation automatiquement si nécessaire
Dans ce cas, le redémarrage des appareils clients est toujours exécuté automatiquement, si celui-ci est requis pour terminer l'opération. Cette option convient aux tâches d' sur des appareils pour lesquels des interruptions périodiques sont admises (débranchement, redémarrage).
- Confirmer l'action auprès de l'utilisateur
Le message qui signale que l'appareil client doit être redémarré manuellement s'affiche sur l'écran de l'appareil. Pour cette option, il est possible de configurer des paramètres avancés : le texte du message pour l'utilisateur, la fréquence du message, ainsi que le délai à l'issue duquel le redémarrage sera forcé (sans confirmation de l'utilisateur). Cette option convient le mieux pour les postes de travail sur lesquels les utilisateurs doivent pouvoir sélectionner l'heure de redémarrage qui leur convient le mieux.
Cette option est sélectionnée par défaut.
- Fréquence de rappel de la nécessité de réaliser l'installation (min.)
Quand cette option est activée, l'application invite l'utilisateur à redémarrer le système d'exploitation selon la fréquence indiquée.
Cette option est activée par défaut. L'intervalle par défaut est de 5 minutes. La valeur peut être comprise entre 1 et 1 440 minutes.
Si cette option est désactivée, l'invite est affichée une seule fois.
- Forcer le redémarrage au bout de (min.)
Après avoir averti l'utilisateur, l'application force le redémarrage du système d'exploitation à l'issue de l'intervalle défini.
Cette option est activée par défaut. Le délai par défaut est de 30 minutes. La valeur peut être comprise entre 1 et 1 440 minutes.
- Forcer la fermeture des applications dans les sessions bloquées
Les applications en cours d'exécution peuvent empêcher le redémarrage de l'appareil client. Par exemple, si un document est en train d'être modifié dans un logiciel de traitement de texte et qu'il n'est pas enregistré, l'application n'autorise pas le redémarrage de l'appareil.
Quand cette option est activée, l'arrêt forcé de ces applications sur un appareil verrouillé doit avoir lieu avant de pouvoir redémarrer l'appareil. Les utilisateurs pourraient perdre toute modification qui n'a pas été enregistrée à ce moment.
Si cette option est désactivée, un appareil verrouillé n'est pas redémarré. L'état de la tâche sur cet appareil indique qu'il faut redémarrer l'appareil. Les utilisateurs doivent quitter manuellement toutes les applications en cours d'exécution sur les appareils verrouillés, puis redémarrer ces appareils.
Cette option est Inactif par défaut.
Partage du bureau Windows
La section Partage du bureau Windows permet d'activer et de configurer l'audit des actions de l'administrateur sur un appareil distant quand l'accès au bureau est partagé. Les paramètres de la section Partage du bureau Windows sont disponibles uniquement sur les appareils sous Windows :
- Activer l'audit
Si cette option est activée, l'audit des actions de l'administrateur sur l'appareil distant est activé. Les enregistrements des actions de l'administrateur sur l'appareil distant sont conservés :
- Dans le journal des événements de l'appareil distant
- Dans un fichier .syslog, situé dans le dossier d'installation de l'Agent d'administration sur l'appareil distant
- Dans la base des événements du Kaspersky Security Center Cloud Console
L'audit des actions de l'administrateur est accessible lorsque les conditions suivantes sont réunies :
- La licence pour le fonctionnement de Gestion des vulnérabilités et des correctifs est en cours d'utilisation
- L'administrateur est autorisé à lancer l'accès partagé au bureau de l'appareil distant
Si cette option est désactivée, l'audit des actions de l'administrateur sur l'appareil distant est désactivé.
Cette option est Inactif par défaut.
- Masques de fichiers à suivre en cas de lecture
La liste contient des masques de fichiers. Lorsque l'audit est activé, l'application suit les fichiers lus par l'administrateur qui correspondent à ces masques et elle enregistre les informations relatives aux fichiers lus. La liste n'est accessible que si la case Activer l'audit est cochée. Il est possible de modifier les masques de fichiers et d'en ajouter à la liste. Les nouveaux masques de fichiers doivent être ajoutés sur une nouvelle ligne.
Par défaut, les masques de fichiers indiqués sont : *.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt et *.pdf.
- Masques de fichiers à suivre en cas de modification
La liste contient les masques des fichiers de l'appareil distant. Lorsque l'audit est activé, l'application suit les fichiers modifiés par l'administrateur qui correspondent à ces masques et elle enregistre les informations relatives aux fichiers modifiés. La liste n'est accessible que si la case Activer l'audit est cochée. Il est possible de modifier les masques de fichiers et d'en ajouter à la liste. Les nouveaux masques de fichiers doivent être ajoutés sur une nouvelle ligne.
Par défaut, les masques de fichiers indiqués sont : *.txt, *.rtf, *.doc, *.xls, *.docx, *.xlsx, *.odt et *.pdf.
Administration des correctifs et des mises à jour
Dans la section Administration des correctifs et des mises à jour, vous pouvez configurer la réception et la diffusion des mises à jour et l'installation des correctifs vers les appareils administrés : activer ou désactiver l'option Installer automatiquement les mises à jour et les correctifs nécessaires pour les modules dont l'état est Non défini.
Connectivité
La section Connectivité inclut trois sous-sections :
- Réseau
- Profils de connexion
- Calendrier de connexion
Dans la sous-section Réseau, vous pouvez configurer la connexion au Serveur d'administration, activer l'utilisation d'un port UDP et spécifier le numéro de port UDP.
- Le groupe de paramètres Connexion au Serveur d'administration permet de définir les paramètres suivants :
- Utiliser un port UDP
Si vous avez besoin que l'Agent d'administration se connecte au Serveur d'administration via un port UDP, activez l'option Utiliser le port UDP et indiquez le Numéro de port UDP. Cette option est activée par défaut. Par défaut, la connexion au Serveur d'administration est exécutée via le port UDP 15000.
- Numéro de port UDP
Champ à saisir le numéro du port UDP. Le numéro de port par défaut est 15000.
La forme d'écriture décimale est utilisée.
Si un appareil client fonctionne sous le système d'exploitation Windows XP Service Pack 2, le pare-feu incorporé verrouillera le port UDP 15000. Ce port doit être ouvert à la main.
- Utiliser un point de distribution pour forcer la connexion au Serveur d'administration
Sélectionnez cette option si vous avez sélectionné l'option Exécuter le serveur push dans la fenêtre des paramètres du point de distribution. Sinon, le point de distribution n'agira pas comme un serveur push.
Dans la sous-section Profils de connexion, aucun nouvel élément ne peut être ajouté à la liste Profils de connexion au Serveur d'administration, donc le bouton Ajouter est inactif. Les profils de connexion prédéfinis ne peuvent pas non plus être modifiés.
La sous-section Calendrier de connexion vous permet d'indiquer les intervalles de temps pendant lesquels l'Agent d'administration va transférer les données sur le Serveur d'administration :
- Se connecter en cas de nécessité
- Se connecter aux intervalles indiqués
La sous-section Calendrier de connexion vous permet d'indiquer les intervalles de temps pendant lesquels l'Agent d'administration va transférer les données sur le Serveur d'administration :
- Se connecter en cas de nécessité
Si cette option a été sélectionnée, la connexion s'établira quand l'Agent d'administration devra transférer les données sur le Serveur d'administration.
Cette option est sélectionnée par défaut.
- Se connecter aux intervalles indiqués
Si cette option a été sélectionnée, la connexion de l'Agent d'administration au Serveur d'administration est effectuée dans les intervalles indiqués. Plusieurs périodes de connexions peuvent être ajoutées.
Sondage du réseau par points de distribution
La section Sondage du réseau par points de distribution permet de configurer le sondage automatique du réseau. Les paramètres du sondage sont disponibles uniquement sur les appareils tournant sous Windows. Vous pouvez utiliser les options suivantes pour activer le sondage et définir sa fréquence :
- Réseau Windows
Si cette option est activée, le point de distribution sonde automatiquement le réseau en respectant la planification configurée en cliquant sur les liens Planifier le sondage rapide et Planifier le sondage complet.
Si cette option est désactivée, le Serveur d'administration ne sonde pas le réseau.
Cette option est activée par défaut.
- Plages IP
Si cette option est activée, le point de distribution sonde automatiquement les plages IP conformément à la planification configurée en cliquant sur le lien Planifier le sondage.
Si cette option est désactivée, le point de distribution ne sonde pas les plages IP.
Cette option est Inactif par défaut.
- Contrôleurs de domaine
Si l'option est activée, le point de distribution sonde automatiquement les contrôleurs de domaine selon la planification que vous avez configurée en cliquant sur le bouton Planifier le sondage.
Si cette option est désactivée, le point de distribution n'interroge pas les contrôleurs de domaine.
La fréquence de sondage du contrôleur de domaine pour les versions de l'Agent d'administration antérieures à 10.2 peut être configurée dans le champ Période de sondage (min.). Le champ est disponible si l'option est activée.
Cette option est Inactif par défaut.
Paramètres du réseau pour les points de distribution
La section Paramètres du réseau pour les points de distribution permet de configurer les paramètres d'accès au réseau Internet :
- Utiliser un serveur proxy
- Adresse
- Numéro de port
- Ne pas utiliser le serveur proxy pour les adresses locales
Si cette option est activée, le serveur proxy ne sera pas utilisé lors de la connexion aux appareils sur le réseau local.
Cette option est Inactif par défaut.
- Authentification du serveur proxy
Si la case est cochée, les champs de saisie permettent d'indiquer les identifiants pour l'authentification sur le serveur proxy.
Celle-ci est décochée par défaut.
- Nom d'utilisateur
- Mot de passe
Proxy KSN (Points de distribution)
Dans la section Proxy KSN (Points de distribution), vous pouvez configurer l'application afin qu'elle utilise le point de distribution pour transmettre les requêtes KSN depuis les appareils administrés :
- Activer le proxy KSN du côté du point de distribution
Le service KSN proxy est exécuté sur l'appareil qui est utilisé en tant que points de distribution. Utilisez cette fonction pour rediffuser et optimiser le trafic sur le réseau.
Cette fonctionnalité n'est pas prise en charge par les appareils de point de distribution exécutant Linux ou macOS.
Le point de distribution envoie les statistiques KSN, lesquelles sont répertoriées dans la Déclaration de Kaspersky Security Network, à Kaspersky. Par défaut, la Déclaration KSN se trouve dans %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center\ksneula.
Cette option est Inactif par défaut. L'activation de cette option prend effet uniquement si l'option J'accepte les termes du Kaspersky Security Network est activée dans la fenêtre Propriétés du Serveur d'administration.
Vous pouvez affecter un nœud d'un cluster actif-passif à un point de distribution et activer le serveur proxy KSN sur ce nœud.
- Port
Le numéro du port TCP que les appareils administrés utilisent pour se connecter au serveur proxy KSN. Le numéro de port par défaut est 13111.
- Port UDP
Si vous avez besoin que l'Agent d'administration se connecte au Serveur d'administration via un port UDP, activez l'option Utiliser le port UDP et indiquez le Numéro de port UDP. Cette option est activée par défaut. Par défaut, la connexion au Serveur d'administration est exécutée via le port UDP 15000.
Haut de page