Protection de la connexion au Serveur d'administration
La connexion de l'ordinateur au Serveur d'administration est réalisée à l'aide du module Agent d'administration de Kaspersky Security Center. Si un intrus dispose de droits suffisants pour modifier les paramètres de connexion au serveur, il existe un risque de connexion de l'ordinateur à un serveur non fiable. Dans ce cas, l'intrus pourrait appliquer ses propres stratégies de groupe et, par exemple, désactiver l'autodéfense de l'application. Kaspersky Endpoint Security peut empêcher la reconnexion non autorisée d'un ordinateur à un autre serveur. Pour protéger la connexion au serveur, l'application propose de définir un mot de passe et d'utiliser la fonction dérivée Password-Based Key Derivation Function (PBKDF2). Par conséquent, l'accès à l'application sans mot de passe est impossible.
Pour garantir une protection complète de Kaspersky Endpoint Security et de l'Agent d'administration contre les accès non autorisés, nous vous recommandons d'activer une protection supplémentaire. Pour Kaspersky Endpoint Security, nous recommandons d'activer la protection par mot de passe. Pour protéger l'Agent d'administration, nous vous recommandons de définir un mot de passe de désinstallation. Pour en savoir plus sur la protection de l'Agent d'administration contre la suppression, consultez l'aide de Kaspersky Security Center.
La gestion de la connexion de l'ordinateur au Serveur d'administration est réussie à l'aide de la tâche Protection de la connexion au Serveur d'administration. La tâche permet d'effectuer les opérations suivantes :
- Définir un mot de passe pour protéger la connexion au serveur.
- Modifier le mot de passe.
- Reconnecter l'ordinateur à un autre serveur.
- Désactiver la protection de la connexion au serveur.
Authentification de l'ordinateur lors de la connexion au Serveur d'administration
Après avoir défini un mot de passe, l'application crée un tableau de données en utilisant la transformation PBKDF2 du mot de passe. L'application chiffre ensuite ce tableau de données à l'aide de la clé de l'Agent d'administration. L'application utilise le tableau de données chiffrées pour vérifier les droits et privilèges du Serveur d'administration pour les connexions ultérieures.
Par la suite, à chaque tentative de reconnexion de l'ordinateur au Serveur d'administration, l'application déchiffre le tableau de données au moyen de la clé de l'Agent d'administration et le compare avec la copie locale. Si les données ne correspondent pas, l'accès à l'application est restreint.
Protection de la connexion au Serveur d'administration
Comment définir un mot de passe pour la protection de la connexion au serveur dans la Console d'administration (MMC)
- Ouvrez la Console d'administration de Kaspersky Security Center.
- Dans l'arborescence de la console, sélectionnez Tâches.
La liste des tâches s'ouvre.
- Cliquez sur Nouvelle tâche.
L'Assistant de création de tâche démarre. Suivez les instructions de l'assistant.
Étape 1. Sélection du type de tâche
Choisissez Kaspersky Endpoint Security for Windows (12.5) → Protection de la connexion au Serveur d'administration.
Étape 2. Protection de la connexion au Serveur d'administration
Définissez un mot de passe pour protéger la connexion au Serveur d'administration :
- Sous Protection de la connexion au Serveur d'administration, sélectionnez Protéger avec un mot de passe.
- Dans la liste déroulante Serveur d'administration, choisissez Nouveau serveur.
- Dans le champ Mot de passe de connexion au Serveur d'administration, définissez un mot de passe pour la connexion au Serveur d'administration et confirmez-le.
Si vous oubliez le mot de passe, vous pouvez le modifier à l'aide d'une tâche.
Étape 3. Sélection du compte utilisateur pour lancer la tâche
Choisissez le Compte par défaut. Par défaut, Kaspersky Endpoint Security lance la tâche en tant que compte utilisateur du système (SYSTEM).
Étape 4. Configuration de la planification du lancement de la tâche
Sous Lancement planifié, sélectionnez Manuel.
Étape 5. Définition du nom de la tâche
Saisissez un nom de tâche, par exemple, Mot de passe de connexion au serveur principal.
Étape 6. Fin de la création de la tâche
Quittez l'assistant. Cochez la case Lancer la tâche à la fin de l'Assistant ou exécutez la tâche manuellement. Vous pouvez suivre la progression de l'exécution de la tâche dans les propriétés de celle-ci.
Comment définir un mot de passe pour la protection de la connexion au serveur dans Web Console et Cloud Console
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Tâches.
La liste des tâches s'ouvre.
- Cliquez sur Ajouter.
L'Assistant de création de tâche démarre.
- Configurez les paramètres de la tâche :
- Dans la liste déroulante Application, choisissez l'option Kaspersky Endpoint Security for Windows (12.5).
- Dans la liste déroulante Type de tâche, choisissez Protection de la connexion au Serveur d'administration.
- Dans le champ Nom de la tâche, saisissez une courte description, par exemple, Mot de passe de connexion au serveur principal.
- Dans le groupe Sélection d'appareils auxquels la tâche sera affectée, choisissez la zone d'action de la tâche.
- Sélectionnez les appareils conformément à l'option choisie de la zone d'action de la tâche. Passez à l'étape suivante.
- Sélectionnez un compte utilisateur par défaut. Par défaut, Kaspersky Endpoint Security lance la tâche en tant que compte utilisateur du système (SYSTEM).
- Quittez l'assistant.
La nouvelle tâche apparaît dans la liste des tâches.
- Cliquez sur la tâche Protection de la connexion au Serveur d'administration pour Kaspersky Endpoint Security.
La fenêtre des propriétés de la tâche s'ouvre.
- Sélectionnez l'onglet Paramètres des applications.
- Sous Protection de la connexion au Serveur d'administration, sélectionnez Protéger avec un mot de passe.
- Dans la liste déroulante Connexion au Serveur d'administration, choisissez Nouveau mot de passe.
- Dans le champ Mot de passe, définissez un mot de passe pour la connexion au Serveur d'administration et confirmez-le.
Si vous oubliez le mot de passe, vous pouvez le modifier à l'aide d'une tâche.
- Enregistrez vos modifications.
- Cochez la case en regard de la tâche.
- Cliquez sur Démarrer.
Vous pouvez suivre l'état de la tâche, la quantité d'appareils sur lesquels l'exécution de la tâche a réussi ou échoué.
Reconnexion de l'ordinateur à un autre Serveur d'administration
La reconnexion de l'ordinateur à un autre Serveur d'administration implique les étapes suivantes :
- Dans la console du serveur
[KSC1] actuel, exécutez la tâche Modification du Serveur d'administration pour l'Agent d'administration. Après l'exécution de la tâche, l'ordinateur est reconnecté au nouveau serveur [KSC2].
La console affiche l'ordinateur dont l'état est Critique 
. Il est impossible de configurer l'application à l'aide de stratégies ou d'exécuter des tâches à distance sur l'ordinateur.
- Dans la console du nouveau serveur
[KSC2], créez une tâche Protection de la connexion au Serveur d'administration pour Kaspersky Endpoint Security. Dans les propriétés de la tâche, saisissez le mot de passe du serveur précédent et définissez un mot de passe pour le nouveau serveur.Comment définir un nouveau mot de passe pour se reconnecter à un nouveau serveur dans la Console d'administration (MMC)
- Ouvrez la Console d'administration de Kaspersky Security Center.
- Dans l'arborescence de la console, sélectionnez Tâches.
La liste des tâches s'ouvre.
- Cliquez sur Nouvelle tâche.
L'Assistant de création de tâche démarre. Suivez les instructions de l'assistant.
Étape 1. Sélection du type de tâche
Choisissez Kaspersky Endpoint Security for Windows (12.5) → Protection de la connexion au Serveur d'administration.
Étape 2. Protection de la connexion au Serveur d'administration
Définissez un mot de passe pour protéger la connexion au nouveau Serveur d'administration :
- Sous Protection de la connexion au Serveur d'administration, sélectionnez Protéger avec un mot de passe.
- Dans la liste déroulante Serveur d'administration, choisissez Se reconnecter à partir d'un autre serveur.
- Dans le champ Mot de passe actuel, saisissez le mot de passe défini pour la connexion au serveur de confiance précédemment utilisé.
- Dans le champ Nouveau mot de passe, définissez un mot de passe pour la connexion au nouveau Serveur d'administration et confirmez-le.
Si vous oubliez le mot de passe, vous pouvez le modifier à l'aide d'une tâche.
Étape 3. Sélection du compte utilisateur pour lancer la tâche
Choisissez le Compte par défaut. Par défaut, Kaspersky Endpoint Security lance la tâche en tant que compte utilisateur du système (SYSTEM).
Étape 4. Configuration de la planification du lancement de la tâche
Sous Lancement planifié, sélectionnez Manuel.
Étape 5. Définition du nom de la tâche
Saisissez un nom de tâche, par exemple, Mot de passe de connexion au serveur principal.
Étape 6. Fin de la création de la tâche
Quittez l'assistant. Cochez la case Lancer la tâche à la fin de l'Assistant ou exécutez la tâche manuellement. Vous pouvez suivre la progression de l'exécution de la tâche dans les propriétés de celle-ci.
Comment définir un nouveau mot de passe pour se reconnecter à un nouveau serveur dans Web Console et Cloud Console
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Tâches.
La liste des tâches s'ouvre.
- Cliquez sur Ajouter.
L'Assistant de création de tâche démarre.
- Configurez les paramètres de la tâche :
- Dans la liste déroulante Application, choisissez l'option Kaspersky Endpoint Security for Windows (12.5).
- Dans la liste déroulante Type de tâche, choisissez Protection de la connexion au Serveur d'administration.
- Dans le champ Nom de la tâche, saisissez une courte description, par exemple, Mot de passe de connexion au serveur principal.
- Dans le groupe Sélection d'appareils auxquels la tâche sera affectée, choisissez la zone d'action de la tâche.
- Sélectionnez les appareils conformément à l'option choisie de la zone d'action de la tâche. Passez à l'étape suivante.
- Sélectionnez un compte utilisateur par défaut. Par défaut, Kaspersky Endpoint Security lance la tâche en tant que compte utilisateur du système (SYSTEM).
- Quittez l'assistant.
La nouvelle tâche apparaît dans la liste des tâches.
- Cliquez sur la tâche Protection de la connexion au Serveur d'administration pour Kaspersky Endpoint Security.
La fenêtre des propriétés de la tâche s'ouvre.
- Sélectionnez l'onglet Paramètres des applications.
- Sous Protection de la connexion au Serveur d'administration, sélectionnez Protéger avec un mot de passe.
- Dans la liste déroulante Connexion au Serveur d'administration, choisissez Se reconnecter à partir d'un autre serveur.
- Dans le champ Mot de passe actuel, saisissez le mot de passe défini pour la connexion au serveur de confiance précédemment utilisé.
- Dans le champ Nouveau mot de passe, définissez un mot de passe pour la connexion au nouveau Serveur d'administration et confirmez-le.
Si vous oubliez le mot de passe, vous pouvez le modifier à l'aide d'une tâche.
- Enregistrez vos modifications.
- Cochez la case en regard de la tâche.
- Cliquez sur Démarrer.
Vous pouvez suivre l'état de la tâche, la quantité d'appareils sur lesquels l'exécution de la tâche a réussi ou échoué.
Une fois que la tâche a été accomplie, assurez-vous que l'ordinateur présente l'état OK 
dans la console du nouveau serveur [KSC2]. Vérifiez si vous pouvez exécuter des tâches à distance et configurer l'application à l'aide de stratégies.
Réinitialisation du mot de passe de connexion au Serveur d'administration
Si vous avez oublié votre mot de passe de connexion au Serveur d'administration ou si le mot de passe est compromis, vous pouvez réinitialiser le mot de passe dans les propriétés de la tâche. Vous pouvez également réinitialiser le mot de passe et en définir un nouveau pour un groupe d'ordinateurs présentant des états de protection de la connexion au Serveur d'administration différents. Autrement dit, si la protection est activée sur certains ordinateurs et désactivée sur d'autres, la tâche définit un mot de passe pour tous les ordinateurs.
Vous pouvez réinitialiser le mot de passe de connexion au Serveur d'administration uniquement dans la console du serveur auquel l'ordinateur est connecté.
Comment réinitialiser le mot de passe de connexion au Serveur d'administration à l'aide de la Console d'administration (MMC)
- Ouvrez la Console d'administration de Kaspersky Security Center.
- Dans l'arborescence de la console, sélectionnez Tâches.
- Sélectionnez la tâche Protection de la connexion au Serveur d'administration et ouvrez les propriétés de la tâche d'un double-clic.
- Dans la fenêtre des propriétés de l'ordinateur, choisissez la section Paramètres.
- Sous Protection de la connexion au Serveur d'administration, sélectionnez Protéger et modifier le mot de passe.
- Dans le champ Mot de passe de connexion au Serveur d'administration, définissez un nouveau mot de passe pour la connexion au serveur de confiance actuel et confirmez-le.
- Enregistrez vos modifications.
- Exécutez la tâche.
Comment réinitialiser le mot de passe de connexion au Serveur d'administration dans Web Console et Cloud Console
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Tâches.
La liste des tâches s'ouvre.
- Cliquez sur la tâche Protection de la connexion au Serveur d'administration pour Kaspersky Endpoint Security.
La fenêtre des propriétés de la tâche s'ouvre.
- Sélectionnez l'onglet Paramètres des applications.
- Sous Protection de la connexion au Serveur d'administration, sélectionnez Protéger et modifier le mot de passe.
- Dans le champ Mot de passe, définissez un nouveau mot de passe pour la connexion au serveur de confiance actuel et confirmez-le.
- Enregistrez vos modifications.
- Cochez la case en regard de la tâche.
- Cliquez sur Démarrer.
Une fois que la tâche est terminée, le mot de passe de connexion au Serveur d'administration est réinitialisé.
Désactivation de la protection de la connexion au Serveur d'administration
Vous pouvez désactiver à distance la protection de la connexion au Serveur d'administration uniquement dans la console du serveur auquel l'ordinateur est connecté. Vous pouvez également désactiver la protection localement à l'aide de la ligne de commande.
Comment désactiver la protection de la connexion au serveur dans la Console d'administration (MMC)
- Ouvrez la Console d'administration de Kaspersky Security Center.
- Dans l'arborescence de la console, sélectionnez Tâches.
- Sélectionnez la tâche Protection de la connexion au Serveur d'administration et ouvrez les propriétés de la tâche d'un double-clic.
- Dans la fenêtre des propriétés de l'ordinateur, choisissez la section Paramètres.
- Sous Protection de la connexion au Serveur d'administration, sélectionnez Ne pas protéger.
- Enregistrez vos modifications.
- Exécutez la tâche.
Vous pouvez suivre l'état de la tâche, la quantité d'appareils sur lesquels l'exécution de la tâche a réussi ou échoué.
Comment désactiver la protection de la connexion au serveur dans Web Console et Cloud Console
- Dans la fenêtre principale de Web Console, sélectionnez Appareils → Tâches.
La liste des tâches s'ouvre.
- Cliquez sur la tâche Protection de la connexion au Serveur d'administration pour Kaspersky Endpoint Security.
La fenêtre des propriétés de la tâche s'ouvre.
- Sélectionnez l'onglet Paramètres des applications.
- Sous Protection de la connexion au Serveur d'administration, sélectionnez Ne pas protéger.
- Enregistrez vos modifications.
- Cochez la case en regard de la tâche.
- Cliquez sur Démarrer.
Vous pouvez suivre l'état de la tâche, la quantité d'appareils sur lesquels l'exécution de la tâche a réussi ou échoué.
Comment désactiver la protection de la connexion au serveur à l'aide de la ligne de commande
- Lancez l'interpréteur de ligne de commande cmd au nom de l'administrateur.
- Accédez au dossier dans lequel se trouve le fichier exécutable de Kaspersky Endpoint Security.
- Exécutez la commande :
avp.com SERVERBINDINGDISABLE [/password=<mot de passe>]
où <mot de passe> est le mot de passe du compte utilisateur KLAdmin ou le mot de passe de la tâche Protection de la connexion au Serveur d'administration. Si le paramètre n'est pas indiqué, Kaspersky Endpoint Security vous invite à saisir un mot de passe à la ligne suivante.
L'exécution de la commande requiert l'activation de la Protection par mot de passe.
Exemple :
avp.com SERVERBINDINGDISABLE /password=!Password1
|