Installation et prise en charge des agents sur des machines Internet
Cette section fournit des recommandations de base pour la configuration d'une stratégie d'agent prenant en charge les machines situées hors de l'environnement réseau. Cette configuration est idéale pour les utilisateurs d'ordinateur portable qui sont fréquemment déconnectés du réseau mais souvent connectés à Internet. Elle s'avère aussi utile pour les sites autonomes qui n'ont pas de connexion réseau directe mais disposent d'un accès Internet.
Avec cette méthode, vos agents établissent le contact et reçoivent les mises à jour de stratégie depuis le Cloud. Pour ce faire, vous utilisez la fonction Ivanti Security Controls appelée Synchronisation Security Controls Cloud. Cela vous permet de gérer les agents des machines qui ne peuvent pas communiquer directement avec la console.
Reportez-vous aux rubriques suivantes pour obtenir des informations d'ordre général sur la synchronisation Security Controls Cloud :
- Présentation de la synchronisation Security Controls Cloud
- Configuration requise et remarques sur l'utilisation de la synchronisation Security Controls Cloud
- Comment activer la synchronisation Security Controls Cloud
Installation des agents
Vous disposez de deux options principales pour installer les agents sur des machines situées hors de l'environnement réseau.
- Vous pouvez effectuer une installation manuelle de l'agent sur chaque machine cible.
- Vous pouvez installer les agents via le Cloud avec Security Controls Cloud.
Une installation manuelle convient parfaitement si vous n'utilisez qu'un petit nombre de machines. Cependant, si vos cibles sont nombreuses, il est recommandé d'installer les agents depuis le Cloud.
Une fois le processus terminé, tous vos agents doivent pouvoir récupérer (Pull) les mises à jour de stratégie et les résultats des déploiements, en interne comme en externe. Pour tester cela, connectez une machine à Internet hors de votre réseau, lancez manuellement l'analyse, puis observez les résultats. Répétez l'opération depuis votre réseau.
Configuration de la stratégie d'agent
- Dans le menu principal, sélectionnez Nouveau > Stratégie d'agent.
- Attribuez un nom à la stratégie.
- Configurez les options de l'onglet Paramètres généraux.
- Dans l'onglet Correctif, cliquez sur Ajouter une tâche de correctif Windows, nommez la tâche, puis configurez-la.
- Cliquez sur Enregistrer et mettre à jour les agents.
Vous pouvez configurer les paramètres Autoriser l'utilisateur à à votre gré. Il est recommandé de désactiver Annuler les opérations, car la plupart des utilisateurs (s'ils sont avertis) vont arrêter l'analyse lorsqu'ils savent qu'elle s'exécute, empêchant ainsi l'agent d'effectuer son travail.
Dans la zone Intervalle de contact, il est recommandé de configurer des prises de contact fréquentes. Cela garantit que l'agent réagit aux changements de stratégie dans votre environnement.
Dans la zone Emplacement de téléchargement des moteurs, données et correctifs, il est recommandé de choisir Fournisseur sur Internet dans ce cas, car on s'attend à ce que les agents soient principalement hors réseau. Si vous configurez un grand nombre d'agents, vous pouvez choisir d'activer les options Serveur de distribution et Utiliser le fournisseur comme source de sauvegarde. Les agents recherchent les derniers moteurs et fichiers XML de données d'abord sur le serveur de distribution et utilisent les sites Web des fournisseurs si le serveur de distribution n'est pas disponible.
Dans la zone Réseau, cochez la case Synchro avec Security Controls Cloud. Cette option spécifie que l'agent peut choisir d'utiliser Security Controls Cloud pour récupérer les informations de stratégie d'agent les plus récentes, ce qui lui permet d'effectuer la synchronisation via le Cloud. Cette case à cocher est disponible uniquement si votre console est inscrite auprès de Security Controls Cloud. Lorsque vous cliquez sur Enregistrer et déployer vers les agents, une copie de la stratégie d'agent et de tous les composants nécessaires est écrite dans le service Security Controls Cloud.
Vous pouvez activer l'option L'agent écoute les mises à jour sur le port. Si vous le faites, les meilleures pratiques de sécurité recommandées consistent à modifier les règles de pare-feu pour bloquer le port si la machine est hors du réseau et l'ouvrir lorsqu'elle est sur le réseau.
Cette stratégie est conçue pour cibler la sécurisation de la machine cible. C'est pourquoi il est recommandé, dans l'onglet Options d'analyse et de déploiement, d'utiliser le modèle d'analyse des correctifs Analyse des correctifs de sécurité. Vous pouvez choisir d'utiliser un modèle personnalisé, mais notre exemple ne traite que les meilleures pratiques de sécurité de base.
Vérifiez que la case Déployer les correctifs est bien cochée.
Choisissez dans l'onglet Redémarrage après le déploiement un modèle de déploiement précisant les éléments suivants :
- Redémarrer si nécessaire
- Redémarrage planifié avec l'option À la prochaine occurrence de l'heure spécifiée
- Horaire hors heures de travail, afin de ne pas interrompre la journée de travail des utilisateurs finaux
Vous pouvez sélectionner Tous les correctifs détectés comme manquants (option la plus sécurisée), ou effectuer le déploiement sur la base d'un groupe de correctifs et cocher la case Plus tous les correctifs critiques des fournisseurs. Cette option garantit que, même si vous n'avez pas appliqué les derniers correctifs de sécurité au groupe de correctifs ou si l'agent n'a pas récupéré une liste mise à jour, il déploie quand même les correctifs de sécurité critiques publiés dans les derniers fichiers de données XML.
Cochez la case Déployer les niveaux de produit. Vous pouvez choisir de déployer tous les niveaux de produit identifiés comme manquants par une analyse ou limiter le déploiement aux niveaux de produit que vous définissez dans un groupe de niveaux de produit. Pour en savoir plus, reportez-vous à « Processus de déploiement des niveaux de produit et des correctifs ».
Dans l'onglet Planification, choisissez Quotidien et spécifiez une heure à laquelle la machine est généralement allumée mais où le trafic réseau est plus faible (comme l'heure du repas). En général, vous pouvez spécifier une journée de votre semaine de travail. Si vous choisissez une heure de la journée hors des heures de travail normales, il est recommandé de cocher la case Exécuter au démarrage si planification manquée pour garantir que l'évaluation a bien lieu même si la dernière tâche planifiée n'a pas été effectuée.
Rubriques connexes
- Recommandations concernant le matériel et les logiciels de la console
- Exigences concernant les ports et configuration du pare-feu
- Gestion d'un environnement distribué
- Gestion sans agent des correctifs
- Meilleure approche pour l'application de correctifs dans un environnement sans agent
- Automatisation de la gestion des correctifs dans un environnement sans agent
- Gestion des correctifs avec un agent
- Options de déploiement des agents
- Processus de déploiement avec agent des niveaux de produit et des correctifs
- Guide pour survivre au Patch Tuesday (Mardi des correctifs)
- Maintenance de la base de données Microsoft SQL Server
- Application des correctifs dans un environnement hors connexion