Installation manuelle du produit Security Controls Agent

Vous disposez de deux méthodes différentes pour installer manuellement les agents.

Option 1 : Méthode d'installation avec un script PowerShell

Accédez à l'onglet Options d'agent pour apprendre à utiliser un script PowerShell afin de copier le certificat d'émission vers le magasin de certificats de la machine cible et d'installer l'agent sur la machine cible.

Option 2 : Méthode d'installation manuelle

Si vous préférez ne pas utiliser le script PowerShell fourni, vous devez copier manuellement le certificat d'émission vers le magasin de certificats de la machine cible, puis exécuter l'assistant d'installation de l'agent.

Copie du certificat de console vers la machine cible

1. Exportez le certificat d'autorité racine ST depuis le magasin de certificats Autorité racine de confiance sur la machine de console.
2. Importez le certificat dans le magasin de certificats Autorité racine de confiance sur la machine distante.

Installation de l'agent avec l'assistant d'installation

1. Dans la console Security Controls, repérez le fichier STPlatformUpdater.exe.
   Le fichier est stocké dans le répertoire C:\ProgramData\Ivanti\Security Controls\Console\DataFiles.
2. Copiez le fichier .exe vers les machines cible voulues.
   Vous pouvez distribuer ce fichier avec Active Directory, ou simplement le copier sur un support physique comme un CD ou un lecteur Flash, puis le distribuer manuellement sur les machines voulues.

Lorsque vous distribuez ce fichier, vous pouvez choisir de créer un script d'installation qui transmet automatiquement à l'assistant d'installation toutes les informations nécessaires.

3. Connectez-vous à la machine cible à l'aide d'un compte d'administrateur.
4. Double-cliquez sur le fichier nommé STPlatformUpdater.exe.
   L'agent est installé. Une fois l'installation terminée, la boîte de dialogue Inscription de l'agent s'affiche.
5. Cliquez sur J'utilise une connexion directe à la console.

Vous utilisez le bouton Je me connecte à la console via le Cloud si vous installez l'agent via le Cloud.

La boîte de dialogue suivante s'affiche.

6. Entrez les informations requises.
• Nom d'hôte : Entrez le nom d'hôte ou l'adresse IP de la console Security Controls. Exemples : Maconsole ou 192.168.1.100.

Si vous utilisez une adresse IP, elle doit être ajoutée à la liste des alias de console.

• Port des services d'agent : Spécifiez le numéro de port servant à retransmettre les informations à la console. Le numéro de port par défaut est 3121.
• Configurer le proxy : Cliquez sur ce bouton pour spécifier les paramètres de proxy que l'agent doit utiliser lors du processus d'inscription. Pour en savoir plus, reportez-vous à « Configuration de paramètres de serveur proxy ».
• Expression mot de passe : Entrez l'expression mot de passe spécifiée dans Outils > Options > boîte de dialogue Agents.
• Sélectionner une stratégie : Cliquez sur Obtenir la liste des stratégies pour vous connecter à la console et remplir la zone Sélectionnez une stratégie avec la liste de toutes les stratégies d'agent disponibles. Sélectionnez la stratégie à affecter à cet agent.
7. Dans la boîte de dialogue Inscription de l'agent, cliquez sur Inscription.
8. Dans la boîte de dialogue Assistant de configuration de l'agent, cliquez sur Terminer.

La routine d'installation de l'agent effectue les opérations suivantes :

• Installation des fichiers .exe et autres fichiers de prise en charge nécessaires, dans le répertoire C:\Program Files\LANDESK\Shavlik Protect Agent
• Installation des certificats nécessaires pour communiquer en toute sécurité avec la console
• Acquisition d'une licence d'agent
• Récupérez la stratégie affectée, les composants de moteur et les fichiers de données, et stockez-les.

Ces fichiers se trouvent dans le répertoire C:\ProgramData\LANDESK\Shavlik Protect\Agent.

Une fois le téléchargement terminé, l'agent démarre automatiquement. Vous pouvez vérifier l'état de l'agent à l'aide du programme client Security Controls Agent, auquel vous accédez en sélectionnant Démarrer > Tous les programmes > Security Controls > Security Controls Agent. Vous pouvez utiliser ce programme pour configurer tous les paramètres marqués comme configurables par l'utilisateur.

1. Dans la console Security Controls, sélectionnez Outils > Options > Agents, puis vérifiez que vous avez bien activé l'option Expression mot de passe et spécifié une expression.
2. Sur la machine de console, exportez le certificat d'émission ISeC vers un fichier DER.

Si vous avez remplacé le certificat Security Controls par défaut par votre propre certificat d'autorité, exportez ce certificat au lieu du certificat d'émission ISeC. Le certificat d'autorité que vous avez généré se trouve généralement dans le magasin Autorités de certification intermédiaires.

Dans Microsoft Management Console (MMC), accédez au dossier Certificats - Ordinateur local > Autorités de certification racines de confiance > Certificats. Cliquez avec le bouton droit sur le certificat nommé ST Root Authority, puis sélectionnez Toutes les tâches > Exporter.

Suivez les étapes de l'assistant Exportation du certificat. À l'invite, précisez que vous ne voulez pas exporter la clé privée. Enregistrez le fichier sur votre machine de console au format de fichier binaire X.509 avec codage DER en lui donnant un nom de fichier facile à mémoriser (comme ISECCert.cer).

3. Sur la machine de console, repérez le fichier TAR ISecAgent approprié.
   Les fichiers TAR sont stockés dans le dossier C:\ProgramData\Ivanti\Security Controls\Console\DataFiles. Veillez à repérer le fichier associé au système d'exploitation utilisé sur vos machines Linux. Par exemple, si vous utilisez des machines RedHat 7.x, vous avez besoin du fichier nommé ISecAgent-Rhel7.tar.
4. Copiez le fichier TAR vers le dossier où vous avez placé le fichier de certificat exporté à l'étape 2.
5. Distribuez le fichier de certificat et le fichier TAR aux machines cible voulues.
   Vous pouvez utiliser pour ce faire le mécanisme qui fonctionne le mieux pour votre entreprise. Vous pouvez utiliser un outil de transfert de fichiers sécurisé, comme WinSCP, ou simplement copier les fichiers sur un support physique comme une clé USB, puis le distribuer manuellement aux machines voulues.
6. Sur une machine Linux, lancez une session de terminal, et accédez au chemin contenant le fichier de certificat et le fichier TAR.
7. Extrayez le contenu du fichier TAR.

Par exemple :

# tar -xf ISecAgent-Rhel7.tar

8. Affichez la liste des fichiers extraits.

# ls

Le fichier install.sh doit figurer dans la liste.

9. Utilisez le fichier install.sh pour installer l'agent et l'inscrire auprès de la console.

# ./install.sh --host <consolename> --port 3121 --passphrase <passphrase> --issuer-certificate <exported_root_cert.cer> --selected-policy <agent_policy_name>

Où :

• <consolename> est le nom de votre machine de console. Le nom que vous indiquez doit correspondre à une entrée dans la liste des alias de console.
• Le numéro de port par défaut est 3121 mais vous pouvez le configurer en modifiant le fichier C:\Program Files\Ivanti\Security Controls\STEnvironment.config.
• <passphrase> est l'expression mot de passe spécifiée dans l'onglet Outils > Options > Agents.
• <exported_root_cert.cer> est le nom du fichier de certificat racine exporté.
• <agent_policy_name> est le nom de la stratégie d'agent à affecter à l'agent.

Si le processus réussit, vous voyez apparaître le message Agent entièrement inscrit. Répétez les étapes 6 à 9 pour chaque machine Linux.

Vous pouvez utiliser l'utilitaire de ligne de commande stagentctl pour gérer un agent. Pour en savoir plus, reportez-vous à « Utilisation d'un agent sur une machine cible ».