Installer les agents sur les postes de travail

Une fois les groupes d'agents configurés à votre convenance, vous devez installer les agents sur les postes de travail à protéger.

Un agent SES Evolution peut être installé sur tous les types de machines dont le système d'exploitation est compatible : serveurs ou postes de travail, y compris sur un contrôleur de domaine ou sur une machine hébergeant un ou plusieurs composants SES Evolution (e.g., gestionnaire d'agents, backend, etc.)

Cette installation s'effectue en deux étapes. Générez d'abord un installeur contenant toute la configuration propre au groupe d'agents. Déployez ensuite l'agent sur chaque poste de travail devant appartenir à ce groupe. Une fois installé, l'agent récupère une identité unique lors de sa première connexion au gestionnaire d'agents. Il s'affiche ensuite dans le panneau du groupe d'agents correspondant dans la console d'administration. Toute la configuration du groupe d'agents lui est appliquée, en particulier les politiques de sécurité.

Si vous avez installé SES Evolution sur un master, vous devez en plus modifier l'identifiant des agents sur lequel vous le déployez.

Pour installer et utiliser Stormshield Endpoint Security Evolution version 2.4.5 sous Microsoft Windows, les agents doivent disposer au minimum des prérequis ci-dessous :

 

Systèmes d'exploitation
  • Windows 7 - 32 bits ou 64 bits. Les mises à jour Windows KB2533623, KB2922790, KB3147071 KB4474419 et KB4490628 sont requises. Pour utiliser la protection Persistance via WMI, la mise à jour KB3191566 est requise.
    Assurez-vous que le service Pare-feu Windows soit démarré, sans quoi l'installation de l'agent échouerait.
  • Windows 8.1 mise à jour 3 (août 2014) - 32 bits ou 64 bits

  • Windows 10 Enterprise 2015 LTSB – 32 et 64 bits

  • Windows 10 Enterprise 2016 LTSB – 32 et 64 bits

  • Windows 10 Enterprise 2019 LTSC – 32 et 64 bits

  • Windows 10 21H2 – 32 et 64 bits

  • Windows 10 22H2 – 32 et 64 bits

  • Windows 11 21H2 – 64 bits

  • Windows 11 22H2 – 64 bits. À partir de la version 2.4, SES Evolution est compatible avec la protection Smart Application Control, disponible lors d'une nouvelle installation de Windows 11 22H2 (désactivée par défaut). Cependant l'installation de l'agent génère des messages d'avertissement non bloquants concernant les pilotes démarrés par l'agent.

  • Windows Server 2008 R2. La mise à jour Windows KB2533623 est requise. Pour utiliser la protection Persistance via WMI, la mise à jour KB3191566 est requise.
  • Windows Server 2012 R2*
  • Windows Server 2016*
  • Windows Server 2019*
  • Windows Server 2022*

*Y compris la version Server Core.
Processeurs pour machines physiques
  • Processeurs 32 bits : au minimum 2 GHz Intel Pentium 4 ou équivalent,
  • Processeurs 64 bits : au minimum 2 GHz Intel Pentium 4 avec support x86-64 ou équivalent.

Les processeurs Itanium ne sont pas supportés.

Processeurs pour machines virtuelles

Au minimum une socket virtuelle et un cœur de 1 GHz par socket. Stormshield recommande une socket virtuelle et deux cœurs de 2 GHz par socket.
Mémoire physique Au minimum 1 Go. Davantage si le système d'exploitation le nécessite. Stormshield recommande 2 Go.
Espace disque
  • Au minimum 100 Mo pour l'installation,
  • Au minimum 200 Mo pour le stockage des données.

Il s'agit du prérequis d'espace disque pour le système de fichiers NTFS. De l'espace supplémentaire est aussi nécessaire pour les mises à jour et les logs.
Configuration réseau
  • Communications sortantes :
    • TCP 17000 (RPC)
Bande passante réseau Au minimum 12 Kbit/s. Une bande passante plus faible peut empêcher les échanges entre l'agent et le gestionnaire d'agents.
Logiciel Framework .NET 4.6.2 ou supérieur.
Affichage Au minimum 1024X768.
Certificat

Présence du certificat VeriSign Universal Root Certification Authority pour vérifier l'authenticité des mises à jour SES Evolution.
Il doit se trouver dans le magasin de certificats Autorités de certification racines de confiance ou Autorités de certification racines tierce-partie.

Vous pouvez le télécharger directement sur votre espace client MyStormshield, dans la section Téléchargements > Stormshield Endpoint Security > Evolution > Resources. Dans l'archive, le fichier .bat permet d'installer automatiquement le certificat dans le magasin de certificats avec un compte administrateur.

Activer les points de restauration Windows

L'installeur de l'agent SES Evolution crée un point de restauration Windows juste avant de copier les fichiers sur le disque. En cas de problème ou d'incompatibilité avec un autre logiciel, cela permet de revenir à l'état du système tel qu'il était avant l'installation de SES Evolution. La mise à jour de l'agent crée également un point de restauration.

Pour que le point de restauration soit créé, la fonctionnalité doit être activée dans le panneau Système > Protection du système de Windows. Pour plus d'informations sur la restauration, reportez-vous à la documentation Windows.

Désactiver le mode sans échecs pour les utilisateurs standard

Le mode sans échec permet de diagnostiquer des problèmes qui empêchent d’utiliser un poste de travail lorsqu’il est démarré normalement. Par défaut la configuration Windows permet à tous les utilisateurs de démarrer leur poste avec ce mode.

Or, en mode sans échec, l'auto-protection de l'agent SES Evolution est désactivée. Vous devez donc autoriser l'utilisation de ce mode aux seuls administrateurs.

Pour désactiver l’accès au mode sans échec aux utilisateurs non administrateurs, dans la base de registre Windows, positionnez la valeur SafeModeBlockNonAdmins de la clé HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System à « 1 ».

Vous devez disposer du droit Groupes d'agents-Modifier pour générer un installeur pour les agents.

  1. Choisissez le menu Agents.
  2. Assurez-vous d'avoir configuré le groupe d'agents à votre convenance et déployé l'environnement. Pour plus d'informations, reportez-vous à la section Créer et configurer les groupes d'agents.
  3. Dans le panneau de gauche, sélectionnez le groupe d'agents que vous souhaitez appliquer aux postes de travail.
  4. Dans l'onglet Général, cliquez sur Installeur > Générer un installeur et choisissez la version 32 bits ou 64 bits.
  5. Enregistrez le fichier d'installation AgentSetup_xxx.exe à l'emplacement de votre choix.

Une fois l'installeur généré, vous pouvez déployer ce fichier sur les postes de travail via GPO. La procédure par GPO décrite ci-dessous utilise le script powershell SesAgentDeploymentScript.ps1 fourni par Stormshield et effectue une installation par défaut en mode silencieux.

  1. Sur votre espace client Mystormshield, choisissez le menu Téléchargements > Stormshield Endpoint Security > Evolution > Ressources et cliquez sur le lien SES Agent deployment script. Le script nécessite PowerShell version 5 ou supérieure.
  2. Sur le contrôleur de domaine, ouvrez la Console de gestion des stratégies de groupe (gpmc.msc).
  3. Faites un clic-droit sur l'unité d'organisation où vous souhaitez déployer l'agent SES Evolution, puis choisissez Créer un objet GPO dans ce domaine, et le lier ici.
  4. Dans la fenêtre Nouvel objet GPO, saisissez un nom pour la GPO, par exemple SES EVOLUTION Deployment.
  5. Faites un clic-droit sur la nouvelle GPO, puis choisissez Modifier.
    L'Éditeur de gestion des stratégies de groupe s'ouvre.
  6. Choisissez le menu Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (Démarrage/Arrêt), et double cliquez sur Démarrage.
  7. Dans la fenêtre Propriétés de démarrage, cliquez sur l'onglet Scripts Powershell, puis sur Afficher les fichiers et collez les fichiers suivants :
    • Les fichiers AgentSetup_xxx.exe,
    • Le script SesAgentDeploymentScript.ps1.
  8. Cliquez sur Ajouter, puis sur Parcourir
  9. Sélectionnez le script, cliquez sur Ouvrir, puis sur OK.
  10. Dans la fenêtre Propriétés de démarrage, cliquez sur Appliquer puis OK.
  11. Dans la Console de gestion des stratégies de groupe, sélectionnez la GPO créée.
  12. Dans l'onglet Étendue, vérifiez les éléments suivants :
    • L'unité d'organisation dans la section Liaisons,
    • Les groupes d'utilisateurs cibles dans la section Filtrage de sécurité.
  13. Faites un clic droit sur l'OU, puis sélectionnez Mise à jour de la stratégie de groupe.
    L'agent SES Evolution s'installe automatiquement en mode silencieux au prochain démarrage des postes de travail.
    Vous pouvez consulter les traces de l'installation par GPO dans le dossier C:\Windows\Temp\InstallSESLogGPO.

  14. Une fois l'agent installé, l'icône s'affiche dans la barre d'état de Windows, indiquant que l'installation n'est pas complète.

  15. Redémarrez le poste de travail. L'icône indique que l'agent est désormais complètement fonctionnel.

Une fois l'installeur généré, vous pouvez déployer le fichier sur les postes de travail via l'outil Microsoft Endpoint Configuration Manager, remplaçant de l'outil SCCM.

NOTE
La version 2.3 minimum de SES Evolution et la version 2210a minimum des politiques de sécurité intégrées sont requises pour le déploiement de l'agent via MECM.
Consultez votre espace client MyStormshield pour télécharger les versions les plus à jour de SES Evolution et des politiques. Vous pouvez également télécharger les dernières politiques depuis le serveur de mises à jour. Pour plus d'informations, reportez-vous à la section Télécharger les mises à jour Stormshield.

Dans votre environnement MECM, nous vous recommandons :

  • De disposer au minimum d'un dossier partagé, utilisable par les machines du parc connectées à MECM,

  • De répartir la liste des machines du parc dans des Regroupements de périphériques. Vous pouvez répartir les agents SES Evolution selon la version 32 bits ou 64 bits du système d'exploitation par exemple, ou bien par groupes d'agents.

La procédure suivante a été testée sur la version 2207 de MECM.

Pour déployer l'agent via l'outil MECM, suivez les quatre étapes ci-dessous :

1 Créer un package d'installation

  1. Déposez les fichiers d'installation AgentSetup_xxx.exe dans le dossier partagé utilisable par les machines du parc connectées à MECM.

  2. Ouvez la console Configuration Manager.

  3. Dans le menu Bibliothèque de logiciels > Vue d'ensemble > Gestion des applications, cliquez sur Packages.

  4. Créez un package et un programme. Nommez le package, par exemple : Install SES Evolution agent.

  5. Sélectionnez le type de programme standard.

  6. Nommez le programme, par exemple : SES Evolution agent on Windows x64.

  7. Entrez la ligne de commande AgentSetup_xxx.exe /s. D'autres options sont disponibles, consultez la liste des options sous le tableau.

  8. Sélectionnez le dossier partagé contenant le fichier d'installation comme dossier de démarrage.

  9. Sélectionnez le mode d'exécution Exécuter avec les droits d'administration.

  10. Sélectionnez le système d'exploitation sur lequel l'agent va être déployé dans Exigences de plates-formes.
2 Créer des programmes à installer via le package

Dans le package créé, créez autant de programmes que nécessaire, en fonction de la version 32 bits ou 64 bits du système d'exploitation par exemple, ou bien pour chaque groupe d'agents. Pour créer un nouveau programme :

  1. Faites un clic droit sur le package et sélectionnez Créer un programme.

  2. Sélectionnez les paramètres comme indiqué à l'étape 1.
3 Déployer les programmes sur les postes de travail

  1. Sur chaque programme créé dans le package, faites un clic droit et sélectionnez Déployer.

  2. Sélectionnez le Regroupement sur lequel déployer l'agent.

  3. Spécifiez une Planification de déploiement.

  4. Dans les Paramètres de notification, sélectionnez Autoriser les utilisateurs à exécuter le programme indépendamment des attributions.

  5. Dans les Options de déploiement, sélectionnez Exécuter le programme à partir du point de distribution.
4 Surveiller et finaliser le déploiement

  1. Dans le menu Surveillance > Vue d'ensemble, cliquez sur Déploiements.

  2. Sélectionnez un déploiement en cours pour voir son état d'avancement.

  3. Vous pouvez sélectionner Exécuter le résumé pour forcer la synchronisation entre les postes de travail et MECM.

  4. Une fois l'agent installé sur les postes de travail, l'icône s'affiche dans la barre d'état de Windows, indiquant que l'installation n'est pas complète.

  5. Redémarrez les postes de travail. L'icône indique que l'agent est désormais complètement fonctionnel.

 

Vous pouvez également ajouter les options suivantes à la commande AgentSetup_xxx.exe :

/silent ou /s Pour que l'installation soit transparente pour l'utilisateur du poste de travail.
/installdir Pour copier les fichiers d'installation de l'agent (binaires et ressources) dans un répertoire différent de %SYSTEMDRIVE%\Program Files. Ce chemin doit être différent de celui des fichiers de données de l'agent.
/datadir Pour copier les fichiers de données de l'agent (logs, politiques, scripts…) dans un répertoire différent de %SYSTEMDRIVE%\ProgramData. Ce chemin doit être différent de celui des fichiers d'installation de l'agent.
/log <chemin> Pour spécifier le chemin du fichier de log d'installation de l'agent.
/newagentid

Pour supprimer les données de communication de l'agent avec le gestionnaire d'agents : identifiant unique, certificats utilisés en interne, identifiant et données privées pour les challenges. L'agent récupère de nouvelles données à sa prochaine connexion au gestionnaire d'agents.
Attribuer de nouvelles données de communication est utile si l'agent se trouve sur une machine virtuelle dupliquée, ou si vous installez l'agent sur un poste de travail issu d'un master.

  1. Installez un agent SES Evolution sur un master via la procédure d'installation d'un agent standard.

  2. Sur le master, supprimez l'identifiant de l'agent en utilisant d'une des méthodes ci-dessous. Les gestionnaires d'agents ne doivent pas pouvoir être contactés par l'agent pendant cette opération, sans quoi l'agent obtiendra immédiatement de nouvelles données de communication.

    • Supprimez la valeur registre de l'identifiant de l’agent (valeur : AgentGuid) située dans : HKEY_LOCAL_MACHINE\SOFTWARE\Stormshield\SES Evolution. Un nouvel identifiant sera généré à la prochaine connexion de l'agent au gestionnaire d'agents.
      - ou -
    • Exécutez l'installeur de l'agent AgentSetup_xxx.exe ou le composant de l'agent Agent\bin\Gui\EsSetup.exe en mode commande avec l'option /newagentid. Cette commande attribue un nouvel identifiant à l'agent sans effectuer de nouveau l'installation.

    Après déploiement du master sur un poste de travail, l'agent SES Evolution contactera le gestionnaire d'agents, et un nouvel identifiant lui sera attribué.

Vous pouvez installer l'agent SES Evolution sur les systèmes d'exploitation Windows Server Core 2012 R2, 2016, 2019 et 2022.

Ces systèmes d'exploitation possèdent une interface graphique réduite. L'interface de l'agent n'est donc pas démarrée automatiquement lors de l'ouverture de session d'un utilisateur (icône icône de l'agent dans la barre des tâches sur un système d'exploitation "classique"). Pour afficher l'interface graphique de l'agent :

De même, si une demande de confirmation par l'utilisateur est paramétrée dans une règle de sécurité, l'agent n'affiche pas de fenêtre et considère automatiquement que la réponse à la confirmation est "non". L'utilisateur n'a pas la possibilité de répondre "oui".

Failed to extract files from patch (0xa0050005)

Situation : Lors de l'installation d'un agent, cette erreur s'affiche :
Failed to extract files from patch (0xa0050005).

Cause :  Le certificat nécessaire à la vérification de l'authenticité de la mise à jour SES Evolution n'est pas présent sur la machine.

Solution : Ajoutez le certificat VeriSign Universal Root Certification Authority au magasin de certificats Autorités de certification racines de confiance ou Autorités de certification racines tierce-partie.

- ou -
Connectez la machine à Internet afin que le certificat soit téléchargé automatiquement.