Installer les agents sur les postes de travail

Une fois les groupes d'agents configurés à votre convenance, vous devez installer les agents sur les postes de travail à protéger.

Un agent SES Evolution peut être installé sur tous les types de machines dont le système d'exploitation est compatible : serveurs ou postes de travail, y compris sur un contrôleur de domaine ou sur une machine hébergeant un ou plusieurs composants SES Evolution (e.g., gestionnaire d'agents, backend, etc.)

Cette installation s'effectue en deux étapes. Générez d'abord un installeur contenant toute la configuration propre au groupe d'agents. Déployez ensuite l'agent sur chaque poste de travail devant appartenir à ce groupe. Une fois installé, l'agent récupère une identité unique lors de sa première connexion au gestionnaire d'agents. Il s'affiche ensuite dans le panneau du groupe d'agents correspondant dans la console d'administration. Toute la configuration du groupe d'agents lui est appliquée, en particulier les politiques de sécurité.

Si vous avez installé SES Evolution sur un master, vous devez en plus modifier l'identifiant des agents sur lequel vous le déployez.

NOTE
Le répertoire pointé par %TEMP% et %TMP% doit exister et être accessible en écriture pendant la phase d'installation de l'agent et lors de la mise à jour de l'agent.

Pour installer et utiliser Stormshield Endpoint Security Evolution version 2.6.5 sous Microsoft Windows, les agents doivent disposer au minimum des prérequis ci-dessous :

 

Systèmes d'exploitation

Consultez le document Cycle de vie produits pour connaître les informations de compatibilité avec les versions de Microsoft Windows.
Processeurs pour machines physiques

Processeurs 64 bits avec au minimum 2 GHz Intel Pentium 4 ou équivalent.

Les processeurs Itanium ne sont pas supportés.

Processeurs pour machines virtuelles

Au minimum une socket virtuelle et un cœur de 1 GHz par socket. Stormshield recommande une socket virtuelle et deux cœurs de 2 GHz par socket.
Mémoire physique Au minimum 1 Go. Davantage si le système d'exploitation le nécessite. Stormshield recommande 2 Go.
Espace disque
  • Au minimum 100 Mo pour l'installation,
  • Au minimum 200 Mo pour le stockage des données.

Il s'agit du prérequis d'espace disque pour le système de fichiers NTFS. De l'espace supplémentaire est aussi nécessaire pour les mises à jour et les logs.
Configuration réseau
  • Communications sortantes :
    • TCP 17000 (RPC)
Bande passante réseau Au minimum 12 Kbit/s. Une bande passante plus faible peut empêcher les échanges entre l'agent et le gestionnaire d'agents.
Logiciel Framework .NET 4.6.2 ou supérieur.
Affichage Au minimum 1024X768.
Certificat

Présence du certificat VeriSign Universal Root Certification Authority pour vérifier l'authenticité des mises à jour SES Evolution.
Il doit se trouver dans le magasin de certificats Autorités de certification racines de confiance ou Autorités de certification racines tierce-partie.

Vous pouvez le télécharger directement sur votre espace client MyStormshield, dans la section Téléchargements > Stormshield Endpoint Security > Evolution > Resources. Dans l'archive, le fichier .bat permet d'installer automatiquement le certificat dans le magasin de certificats avec un compte administrateur.

Activer les points de restauration Windows

L'installeur de l'agent SES Evolution crée un point de restauration Windows juste avant de copier les fichiers sur le disque. En cas de problème ou d'incompatibilité avec un autre logiciel, cela permet de revenir à l'état du système tel qu'il était avant l'installation de SES Evolution. La mise à jour de l'agent crée également un point de restauration.

Pour que le point de restauration soit créé, la fonctionnalité doit être activée dans le panneau Système > Protection du système de Windows. Pour plus d'informations sur la restauration, reportez-vous à la documentation Windows.

Désactiver le mode sans échecs pour les utilisateurs standard

Le mode sans échec permet de diagnostiquer des problèmes qui empêchent d’utiliser un poste de travail lorsqu’il est démarré normalement. Par défaut la configuration Windows permet à tous les utilisateurs de démarrer leur poste avec ce mode.

Or, en mode sans échec, l'auto-protection de l'agent SES Evolution est désactivée. Vous devez donc autoriser l'utilisation de ce mode aux seuls administrateurs.

Pour désactiver l’accès au mode sans échec aux utilisateurs non administrateurs, dans la base de registre Windows, positionnez la valeur SafeModeBlockNonAdmins de la clé HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System à « 1 ».

Vous devez disposer du droit Groupes d'agents-Modifier pour générer un installeur pour les agents.

  1. Choisissez le menu Environnement > Agents.
  2. Assurez-vous d'avoir configuré le groupe d'agents à votre convenance et déployé l'environnement. Pour plus d'informations, reportez-vous à la section Créer et configurer les groupes d'agents.
  3. Dans le panneau de gauche, sélectionnez le groupe d'agents que vous souhaitez appliquer aux postes de travail.
  4. Dans l'onglet Agents, cliquez sur Installeur > Générer un installeur.
  5. Enregistrez le fichier d'installation AgentSetup_x64.exe à l'emplacement de votre choix.

Une fois l'installeur généré, vous pouvez déployer ce fichier sur les postes de travail via GPO. La procédure par GPO décrite ci-dessous utilise le script powershell SesAgentDeploymentScript.ps1 fourni par Stormshield et effectue une installation par défaut en mode silencieux.

  1. Sur votre espace client Mystormshield, choisissez le menu Téléchargements > Stormshield Endpoint Security > Evolution > Ressources et cliquez sur le lien SES Agent deployment script. Le script nécessite PowerShell version 5 ou supérieure.
  2. Sur le contrôleur de domaine, ouvrez la Console de gestion des stratégies de groupe (gpmc.msc).
  3. Faites un clic-droit sur l'unité d'organisation où vous souhaitez déployer l'agent SES Evolution, puis choisissez Créer un objet GPO dans ce domaine, et le lier ici.
  4. Dans la fenêtre Nouvel objet GPO, saisissez un nom pour la GPO, par exemple SES EVOLUTION Deployment.
  5. Faites un clic-droit sur la nouvelle GPO, puis choisissez Modifier.
    L'Éditeur de gestion des stratégies de groupe s'ouvre.
  6. Choisissez le menu Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (Démarrage/Arrêt), et double cliquez sur Démarrage.
  7. Dans la fenêtre Propriétés de démarrage, cliquez sur l'onglet Scripts Powershell, puis sur Afficher les fichiers et collez les fichiers suivants :
    • Les fichiers AgentSetup_x64.exe,
    • Le script SesAgentDeploymentScript.ps1.
  8. Cliquez sur Ajouter, puis sur Parcourir
  9. Sélectionnez le script, cliquez sur Ouvrir, puis sur OK.
  10. Dans la fenêtre Propriétés de démarrage, cliquez sur Appliquer puis OK.
  11. Dans la Console de gestion des stratégies de groupe, sélectionnez la GPO créée.
  12. Dans l'onglet Étendue, vérifiez les éléments suivants :
    • L'unité d'organisation dans la section Liaisons,
    • Les groupes d'utilisateurs cibles dans la section Filtrage de sécurité.
  13. Faites un clic droit sur l'OU, puis sélectionnez Mise à jour de la stratégie de groupe.
    L'agent SES Evolution s'installe automatiquement en mode silencieux au prochain démarrage des postes de travail.
    Vous pouvez consulter les traces de l'installation par GPO dans le dossier C:\Windows\Temp\InstallSESLogGPO.

  14. Une fois l'agent installé, l'icône s'affiche dans la barre d'état de Windows, indiquant que l'installation n'est pas complète.

  15. Redémarrez le poste de travail. L'icône indique que l'agent est désormais complètement fonctionnel.

Une fois l'installeur généré, vous pouvez déployer le fichier sur les postes de travail via l'outil Microsoft Endpoint Configuration Manager, remplaçant de l'outil SCCM.

NOTE
La version 2.3 minimum de SES Evolution et la version 2210a minimum des politiques de sécurité intégrées sont requises pour le déploiement de l'agent via MECM.
Consultez votre espace client MyStormshield pour télécharger les versions les plus à jour de SES Evolution et des politiques. Vous pouvez également télécharger les dernières politiques depuis le serveur de mises à jour. Pour plus d'informations, reportez-vous à la section Télécharger les mises à jour Stormshield.

Dans votre environnement MECM, nous vous recommandons :

  • De disposer au minimum d'un dossier partagé, utilisable par les machines du parc connectées à MECM,

  • De répartir la liste des machines du parc dans des Regroupements de périphériques. Vous pouvez répartir les agents SES Evolution par groupes d'agents par exemple.

La procédure suivante a été testée sur la version 2207 de MECM.

Pour déployer l'agent via l'outil MECM, suivez les quatre étapes ci-dessous :

1 Créer un package d'installation

  1. Déposez les fichiers d'installation AgentSetup_x64.exe dans le dossier partagé utilisable par les machines du parc connectées à MECM.

  2. Ouvrez la console Configuration Manager.

  3. Dans le menu Bibliothèque de logiciels > Vue d'ensemble > Gestion des applications, cliquez sur Packages.

  4. Créez un package et un programme. Nommez le package, par exemple : Install SES Evolution agent.

  5. Sélectionnez le type de programme standard.

  6. Nommez le programme, par exemple : SES Evolution agent on Windows x64.

  7. Entrez la ligne de commande AgentSetup_x64.exe /s. D'autres options sont disponibles, consultez la liste des options sous le tableau.

  8. Sélectionnez le dossier partagé contenant le fichier d'installation comme dossier de démarrage.

  9. Sélectionnez le mode d'exécution Exécuter avec les droits d'administration.

  10. Sélectionnez le système d'exploitation sur lequel l'agent va être déployé dans Exigences de plates-formes.
2 Créer des programmes à installer via le package

Dans le package créé, créez autant de programmes que nécessaire, pour chaque groupe d'agents par exemple. Pour créer un nouveau programme :

  1. Faites un clic droit sur le package et sélectionnez Créer un programme.

  2. Sélectionnez les paramètres comme indiqué à l'étape 1.
3 Déployer les programmes sur les postes de travail

  1. Sur chaque programme créé dans le package, faites un clic droit et sélectionnez Déployer.

  2. Sélectionnez le Regroupement sur lequel déployer l'agent.

  3. Spécifiez une Planification de déploiement.

  4. Dans les Paramètres de notification, sélectionnez Autoriser les utilisateurs à exécuter le programme indépendamment des attributions.

  5. Dans les Options de déploiement, sélectionnez Exécuter le programme à partir du point de distribution.
4 Surveiller et finaliser le déploiement

  1. Dans le menu Surveillance > Vue d'ensemble, cliquez sur Déploiements.

  2. Sélectionnez un déploiement en cours pour voir son état d'avancement.

  3. Vous pouvez sélectionner Exécuter le résumé pour forcer la synchronisation entre les postes de travail et MECM.

  4. Une fois l'agent installé sur les postes de travail, l'icône s'affiche dans la barre d'état de Windows, indiquant que l'installation n'est pas complète.

  5. Redémarrez les postes de travail. L'icône indique que l'agent est désormais complètement fonctionnel.

 

Vous pouvez également ajouter les options suivantes à la commande AgentSetup_x64.exe :

/silent ou /s Pour que l'installation soit transparente pour l'utilisateur du poste de travail.
/installdir Pour copier les fichiers d'installation de l'agent (binaires et ressources) dans un répertoire différent de %SYSTEMDRIVE%\Program Files. Ce chemin doit être différent de celui des fichiers de données de l'agent.
/datadir Pour copier les fichiers de données de l'agent (logs, politiques, scripts…) dans un répertoire différent de %SYSTEMDRIVE%\ProgramData. Ce chemin doit être différent de celui des fichiers d'installation de l'agent.
/log <chemin> Pour spécifier le chemin du fichier de log d'installation de l'agent.
/newagentid

Pour supprimer les données de communication de l'agent avec le gestionnaire d'agents : identifiant unique, certificats utilisés en interne, identifiant et données privées pour les challenges. L'agent récupère de nouvelles données à sa prochaine connexion au gestionnaire d'agents.
Attribuer de nouvelles données de communication est utile si l'agent se trouve sur une machine virtuelle dupliquée, ou si vous installez l'agent sur un poste de travail issu d'un master.

  1. Installez un agent SES Evolution sur un master via la procédure d'installation d'un agent standard.

  2. Sur le master, supprimez l'identifiant de l'agent en utilisant d'une des méthodes ci-dessous. Les gestionnaires d'agents ne doivent pas pouvoir être contactés par l'agent pendant cette opération, sans quoi l'agent obtiendra immédiatement de nouvelles données de communication.

    • Supprimez la valeur registre de l'identifiant de l’agent (valeur : AgentGuid) située dans : HKEY_LOCAL_MACHINE\SOFTWARE\Stormshield\SES Evolution. Un nouvel identifiant sera généré à la prochaine connexion de l'agent au gestionnaire d'agents.
      - ou -
    • Exécutez l'installeur de l'agent AgentSetup_x64.exe ou le composant de l'agent Agent\bin\Gui\EsSetup.exe en mode commande avec l'option /newagentid. Cette commande attribue un nouvel identifiant à l'agent sans effectuer de nouveau l'installation.

    Après déploiement du master sur un poste de travail, l'agent SES Evolution contactera le gestionnaire d'agents, et un nouvel identifiant lui sera attribué.

Vous pouvez installer l'agent SES Evolution sur les systèmes d'exploitation Windows Server Core 2012 R2, 2016, 2019 et 2022.

Ces systèmes d'exploitation possèdent une interface graphique réduite. L'interface de l'agent n'est donc pas démarrée automatiquement lors de l'ouverture de session d'un utilisateur (icône icône de l'agent dans la barre des tâches sur un système d'exploitation "classique"). Pour afficher l'interface graphique de l'agent :

De même, si une demande de confirmation par l'utilisateur est paramétrée dans une règle de sécurité, l'agent n'affiche pas de fenêtre et considère automatiquement que la réponse à la confirmation est "non". L'utilisateur n'a pas la possibilité de répondre "oui".

Failed to extract files from patch (0xa0050005)

Situation : Lors de l'installation d'un agent, cette erreur s'affiche :
Failed to extract files from patch (0xa0050005).

Cause :  Le certificat nécessaire à la vérification de l'authenticité de la mise à jour SES Evolution n'est pas présent sur la machine.

Solution : Ajoutez le certificat VeriSign Universal Root Certification Authority au magasin de certificats Autorités de certification racines de confiance ou Autorités de certification racines tierce-partie.

- ou -
Connectez la machine à Internet afin que le certificat soit téléchargé automatiquement.