Meilleures pratiques Citrix et Terminal Server pour Endpoint Protection – Bien choisir son serveur d impression
Les recommandations suivantes s'appliquent à Symantec Endpoint Protection 12.1 et 14. Elles fournissent des informations sur la meilleure configuration de Symantec Endpoint Protection dans les environnements Terminal Server et Citrix.
Sommaire
Contenu
Portée
Cet article se concentre strictement sur la marche à suivre pour déployer avec succès les composants de protection Symantec Endpoint Protection 12.1 ou 14 sur un serveur Microsoft Terminal Server ou Citrix Presentation Server. Il fournit également des conseils sur la résolution des problèmes potentiels pouvant survenir lors du déploiement et une liste de ressources en ligne utiles.
Cet article fait ne pas couvrent le déploiement de Symantec Endpoint Protection 12.1 ou 14 sur un poste de travail, ainsi que d'autres problèmes d'administration plus généraux ou les meilleures pratiques de serveur Citrix en général; Pour obtenir des conseils sur ces sujets, reportez-vous à la documentation correspondante.
Résumé
L'objectif de ce livre blanc est de montrer que Symantec Endpoint Protection peut fonctionner correctement sur les serveurs de terminaux et, le cas échéant, de documenter toute modification requise de l'architecture de Symantec Endpoint Protection afin d'améliorer les performances ou la fiabilité de ces serveurs de terminaux. Les conclusions de ce livre blanc contribuent déjà à définir l'orientation future des fonctionnalités SEP sur les serveurs Citrix et Terminal.
Qu'est-ce que Windows Terminal Services?
Le composant Terminal Server de Windows Server permet aux clients et aux périphériques distants d'accéder aux ordinateurs de bureau et aux applications Windows Server et de les utiliser. Ces périphériques peuvent être des stations de travail Windows, Macintosh ou Linux, ainsi que des périphériques sans fil, des ordinateurs portables, des décodeurs ou potentiellement tout périphérique doté d'une connexion réseau. Lorsque les services Terminal Server sont activés sur un serveur Windows, les utilisateurs peuvent se connecter à un bureau virtuel sur le serveur et toutes les applications sont exécutées sur le serveur plutôt que sur le périphérique client.
Conceptuellement, la conception est similaire à l'utilisation de PCAnywhere, VNC ou de tout autre produit de contrôle à distance. Cependant, en exécutant un noyau spécial, un serveur Windows Terminal Server peut prendre en charge plusieurs utilisateurs se connectant au serveur simultanément, chacun exécutant son propre bureau virtuel. Un seul serveur peut potentiellement prendre en charge des dizaines, voire des centaines voire des milliers d'utilisateurs simultanés.
Qu'est-ce que Citrix Presentation Server?
Citrix Presentation Server, membre de la famille de produits Citrix Delivery Center, est un système de distribution d'applications Windows de bout en bout qui offre une virtualisation d'applications côté client et côté serveur, pour des performances optimales de l'application et des options de livraison flexibles. Grâce à l'architecture applicative sécurisée, les entreprises peuvent centraliser les applications et les données dans des centres de données sécurisés, réduisant ainsi les coûts de gestion et de support, renforçant la sécurité des données et garantissant des performances rapides et fiables.
Presentation Server permet aux services informatiques de fournir des applications sécurisées sous forme de service, offrant aux utilisateurs un accès à la demande tout en offrant la flexibilité nécessaire pour tirer parti des architectures d'applications futures.
Exécution de Symantec Endpoint Protection sur des serveurs Terminal Server
Le client Symantec Endpoint Protection s'exécutera de manière acceptable sur les serveurs Windows Terminal Server. Cependant, quelques modifications peuvent être apportées afin d'optimiser l'expérience utilisateur globale.
Protection antivirus et antispyware
Les recommandations suivantes doivent être prises en compte:
Configurez Auto-Protect pour:
- Scan quand un fichier est modifié
- Désactiver l'analyse du réseau
Exceptions centralisées
Symantec recommande de:
- Exclure le fichier d'échange
- Exclure le dossier du spouleur d'impression
- Si le serveur est un serveur de licences, excluez le dossier et les bases de données du serveur de licences.
Certains administrateurs de serveur peuvent souhaiter exclure de l'analyse des profils de mobilité et / ou des dossiers «Mes documents» de leurs utilisateurs pour des raisons de sécurité. Bien que cela améliore les performances, Symantec ne recommande pas cette approche. En pratique, il s'agit généralement du lieu où les risques de sécurité sont découverts.
Analyses planifiées
Si une analyse planifiée est requise, elle doit être exécutée en plusieurs heures afin de minimiser l'impact sur l'utilisateur. En outre, ActiveScans lorsque les nouvelles définitions arrivent et que les analyses de démarrage ne doivent pas être exécutées, car elles pourraient entraîner une charge inutile sur le serveur Terminal Server pendant les heures de bureau.
Autoprotection
Il n’existe aucune recommandation de protection contre les falsifications pour un serveur exécutant uniquement les services Terminal Server.
Protection contre les menaces réseau
Bien qu'il ne soit pas recommandé d'exécuter la protection contre les menaces réseau sur les serveurs de terminaux, il est tout à fait possible de le faire. L'ensemble de règles par défaut de Symantec Endpoint Protection permettra à toutes les fonctions des services de terminal de fonctionner correctement. Toutefois, il convient de noter que si un jeu de règles personnalisé est créé, les services et ports suivants doivent être autorisés:
Nom du processus |
Port local |
Port distant |
Entrant et sortant |
La description |
---|---|---|---|---|
Svchost.exe |
3389 |
1024-5000 |
Entrant |
Connexion RDP |
Informations générales sur Symantec Endpoint Protection et les processus utilisateur
Les administrateurs de serveurs Terminal Server doivent toujours garder à l'esprit que l'exécution du client SEP sur leurs serveurs Terminal Server ne protégera pas l'ordinateur client contre les menaces. Selon la solution de terminal utilisée, Symantec propose une solution distincte pour ces applications (la plupart peuvent exécuter SEP, d'autres peuvent nécessiter SEP pour XP Embedded) et vous devez en discuter avec votre partenaire Symantec, votre SE ou votre responsable de compte.
Figure 1 – Processus SEP s'exécutant sur des serveurs Terminal Server
Lorsque vous exécutez le client SEP sur des serveurs Terminal Server, vous remarquerez que plusieurs instances de SmcGui.exe et de ccApp.exe sont en cours d'exécution. En outre, sur les serveurs de terminaux 64 bits, vous verrez également ProtectionUtilSurrogate.exe s'exécuter par utilisateur. Ce comportement est normal et ne devrait pas causer de problèmes lors de petits déploiements ou de scénarios d’administration à distance. Toutefois, dans certaines circonstances et en fonction du nombre de sessions utilisées, l'utilisation de l'UC peut atteindre 100% et l'utilisation d'une grande quantité de mémoire supplémentaire. Bien que ces processus soient requis pour une installation de client SEP pleinement opérationnelle, leur chargement sur les serveurs de terminaux peut être empêché avec un effet minimal pour l'utilisateur final. Pour plus de détails sur la procédure à suivre, voir l’Annexe D.
Bien que le client SEP puisse être configuré pour prendre en charge plusieurs utilisateurs avec des stratégies individuelles, dans un environnement Terminal Server, cela se manifestera d'une manière différente de celle que l'on aurait pu imaginer. Si un utilisateur est connecté à la console du serveur, tous les utilisateurs distants se verront attribuer la même stratégie. S'il n'y a pas d'utilisateur de console, tous les utilisateurs recevront la stratégie du premier utilisateur connecté.
Symantec s'efforce de changer cela afin que la fonctionnalité fonctionne correctement sur les serveurs Terminal Server, mais ce comportement est attendu pour le moment.
Considérations supplémentaires pour Symantec Endpoint Protection sur les produits Citrix
Comme pour les services Windows Terminal, Symantec Endpoint Protection s'exécute sans problème majeur sur les environnements Citrix tant que toutes les recommandations précédentes sont prises en compte. De plus, certains composants de l'application peuvent toutefois causer des problèmes. Celles-ci peuvent varier d'un composant de pare-feu configuré de manière incorrecte, bloquant le trafic vers le module de protection anti-fraude, causant des problèmes avec certains composants de contrôle de l'intégrité de Citrix.
Outre les exclusions AntiVirus et AntiSpyware pour les serveurs Terminal Server standard, les exclusions suivantes sont recommandées pour les serveurs Citrix:
- Dossier des fichiers du programme Citrix
- Base de données de configuration Citrix si présente sur le serveur
Symantec recommande que le processus suivant soit exclu de la protection anti-fraude sur les serveurs Citrix, car il est connu pour causer des problèmes:
- ctxcpusched.exe – pour plus de détails sur ce processus et sur la façon de créer une exclusion, reportez-vous à l’Annexe E.
Selon les serveurs de terminaux, si vous souhaitez exécuter le pare-feu SEP sur un serveur Citrix, vous pouvez le faire sans problème en utilisant la règle par défaut définie dans SEP 12.1 et les versions ultérieures. Si, toutefois, vous souhaitez créer un ensemble de règles personnalisées pour Citrix, les processus et les ports de communication suivants doivent être pris en compte:
Nom du processus |
Port local |
Port distant |
Direction |
La description |
---|---|---|---|---|
Svchost.exe |
TCP / 3389 |
TCP / 1024- 5000 |
Entrant |
Connexion RDP |
ntoskrnl.exe |
TCP / 80 |
TCP / 1024- 5000 |
Entrant |
Port par défaut pour le Web non sécurisé Serveurs Web d'interface et / ou navigation TCP + HTTP (port XML) et / ou port non sécurisé Citrix Secure Gateway Secure Ticket Authority (STA). |
TCP / 443 |
Port par défaut pour Citrix Secure Gateway, service de relais SSL, connexions Citrix ICA avec navigation SSL + HTTPS et connexions sécurisées à un serveur Web Citrix Web Interface). Il s’agit du seul port devant être ouvert sur un pare-feu externe pour des connexions sécurisées à Environnement Citrix Presentation Server utilisant la technologie Citrix Secure Gateway. |
|||
Svchost.exe |
TCP / 1494 |
TCP / 1024- 5000 |
Entrant |
Port ICA par défaut, cela peut être modifié si nécessaire. Il n'est pas nécessaire que ce port soit ouvert sur le pare-feu externe si vous utiliserez Citrix Secure Gateway pour Windows. |
ImaSrv.exe |
TCP / 2512 (sur le maître de la ferme) 1024-5000 (sur télécommande serveur) |
TCP / 1024- 5000 (pour Maître de la ferme) TCP / 2512 (sur la télécommande Serveur) |
Entrant |
Communications entre serveurs Citrix |
ImaSrv.exe |
TCP / 2513 |
TCP / 1024- 5000 |
Entrant |
Communication Citrix Management Console pour Presentation Server 4.0 avec le magasin de données Citrix IMA |
lmgrd.exe |
TCP / 27000 |
TCP / 1024- 5000 |
Entrant |
Le serveur de licences Citrix Access Suite et le démon License Manager communiquent via ce port |
CITRIX.exe |
Dynamique par défaut, mais configurable, voir Annexe F |
TCP / 1024- 5000 |
Entrant |
Encapsuleur Citrix Licensing Server |
Svchost.exe |
TCP / 1024- 5000 |
TCP / 27000 & Dynamique, dépend de la configuration de CITRIX.exe |
Sortant |
Permet aux serveurs Citrix de communiquer avec un serveur de licences Citrix |
mmc.exe |
TCP / 1024- 5000 |
Dynamique |
Sortant |
Permet à la console de gestion Citrix de communiquer avec Citrix les serveurs |
ConfigMgrSvr.exe |
Dynamique |
TCP / 1024- 5000 |
Entrant |
Permet à la console de gestion Citrix de communiquer avec Citrix les serveurs |
Dllhost.exe |
Dynamique |
TCP / 1024- 5000 |
Entrant |
Permet à la console de gestion Citrix de communiquer avec Citrix les serveurs |
Mfcom.exe |
Dynamique |
TCP / 1024- 5000 |
Entrant |
Permet à la console de gestion Citrix de communiquer avec Citrix les serveurs |
SmaService.exe |
Dynamique |
TCP / 1024- 5000 |
Entrant |
Permet à la console de gestion Citrix de communiquer avec Citrix les serveurs |
XTE.exe |
TCP / 2598 |
TCP / 1024- 5000 |
Entrant |
Session ICA avec communications de fiabilité de session client à serveur. Ce port est utilisé uniquement lorsque la fiabilité de session est activée. |
Dans le cas de services utilisant des ports dynamiques sur des serveurs, il est recommandé d'utiliser un groupe d'hôtes contenant les adresses IP des serveurs Citrix de votre organisation. Ce groupe a été pré-créé dans la stratégie de pare-feu fournie, vous devez simplement y ajouter vos adresses de serveur Citrix.
Notez que les administrateurs ne verront que plusieurs instances de SmcGui.exe, ccApp.exe et ProtectionUtilSurrogate.exe s’ils publient un poste de travail de serveur complet via Citrix. Si les applications publiées sont utilisées uniquement, il n'y aura pas d'instances multiples de ces processus et il n'y a aucune obligation de suivre les étapes décrites à l'annexe D.
Utilisation de Symantec Endpoint Protection Manager sur des serveurs Terminal Server
Bien qu'il soit possible d'exécuter Symantec Endpoint Protection Manager sur un serveur Terminal Server, il est déconseillé si le serveur Terminal Server doit héberger un grand nombre de sessions de terminal en raison de la surcharge de performances des services du gestionnaire, notamment lors de la mise à jour des définitions et de l'exécution. la console Java.
Conclusion
En conclusion, il est évident que le client Symantec Endpoint Protection fonctionnera sur des serveurs terminaux et Citrix lorsqu'il sera installé «prêt à l'emploi». Cependant, un certain nombre d'optimisations de produits et de configurations peuvent être apportées pour améliorer considérablement la fiabilité et les performances. dans cet environnement particulier.
Les futures versions de Symantec Endpoint Protection sont déjà en cours de développement et de nombreuses modifications ont été apportées au code afin de fournir une meilleure optimisation dans les environnements de services de terminaux. Tant que ces améliorations ne seront pas réalisées, les étapes de ce livre blanc fourniront les mêmes avantages en termes de performances.
Toutes les étapes de ce livre blanc ont déjà été effectuées sur plusieurs déploiements Citrix de grande envergure sur les sites des clients Symantec et tous les participants ont été extrêmement impressionnés par les avantages en termes de performances induits par ces modifications.
Annexe A: Méthodologie de test
Lors de la rédaction de ce livre blanc, l'environnement suivant a été créé:
Figure 2 – Environnement de test des services Terminal Server
- CITRIX32 – un serveur Windows 2003 32 bits exécutant Citrix Presentation Server 4.5 – membre de la batterie «Citrix Farm»
- CITRIX64 – un serveur Windows 2003 64 bits exécutant Citrix Presentation Server 4.5 – membre de la batterie «Citrix Farm»
- WTS32 – un serveur Windows 2003 32 bits exécutant les services Terminal Server en mode application
- WTS64 – un serveur Windows 2003 64 bits exécutant les services Terminal Server en mode application
- SYMDC – un contrôleur de domaine Windows 2003 32 bits pour le domaine: SYMCTEST
- SEPM – un serveur membre Windows 2003 32 bits exécutant Symantec Endpoint Protection Manager
- XPCLIENT – un ordinateur client Windows XP 32 bits, exécutant le client ICA et le Bureau à distance
Comme le montre le diagramme ci-dessus, un domaine «SYMCTEST» a été créé: tous les serveurs et clients étaient membres de ce domaine lors des tests. Les deux serveurs Citrix ont été joints à la même batterie de serveurs Citrix – «CitrixFarm». CITRIX64 a servi de serveur principal. Afin de tester, l'accès anonyme aux applications Citrix a été configuré. Les applications professionnelles courantes, telles que Microsoft Word et Excel, ont été installées sur les serveurs Citrix et ont été publiées via l'interface Web Citrix. En outre, un bureau complet a également été publié.
Symantec Endpoint Protection Manager a été installé sur le serveur «SEPM». Des packages ont ensuite été créés pour les serveurs et déployés à partir de la console. Le pare-feu Windows a été désactivé sur tous les serveurs, car le pare-feu SEP était utilisé, initialement avec la stratégie de pare-feu par défaut à partir de 12.1 et ultérieurement avec une stratégie développée sur mesure.
À l'aide du client XPCLIENT, plusieurs sessions de bureau à distance ont été établies pour chaque serveur Windows Terminal Server et les processus de gestion des performances et des tâches ont été observés. De la même manière, 10 sessions anonymes ont été établies sur chaque serveur Citrix. Des tests distincts ont été effectués pour les applications publiées et le poste de travail publié. Dans les deux cas, le gestionnaire de tâches a été observé à partir d'une connexion à la console.
Des modifications ont ensuite été apportées aux clients sur les serveurs et des tests supplémentaires ont été effectués pour voir la différence de performances et de processus chargés. Chaque modification a été effectuée séparément, puis testée.
Une fois l'optimisation des processus et des anti-virus et anti-logiciels espions terminée, le jeu de règles de pare-feu a été démarré. Un jeu de règles initial a été mis en place, autorisant toutes les communications vers et depuis le contrôleur de domaine. Il bloque et consigne tout le trafic supplémentaire. Des règles ont ensuite été créées pour chaque règle de blocage autorisant les processus Citrix et Terminal Server jusqu'à ce qu'il n'y ait plus de demandes bloquées liées aux processus Citrix ou Terminal Services. Tous les tests ont ensuite été réexécutés avec ce nouveau jeu de règles utilisé pour confirmer la fonctionnalité globale. En outre, des tâches d'administration de batterie de serveurs Citrix ont également été effectuées à partir de chaque serveur Citrix afin de garantir le bon fonctionnement des communications entre serveurs.
Une fois tous les changements de performances et les tests terminés, des tests de fonctionnalité ont été exécutés sur les clients SEP exécutés sur les serveurs pour prouver que les fonctionnalités essentielles n'avaient pas été affectées par les modifications mises en place. Des détections de virus se produisaient toujours et les utilisateurs étaient avertis, les clients pouvaient être gérés à partir de la console de gestion et accepteraient les commandes et mettraient à jour le contenu et les stratégies.
Annexe B: Processus clés sur les services de terminal Windows
Les processus supplémentaires suivants peuvent être vus s’exécutant sur un serveur de terminal Windows exécutant SEP Client:
Nom du processus |
Par utilisateur |
Vendeur |
La description |
---|---|---|---|
Smc.exe |
Non |
Symantec |
Composant de gestion Symantec – connecte le client SEP à SEPM |
SmcGui.exe |
Oui |
Symantec |
Fournit l'icône de la barre d'état système pour SEP et surveille le trafic réseau |
ccApp.exe |
Oui |
Symantec |
Analyse du courrier électronique du client SEP |
ccSvcHost.exe |
Non |
Symantec |
Composant du gestionnaire d'événements |
Rtvscan.exe |
Non |
Symantec |
Composant d'analyse de virus en temps réel |
SymCorpUI.exe |
Seulement quand ouvert |
Symantec |
Le client Symantec Endpoint Protection Interface graphique |
Lserver.exe |
Non |
Microsoft |
Composant Licence Terminal Server (si le serveur est un serveur de licences) |
De plus, sur les serveurs 64 bits, les processus suivants sont présents:
Nom du processus |
Par Utilisateur |
Vendeur |
La description |
---|---|---|---|
ProtectionUtilSurrogate.exe |
Oui |
Symantec |
Ce composant permet au processus SmcGui 64 bits d’accéder à des processus 32 bits, tels que RtvScan et SymCorpUI. |
Annexe C: Processus clés sur les produits Citrix
Les processus supplémentaires suivants peuvent être vus s’exécutant sur un serveur de terminal Windows exécutant Citrix Presentation Server & SEP Client:
Nom du processus |
Par Utilisateur |
Vendeur |
La description |
---|---|---|---|
Smc.exe |
Non |
Symantec |
Composant de gestion Symantec – connecte le client SEP à SEPM |
SmcGui.exe |
Oui |
Symantec |
Fournit l'icône de la barre d'état système pour SEP et surveille le trafic réseau |
ccApp.exe |
Oui |
Symantec |
Analyse du courrier électronique du client SEP |
ccSvcHost.exe |
Non |
Symantec |
Composant du gestionnaire d'événements |
Rtvscan.exe |
Non |
Symantec |
Composant d'analyse de virus en temps réel |
SymCorpUI.exe |
Seulement quand ouvert |
Symantec |
Le client Symantec Endpoint Protection Interface graphique |
Lserver.exe |
Non |
Microsoft |
Composant Licence Terminal Server (si le serveur est un serveur de licences) |
CITRIX.exe |
Non |
Citrix |
Encapsuleur Citrix License Server (si le serveur est un Serveur de licences Citrix) |
CdfSvc.exe |
Non |
Citrix |
Serveur COM de fonction de diagnostic – gère le suivi des fonctions de diagnostic lorsqu'il est utilisé pour diagnostiquer des problèmes avec le serveur Citrix |
cdmsvc.exe |
Non |
Citrix |
Gère le mappage des lecteurs et périphériques clients dans les sessions ICA |
Citrix_GTLicensingProv.exe |
Non |
Citrix |
Fournit des informations et des notifications concernant les événements de licence sur le serveur de licences (si le serveur est un serveur de licences Citrix) |
ConfigMgrSvr.exe |
Non |
Citrix |
Citrix Configuration Management Server |
CpSvc.exe |
Non |
Citrix |
Citrix Print Manager Service – gère la création d’imprimantes et l’utilisation des pilotes dans les sessions Citrix |
ctxcpusched.exe |
Non |
Citrix |
Gestion de l’utilisation de l’utilisation du processeur / gestion des ressources – Utilisée dans les éditions Enterprise et Platinum pour gérer la consommation des ressources du serveur |
CtxSFOSvc.exe |
Non |
Citrix |
Optimisation de la mémoire virtuelle Citrix – Utilisée dans les éditions Enterprise et Platinum pour rebaser les DLL afin de libérer de la mémoire sur le serveur |
ctxwmisvc.exe |
Non |
Citrix |
Service Citrix WMI – utilisé pour fournir les classes Citrix WMI à des fins d'information et de gestion |
encsvc.exe |
Non |
Citrix |
Citrix Encryption Service – Gère le chiffrement entre le périphérique client et le serveur Citrix. |
HCAService.exe |
Non |
Citrix |
Citrix Health Monitoring and Recovery – Fournit des services de surveillance de l'intégrité et de récupération en cas de problème |
icabar.exe |
Non |
Citrix |
Barre d'outils Citrix Systems |
IMAAdvanceSrv.exe |
Non |
Citrix |
Citrix Services Manager – Permet aux composants de Presentation Server d'interagir avec le système d'exploitation |
ImaSrv.exe |
Non |
Citrix |
Architecture de gestion indépendante Citrix – fournit des services de gestion au sein de la batterie de serveurs Citrix |
lmgrd.exe |
Non |
Macrovision société |
Citrix Licensing – Gère l'attribution de licences sur le serveur de licences (si le serveur est un serveur de licences Citrix) |
mfcom.exe |
Non |
Citrix |
Service Citrix MFCOM – Fournit des services COM permettant des connexions à distance des consoles de gestion. |
pnagent.exe |
Oui |
Citrix |
Programme de voisinage du client Citrix ICA Agent |
RadeObj.exe |
Oui |
Citrix |
Serveur COM de session client Citrix Streaming Client |
RadeSvc.exe |
Non |
Citrix |
Citrix Streaming Service – utilisé dans Versions Enterprise et Platinum pour gérer Citrix Streaming Client lors de la diffusion d'applications |
SmaService.exe |
Non |
Citrix |
Service Citrix SMA – Surveille le journal des événements et Citrix WMI pour déclencher des alertes dans la console Access Suite ou la console Access Management |
ssonsvr.exe |
Oui |
Citrix |
Citrix Program Neighborhood et Single Agent de connexion |
Tomcat.exe |
Non |
Alexandria Software Consulting |
Citrix License Management Console – fournit l'interface Web pour l'administration des licences |
wfshell.exe |
Oui |
Citrix |
Citrix WinFrame Shell – Coque transparente du moteur Windows |
XTE.exe |
Non |
Citrix |
Citrix XTE Server – gère le relais SSL et Fonctionnalité de fiabilité de session |
De plus, sur les serveurs 64 bits, les processus suivants sont présents:
Nom du processus |
Par utilisateur |
Vendeur |
La description |
---|---|---|---|
ProtectionUtilSurrogate.exe |
Oui |
Symantec |
Ce composant permet au processus SmcGui 64 bits d’accéder à des processus 32 bits, tels que RtvScan et SymCorpUI. |
Annexe D: Empêcher SmcGui, ProtectionUtilSurrogate et ccApp de s'exécuter pour tous les utilisateurs
Nom du processus |
---|
SmcGui.exe |
ProtectionUtilSurrogate.exe |
ccApp.exe |
À partir de ce moment, SmcGui.exe, ProtectionUtilSurrogate.exe (sur les serveurs 64 bits) et ccApp.exe ne se chargent plus pour les nouvelles sessions utilisateur. Il se peut toutefois que des instances de ccApp.exe déjà en cours d'exécution sur le serveur n'aient pas été fermées. Vous pouvez supprimer ces tâches à partir du Gestionnaire des tâches ou attendre que l'utilisateur se déconnecte – ccApp.exe se ferme et ne sera pas relancé à la prochaine ouverture de session.
Vous trouverez ci-dessous une liste des fonctionnalités perdues après l'implémentation de cette solution de contournement: Désactivation de ccApp:
Désactiver SmcGui
- Icône de barre d'état et menu Icône de barre d'état
- Ouvrez Symantec Endpoint Protection
- Activer / désactiver Symantec Endpoint Protection
- Politique de mise à jour
- Réauthentifier l'utilisateur (SNAC uniquement)
- Pare-feu et statut AV
- Conseils d'outils
- des ballons
- Invites du pare-feu (les paquets seront abandonnés)
- Création du répertoire de journal privé d’un utilisateur
- Boîte de dialogue Définitions AV:
- Définitions obsolètes
- Définitions corrompues
- Définitions manquantes
- Analyses de démarrage
- Détection de disquette à l'arrêt
- Redémarrez les invites. Les redémarrages se produiront sans invite, ce qui est identique à ce qui se passe lorsqu'il n'y a pas d'utilisateur connecté.
- Détection d'écran de veille pour les règles de pare-feu utilisant l'état d'écran de veille
Annexe E: Protection contre la falsification
Dans certaines circonstances, si SEP est configuré pour notifier l'utilisateur de violations de la protection anti-sabotage, la boîte de dialogue suivante s'affiche lorsque SEP est installé sur des serveurs Citrix 32 bits. Vous ne verrez pas cette notification sur les serveurs 64 bits, car la protection anti-sabotage n'est pas prise en charge sur les serveurs 64 bits.
Figure 3 – Alerte de protection contre les manipulations pour le processus de gestion du processeur Citrix
La stratégie Exceptions centralisées fournie dans cet article exclut ce processus de la détection. Toutefois, dans certains cas, cette exclusion peut ne pas fonctionner correctement et vous devrez l'exclure vous-même. La seule façon de procéder consiste à utiliser la console de gestion après la détection.
Pour ajouter le processus tel que décrit:
- Connectez-vous à la console de gestion SEPM avec un compte administrateur.
- Cliquez sur Stratégies > Exceptions centralisées.
- Si vous ne possédez pas déjà de stratégie d'exceptions centralisées, importez-en une avec ce livre blanc (reportez-vous à l'annexe F) ou créez-en une nouvelle en cliquant sur «Ajouter une stratégie d'exceptions centralisées». Donnez à la stratégie un nom approprié, puis cliquez sur OK. puis cliquez sur Non pour assigner l'invite de politique.
- Cliquez sur Moniteurs.
- Clique le Les journaux languette.
- Dans Type de journal, sélectionnez Contrôle des applications et des périphériques.
- Dans Contenu du journal, sélectionnez Contrôle d'application.
- Cliquez sur Paramètres avancés >>.
- Dans Type d'événement, sélectionnez Autoprotection.
- Cliquez sur Voir le journal. Vous verrez une liste des violations de protection anti-fraude.
- Sélectionnez une violation appropriée, cliquez sur Stratégie Ajouter un fichier à des exceptions centraliséeset cliquez Début.
- Assurez-vous que le fichier à exclure est correct.
- Sélectionnez toutes les stratégies d'exceptions centralisées auxquelles vous souhaitez ajouter l'exception.
- Cliquez sur D'accord.
- Cliquez sur D'accord encore.
- Cliquez sur Stratégies > Exceptions centralisées.
- Double-cliquez sur la stratégie d’exception centralisée à laquelle vous venez d’ajouter la nouvelle exception. La politique s'ouvre.
- Dans le volet de gauche, cliquez sur Exceptions centralisées. Confirmez que le fichier est répertorié et qu’il a une action «Ignorer».
Annexe F: Modification du numéro de port du démon vendeur Citrix
Par défaut, le démon vendeur Citrix utilise un numéro de port changeant dynamiquement lorsque le serveur de licences ou le service CitrixLicensing est redémarré.
Par conséquent, le port du démon vendeur Citrix n'est spécifié nulle part. Pour changer le numéro de port, ajoutez des paramètres pour le nouveau numéro de port et le chemin du fichier d'options à la ligne VENDOR CITRIX de chaque fichier de licence, y compris le fichier de licence de démarrage. La syntaxe modifiée dans le fichier de licence est la suivante:
VENDOR CITRIX options = “C: Program Files Citrix Licensing MyFiles CITRIX.opt” port = numéro
Lorsque vous modifiez le numéro de port du démon vendeur Citrix, vous devez modifier le numéro de chaque fichier de licence sur le serveur de licences et de tous les fichiers de licence que vous téléchargez par la suite.
Pour configurer un numéro de port statique pour le démon vendeur Citrix:
- Connectez-vous au serveur de licences Citrix avec un compte administratif.
- Accédez à l'emplacement des fichiers du serveur de licences Citrix (l'emplacement par défaut est C: Program Files Citrix Licensing MyFiles).
- Supprimez l'attribut Lecture seule de tous les fichiers de licence sur le serveur, y compris le fichier de licence de démarrage.
- Ouvrez un fichier de licence avec n’importe quel éditeur de texte.
- Dans le fichier de licence, localisez la ligne VENDOR CITRIX.
- Modifiez la ligne en ajoutant ce qui suit:
options =
port =
Exemple:VENDOR CITRIX options = “C: Program Files Citrix Licensing MyFiles CITRIX.opt” port = 27950
- Enregistrez le fichier de licence – assurez-vous de conserver l’extension .lic.
- Répétez les étapes 4 à 7 pour chaque fichier de licence sur le serveur de licences.
- Redémarrez le service CitrixLicensing. Vous pouvez également exécuter la commande d'administration de licence lmreread sur les fichiers de licence ou forcer le serveur de licences à relire les fichiers de licence en cliquant sur Mettre à jour les données de licence dans la page Fichiers de licence de la console License Management Console.
Remarque: Si un numéro de port TCP / IP est spécifié sur la ligne VENDOR, le démon vendeur Citrix peut ne pas redémarrer tant que tous les clients ne ferment pas leurs connexions au démon vendeur.
Annexe G: Liens et informations complémentaires
Consultez les instructions de Citrix pour la configuration du logiciel antivirus
Dans Symantec Endpoint Protection 12.1 et 14, certains processus ont été modifiés sur le client:
- ccApp.exe et Rtvscan.exe ne sont plus présents. Leur fonctionnalité a été déplacée dans ccSvcHost.exe.
- SmcGui.exe ne s'exécutera que si l'utilisateur lance l'interface graphique de Symantec Endpoint Protection et que cette dernière ne doit être lancée que pour cette session utilisateur.
- ccSvcHst.exe gère l'icône de la barre d'état système censée s'exécuter à chaque session.
Le démarrage de ces instances multiples peut être empêché en modifiant la valeur de registre pour LaunchSmcGui comme décrit.
Pour empêcher le processus de démarrer en modifiant la valeur de registre:
- Cliquez sur Début, Courir, tapez "regedit", et cliquez D'accord.
- Accédez à la clé SMC. Dans les versions de SEP antérieures à 12.1 RU5, il s'agit du même emplacement sur les systèmes 32 ou 64 bits:
HKLM LOGICIEL Symantec Symantec Endpoint Protection SMC
Dans SEP 12.1.5 (12.1 RU5) et plus récent sur les systèmes 64 bits, LaunchSmcGui et la plupart des autres clés et valeurs SMC ont été déplacés vers Wow6432Node:
HKLM LOGICIEL Wow6432Node Symantec Symantec Endpoint Protection SMC
- Recherchez l'entrée LaunchSmcGui et remplacez-la de DWORD 1 par DWORD 0 (ajoutez-la si elle n'est pas déjà présente).
- Arrêtez et redémarrez SepMasterService en allant dans Démarrer> Exécuter et exécutez les commandes suivantes:
smc-stop
smc -start
Remarques:
- Si vous ne parvenez pas à modifier les clés de registre répertoriées, vous pouvez désactiver temporairement la protection anti-sabotage. La modification de registre précédente devra être réappliquée après une mise à niveau réussie du client.
- SEP 14.0 RTM / 14.0 MP1 ont un défaut qui empêche les clients SEP 14 d’honorer les LaunchSmcGui 0 valeur de clé de registre, lorsqu'elle est correctement définie. Plusieurs instances de ccSvcHst.exe seront lancées pour chaque utilisateur connecté à un serveur Citrix ou Remote Desktop. Voir Processus persistant ccSvcHst.exe par utilisateur empêchant la fermeture de session en douceur.
Commentaires
Laisser un commentaire