Serveur d'impression

Meilleures pratiques Citrix et Terminal Server pour Endpoint Protection – Bien choisir son serveur d impression

Par Titanfall , le 13 octobre 2019 - 27 minutes de lecture


Les recommandations suivantes s'appliquent à Symantec Endpoint Protection 12.1 et 14. Elles fournissent des informations sur la meilleure configuration de Symantec Endpoint Protection dans les environnements Terminal Server et Citrix.

Contenu

Portée

Cet article se concentre strictement sur la marche à suivre pour déployer avec succès les composants de protection Symantec Endpoint Protection 12.1 ou 14 sur un serveur Microsoft Terminal Server ou Citrix Presentation Server. Il fournit également des conseils sur la résolution des problèmes potentiels pouvant survenir lors du déploiement et une liste de ressources en ligne utiles.

Cet article fait ne pas couvrent le déploiement de Symantec Endpoint Protection 12.1 ou 14 sur un poste de travail, ainsi que d'autres problèmes d'administration plus généraux ou les meilleures pratiques de serveur Citrix en général; Pour obtenir des conseils sur ces sujets, reportez-vous à la documentation correspondante.

Résumé

L'objectif de ce livre blanc est de montrer que Symantec Endpoint Protection peut fonctionner correctement sur les serveurs de terminaux et, le cas échéant, de documenter toute modification requise de l'architecture de Symantec Endpoint Protection afin d'améliorer les performances ou la fiabilité de ces serveurs de terminaux. Les conclusions de ce livre blanc contribuent déjà à définir l'orientation future des fonctionnalités SEP sur les serveurs Citrix et Terminal.

Qu'est-ce que Windows Terminal Services?

Le composant Terminal Server de Windows Server permet aux clients et aux périphériques distants d'accéder aux ordinateurs de bureau et aux applications Windows Server et de les utiliser. Ces périphériques peuvent être des stations de travail Windows, Macintosh ou Linux, ainsi que des périphériques sans fil, des ordinateurs portables, des décodeurs ou potentiellement tout périphérique doté d'une connexion réseau. Lorsque les services Terminal Server sont activés sur un serveur Windows, les utilisateurs peuvent se connecter à un bureau virtuel sur le serveur et toutes les applications sont exécutées sur le serveur plutôt que sur le périphérique client.

Conceptuellement, la conception est similaire à l'utilisation de PCAnywhere, VNC ou de tout autre produit de contrôle à distance. Cependant, en exécutant un noyau spécial, un serveur Windows Terminal Server peut prendre en charge plusieurs utilisateurs se connectant au serveur simultanément, chacun exécutant son propre bureau virtuel. Un seul serveur peut potentiellement prendre en charge des dizaines, voire des centaines voire des milliers d'utilisateurs simultanés.

Qu'est-ce que Citrix Presentation Server?

Citrix Presentation Server, membre de la famille de produits Citrix Delivery Center, est un système de distribution d'applications Windows de bout en bout qui offre une virtualisation d'applications côté client et côté serveur, pour des performances optimales de l'application et des options de livraison flexibles. Grâce à l'architecture applicative sécurisée, les entreprises peuvent centraliser les applications et les données dans des centres de données sécurisés, réduisant ainsi les coûts de gestion et de support, renforçant la sécurité des données et garantissant des performances rapides et fiables.

Presentation Server permet aux services informatiques de fournir des applications sécurisées sous forme de service, offrant aux utilisateurs un accès à la demande tout en offrant la flexibilité nécessaire pour tirer parti des architectures d'applications futures.

Exécution de Symantec Endpoint Protection sur des serveurs Terminal Server

Le client Symantec Endpoint Protection s'exécutera de manière acceptable sur les serveurs Windows Terminal Server. Cependant, quelques modifications peuvent être apportées afin d'optimiser l'expérience utilisateur globale.

Protection antivirus et antispyware

Les recommandations suivantes doivent être prises en compte:

Configurez Auto-Protect pour:

  • Scan quand un fichier est modifié
  • Désactiver l'analyse du réseau

Exceptions centralisées

Symantec recommande de:

  • Exclure le fichier d'échange
  • Exclure le dossier du spouleur d'impression
  • Si le serveur est un serveur de licences, excluez le dossier et les bases de données du serveur de licences.

Certains administrateurs de serveur peuvent souhaiter exclure de l'analyse des profils de mobilité et / ou des dossiers «Mes documents» de leurs utilisateurs pour des raisons de sécurité. Bien que cela améliore les performances, Symantec ne recommande pas cette approche. En pratique, il s'agit généralement du lieu où les risques de sécurité sont découverts.

Analyses planifiées

Si une analyse planifiée est requise, elle doit être exécutée en plusieurs heures afin de minimiser l'impact sur l'utilisateur. En outre, ActiveScans lorsque les nouvelles définitions arrivent et que les analyses de démarrage ne doivent pas être exécutées, car elles pourraient entraîner une charge inutile sur le serveur Terminal Server pendant les heures de bureau.

Autoprotection

Il n’existe aucune recommandation de protection contre les falsifications pour un serveur exécutant uniquement les services Terminal Server.

Protection contre les menaces réseau

Bien qu'il ne soit pas recommandé d'exécuter la protection contre les menaces réseau sur les serveurs de terminaux, il est tout à fait possible de le faire. L'ensemble de règles par défaut de Symantec Endpoint Protection permettra à toutes les fonctions des services de terminal de fonctionner correctement. Toutefois, il convient de noter que si un jeu de règles personnalisé est créé, les services et ports suivants doivent être autorisés:

Nom du processus

Port local

Port distant

Entrant et sortant

La description

Svchost.exe

3389

1024-5000

Entrant

Connexion RDP

Informations générales sur Symantec Endpoint Protection et les processus utilisateur

Les administrateurs de serveurs Terminal Server doivent toujours garder à l'esprit que l'exécution du client SEP sur leurs serveurs Terminal Server ne protégera pas l'ordinateur client contre les menaces. Selon la solution de terminal utilisée, Symantec propose une solution distincte pour ces applications (la plupart peuvent exécuter SEP, d'autres peuvent nécessiter SEP pour XP Embedded) et vous devez en discuter avec votre partenaire Symantec, votre SE ou votre responsable de compte.

Figure 1 – Processus SEP s'exécutant sur des serveurs Terminal Server

Lorsque vous exécutez le client SEP sur des serveurs Terminal Server, vous remarquerez que plusieurs instances de SmcGui.exe et de ccApp.exe sont en cours d'exécution. En outre, sur les serveurs de terminaux 64 bits, vous verrez également ProtectionUtilSurrogate.exe s'exécuter par utilisateur. Ce comportement est normal et ne devrait pas causer de problèmes lors de petits déploiements ou de scénarios d’administration à distance. Toutefois, dans certaines circonstances et en fonction du nombre de sessions utilisées, l'utilisation de l'UC peut atteindre 100% et l'utilisation d'une grande quantité de mémoire supplémentaire. Bien que ces processus soient requis pour une installation de client SEP pleinement opérationnelle, leur chargement sur les serveurs de terminaux peut être empêché avec un effet minimal pour l'utilisateur final. Pour plus de détails sur la procédure à suivre, voir l’Annexe D.

Bien que le client SEP puisse être configuré pour prendre en charge plusieurs utilisateurs avec des stratégies individuelles, dans un environnement Terminal Server, cela se manifestera d'une manière différente de celle que l'on aurait pu imaginer. Si un utilisateur est connecté à la console du serveur, tous les utilisateurs distants se verront attribuer la même stratégie. S'il n'y a pas d'utilisateur de console, tous les utilisateurs recevront la stratégie du premier utilisateur connecté.

Symantec s'efforce de changer cela afin que la fonctionnalité fonctionne correctement sur les serveurs Terminal Server, mais ce comportement est attendu pour le moment.

Considérations supplémentaires pour Symantec Endpoint Protection sur les produits Citrix

Comme pour les services Windows Terminal, Symantec Endpoint Protection s'exécute sans problème majeur sur les environnements Citrix tant que toutes les recommandations précédentes sont prises en compte. De plus, certains composants de l'application peuvent toutefois causer des problèmes. Celles-ci peuvent varier d'un composant de pare-feu configuré de manière incorrecte, bloquant le trafic vers le module de protection anti-fraude, causant des problèmes avec certains composants de contrôle de l'intégrité de Citrix.

Outre les exclusions AntiVirus et AntiSpyware pour les serveurs Terminal Server standard, les exclusions suivantes sont recommandées pour les serveurs Citrix:

  • Dossier des fichiers du programme Citrix
  • Base de données de configuration Citrix si présente sur le serveur

Symantec recommande que le processus suivant soit exclu de la protection anti-fraude sur les serveurs Citrix, car il est connu pour causer des problèmes:

  • ctxcpusched.exe – pour plus de détails sur ce processus et sur la façon de créer une exclusion, reportez-vous à l’Annexe E.

Selon les serveurs de terminaux, si vous souhaitez exécuter le pare-feu SEP sur un serveur Citrix, vous pouvez le faire sans problème en utilisant la règle par défaut définie dans SEP 12.1 et les versions ultérieures. Si, toutefois, vous souhaitez créer un ensemble de règles personnalisées pour Citrix, les processus et les ports de communication suivants doivent être pris en compte:

Nom du processus

Port local

Port distant

Direction

La description

Svchost.exe

TCP / 3389

TCP / 1024-

5000

Entrant

Connexion RDP

ntoskrnl.exe

TCP / 80

TCP / 1024-

5000

Entrant

Port par défaut pour le Web non sécurisé

Serveurs Web d'interface et / ou navigation TCP + HTTP (port XML) et / ou port non sécurisé Citrix Secure Gateway Secure Ticket Authority (STA).

TCP / 443

Port par défaut pour Citrix Secure Gateway, service de relais SSL, connexions Citrix ICA avec navigation SSL + HTTPS et connexions sécurisées à un serveur Web Citrix Web Interface). Il s’agit du seul port devant être ouvert sur un pare-feu externe pour des connexions sécurisées à Environnement Citrix Presentation Server utilisant la technologie Citrix Secure Gateway.

Svchost.exe

TCP / 1494

TCP / 1024-

5000

Entrant

Port ICA par défaut, cela peut être modifié si nécessaire. Il n'est pas nécessaire que ce port soit ouvert sur le pare-feu externe si vous utiliserez Citrix Secure Gateway pour Windows.

ImaSrv.exe

TCP / 2512 (sur le maître de la ferme)

1024-5000 (sur télécommande

serveur)

TCP / 1024-

5000 (pour

Maître de la ferme) TCP / 2512

(sur la télécommande

Serveur)

Entrant

Communications entre serveurs Citrix

ImaSrv.exe

TCP / 2513

TCP / 1024-

5000

Entrant

Communication Citrix Management Console pour Presentation Server 4.0 avec le magasin de données Citrix IMA

lmgrd.exe

TCP / 27000

TCP / 1024-

5000

Entrant

Le serveur de licences Citrix Access Suite et le démon License Manager communiquent via ce port

CITRIX.exe

Dynamique par défaut, mais configurable, voir

Annexe F

TCP / 1024-

5000

Entrant

Encapsuleur Citrix Licensing Server

Svchost.exe

TCP / 1024-

5000

TCP / 27000

& Dynamique,

dépend de la configuration de CITRIX.exe

Sortant

Permet aux serveurs Citrix de communiquer avec un serveur de licences Citrix

mmc.exe

TCP / 1024-

5000

Dynamique

Sortant

Permet à la console de gestion Citrix de communiquer avec Citrix

les serveurs

ConfigMgrSvr.exe

Dynamique

TCP / 1024-

5000

Entrant

Permet à la console de gestion Citrix de communiquer avec Citrix

les serveurs

Dllhost.exe

Dynamique

TCP / 1024-

5000

Entrant

Permet à la console de gestion Citrix de communiquer avec Citrix

les serveurs

Mfcom.exe

Dynamique

TCP / 1024-

5000

Entrant

Permet à la console de gestion Citrix de communiquer avec Citrix

les serveurs

SmaService.exe

Dynamique

TCP / 1024-

5000

Entrant

Permet à la console de gestion Citrix de communiquer avec Citrix

les serveurs

XTE.exe

TCP / 2598

TCP / 1024-

5000

Entrant

Session ICA avec communications de fiabilité de session client à serveur. Ce port est utilisé uniquement lorsque la fiabilité de session est activée.

Dans le cas de services utilisant des ports dynamiques sur des serveurs, il est recommandé d'utiliser un groupe d'hôtes contenant les adresses IP des serveurs Citrix de votre organisation. Ce groupe a été pré-créé dans la stratégie de pare-feu fournie, vous devez simplement y ajouter vos adresses de serveur Citrix.

Notez que les administrateurs ne verront que plusieurs instances de SmcGui.exe, ccApp.exe et ProtectionUtilSurrogate.exe s’ils publient un poste de travail de serveur complet via Citrix. Si les applications publiées sont utilisées uniquement, il n'y aura pas d'instances multiples de ces processus et il n'y a aucune obligation de suivre les étapes décrites à l'annexe D.

Utilisation de Symantec Endpoint Protection Manager sur des serveurs Terminal Server

Bien qu'il soit possible d'exécuter Symantec Endpoint Protection Manager sur un serveur Terminal Server, il est déconseillé si le serveur Terminal Server doit héberger un grand nombre de sessions de terminal en raison de la surcharge de performances des services du gestionnaire, notamment lors de la mise à jour des définitions et de l'exécution. la console Java.

Conclusion

En conclusion, il est évident que le client Symantec Endpoint Protection fonctionnera sur des serveurs terminaux et Citrix lorsqu'il sera installé «prêt à l'emploi». Cependant, un certain nombre d'optimisations de produits et de configurations peuvent être apportées pour améliorer considérablement la fiabilité et les performances. dans cet environnement particulier.

Les futures versions de Symantec Endpoint Protection sont déjà en cours de développement et de nombreuses modifications ont été apportées au code afin de fournir une meilleure optimisation dans les environnements de services de terminaux. Tant que ces améliorations ne seront pas réalisées, les étapes de ce livre blanc fourniront les mêmes avantages en termes de performances.

Toutes les étapes de ce livre blanc ont déjà été effectuées sur plusieurs déploiements Citrix de grande envergure sur les sites des clients Symantec et tous les participants ont été extrêmement impressionnés par les avantages en termes de performances induits par ces modifications.

Annexe A: Méthodologie de test

Lors de la rédaction de ce livre blanc, l'environnement suivant a été créé:

Figure 2 – Environnement de test des services Terminal Server

  • CITRIX32 – un serveur Windows 2003 32 bits exécutant Citrix Presentation Server 4.5 – membre de la batterie «Citrix Farm»
  • CITRIX64 – un serveur Windows 2003 64 bits exécutant Citrix Presentation Server 4.5 – membre de la batterie «Citrix Farm»
  • WTS32 – un serveur Windows 2003 32 bits exécutant les services Terminal Server en mode application
  • WTS64 – un serveur Windows 2003 64 bits exécutant les services Terminal Server en mode application
  • SYMDC – un contrôleur de domaine Windows 2003 32 bits pour le domaine: SYMCTEST
  • SEPM – un serveur membre Windows 2003 32 bits exécutant Symantec Endpoint Protection Manager
  • XPCLIENT – un ordinateur client Windows XP 32 bits, exécutant le client ICA et le Bureau à distance

Comme le montre le diagramme ci-dessus, un domaine «SYMCTEST» a été créé: tous les serveurs et clients étaient membres de ce domaine lors des tests. Les deux serveurs Citrix ont été joints à la même batterie de serveurs Citrix – «CitrixFarm». CITRIX64 a servi de serveur principal. Afin de tester, l'accès anonyme aux applications Citrix a été configuré. Les applications professionnelles courantes, telles que Microsoft Word et Excel, ont été installées sur les serveurs Citrix et ont été publiées via l'interface Web Citrix. En outre, un bureau complet a également été publié.

Symantec Endpoint Protection Manager a été installé sur le serveur «SEPM». Des packages ont ensuite été créés pour les serveurs et déployés à partir de la console. Le pare-feu Windows a été désactivé sur tous les serveurs, car le pare-feu SEP était utilisé, initialement avec la stratégie de pare-feu par défaut à partir de 12.1 et ultérieurement avec une stratégie développée sur mesure.

À l'aide du client XPCLIENT, plusieurs sessions de bureau à distance ont été établies pour chaque serveur Windows Terminal Server et les processus de gestion des performances et des tâches ont été observés. De la même manière, 10 sessions anonymes ont été établies sur chaque serveur Citrix. Des tests distincts ont été effectués pour les applications publiées et le poste de travail publié. Dans les deux cas, le gestionnaire de tâches a été observé à partir d'une connexion à la console.

Des modifications ont ensuite été apportées aux clients sur les serveurs et des tests supplémentaires ont été effectués pour voir la différence de performances et de processus chargés. Chaque modification a été effectuée séparément, puis testée.

Une fois l'optimisation des processus et des anti-virus et anti-logiciels espions terminée, le jeu de règles de pare-feu a été démarré. Un jeu de règles initial a été mis en place, autorisant toutes les communications vers et depuis le contrôleur de domaine. Il bloque et consigne tout le trafic supplémentaire. Des règles ont ensuite été créées pour chaque règle de blocage autorisant les processus Citrix et Terminal Server jusqu'à ce qu'il n'y ait plus de demandes bloquées liées aux processus Citrix ou Terminal Services. Tous les tests ont ensuite été réexécutés avec ce nouveau jeu de règles utilisé pour confirmer la fonctionnalité globale. En outre, des tâches d'administration de batterie de serveurs Citrix ont également été effectuées à partir de chaque serveur Citrix afin de garantir le bon fonctionnement des communications entre serveurs.

Une fois tous les changements de performances et les tests terminés, des tests de fonctionnalité ont été exécutés sur les clients SEP exécutés sur les serveurs pour prouver que les fonctionnalités essentielles n'avaient pas été affectées par les modifications mises en place. Des détections de virus se produisaient toujours et les utilisateurs étaient avertis, les clients pouvaient être gérés à partir de la console de gestion et accepteraient les commandes et mettraient à jour le contenu et les stratégies.

Annexe B: Processus clés sur les services de terminal Windows

Les processus supplémentaires suivants peuvent être vus s’exécutant sur un serveur de terminal Windows exécutant SEP Client:

Nom du processus

Par utilisateur

Vendeur

La description

Smc.exe

Non

Symantec

Composant de gestion Symantec –

connecte le client SEP à SEPM

SmcGui.exe

Oui

Symantec

Fournit l'icône de la barre d'état système pour SEP et surveille le trafic réseau

ccApp.exe

Oui

Symantec

Analyse du courrier électronique du client SEP

ccSvcHost.exe

Non

Symantec

Composant du gestionnaire d'événements

Rtvscan.exe

Non

Symantec

Composant d'analyse de virus en temps réel

SymCorpUI.exe

Seulement quand ouvert

Symantec

Le client Symantec Endpoint Protection

Interface graphique

Lserver.exe

Non

Microsoft

Composant Licence Terminal Server (si le serveur est un serveur de licences)

De plus, sur les serveurs 64 bits, les processus suivants sont présents:

Nom du processus

Par

Utilisateur

Vendeur

La description

ProtectionUtilSurrogate.exe

Oui

Symantec

Ce composant permet au processus SmcGui 64 bits d’accéder à des processus 32 bits, tels que RtvScan et SymCorpUI.

Annexe C: Processus clés sur les produits Citrix

Les processus supplémentaires suivants peuvent être vus s’exécutant sur un serveur de terminal Windows exécutant Citrix Presentation Server & SEP Client:

Nom du processus

Par

Utilisateur

Vendeur

La description

Smc.exe

Non

Symantec

Composant de gestion Symantec –

connecte le client SEP à SEPM

SmcGui.exe

Oui

Symantec

Fournit l'icône de la barre d'état système pour SEP et surveille le trafic réseau

ccApp.exe

Oui

Symantec

Analyse du courrier électronique du client SEP

ccSvcHost.exe

Non

Symantec

Composant du gestionnaire d'événements

Rtvscan.exe

Non

Symantec

Composant d'analyse de virus en temps réel

SymCorpUI.exe

Seulement quand ouvert

Symantec

Le client Symantec Endpoint Protection

Interface graphique

Lserver.exe

Non

Microsoft

Composant Licence Terminal Server (si le serveur est un serveur de licences)

CITRIX.exe

Non

Citrix

Encapsuleur Citrix License Server (si le serveur est un

Serveur de licences Citrix)

CdfSvc.exe

Non

Citrix

Serveur COM de fonction de diagnostic – gère le suivi des fonctions de diagnostic lorsqu'il est utilisé pour diagnostiquer des problèmes avec le serveur Citrix

cdmsvc.exe

Non

Citrix

Gère le mappage des lecteurs et périphériques clients dans les sessions ICA

Citrix_GTLicensingProv.exe

Non

Citrix

Fournit des informations et des notifications concernant les événements de licence sur le serveur de licences (si le serveur est un serveur de licences Citrix)

ConfigMgrSvr.exe

Non

Citrix

Citrix Configuration Management Server

CpSvc.exe

Non

Citrix

Citrix Print Manager Service – gère la création d’imprimantes et l’utilisation des pilotes dans les sessions Citrix

ctxcpusched.exe

Non

Citrix

Gestion de l’utilisation de l’utilisation du processeur / gestion des ressources – Utilisée dans les éditions Enterprise et Platinum pour gérer la consommation des ressources du serveur

CtxSFOSvc.exe

Non

Citrix

Optimisation de la mémoire virtuelle Citrix – Utilisée

dans les éditions Enterprise et Platinum pour rebaser les DLL afin de libérer de la mémoire sur le serveur

ctxwmisvc.exe

Non

Citrix

Service Citrix WMI – utilisé pour fournir les classes Citrix WMI à des fins d'information et de gestion

encsvc.exe

Non

Citrix

Citrix Encryption Service – Gère le chiffrement entre le périphérique client et le serveur Citrix.

HCAService.exe

Non

Citrix

Citrix Health Monitoring and Recovery – Fournit des services de surveillance de l'intégrité et de récupération en cas de problème

icabar.exe

Non

Citrix

Barre d'outils Citrix Systems

IMAAdvanceSrv.exe

Non

Citrix

Citrix Services Manager – Permet aux composants de Presentation Server d'interagir avec le système d'exploitation

ImaSrv.exe

Non

Citrix

Architecture de gestion indépendante Citrix – fournit des services de gestion au sein de la batterie de serveurs Citrix

lmgrd.exe

Non

Macrovision

société

Citrix Licensing – Gère l'attribution de licences sur le serveur de licences (si le serveur est un serveur de licences Citrix)

mfcom.exe

Non

Citrix

Service Citrix MFCOM – Fournit des services COM permettant des connexions à distance des consoles de gestion.

pnagent.exe

Oui

Citrix

Programme de voisinage du client Citrix ICA

Agent

RadeObj.exe

Oui

Citrix

Serveur COM de session client Citrix Streaming Client

RadeSvc.exe

Non

Citrix

Citrix Streaming Service – utilisé dans

Versions Enterprise et Platinum pour gérer Citrix Streaming Client lors de la diffusion d'applications

SmaService.exe

Non

Citrix

Service Citrix SMA – Surveille le journal des événements

et Citrix WMI pour déclencher des alertes dans la console Access Suite ou la console Access Management

ssonsvr.exe

Oui

Citrix

Citrix Program Neighborhood et Single

Agent de connexion

Tomcat.exe

Non

Alexandria Software Consulting

Citrix License Management Console – fournit l'interface Web pour l'administration des licences

wfshell.exe

Oui

Citrix

Citrix WinFrame Shell – Coque transparente du moteur Windows

XTE.exe

Non

Citrix

Citrix XTE Server – gère le relais SSL et

Fonctionnalité de fiabilité de session

De plus, sur les serveurs 64 bits, les processus suivants sont présents:

Nom du processus

Par utilisateur

Vendeur

La description

ProtectionUtilSurrogate.exe

Oui

Symantec

Ce composant permet au processus SmcGui 64 bits d’accéder à des processus 32 bits, tels que RtvScan et SymCorpUI.

Annexe D: Empêcher SmcGui, ProtectionUtilSurrogate et ccApp de s'exécuter pour tous les utilisateurs

Nom du processus

SmcGui.exe

ProtectionUtilSurrogate.exe

ccApp.exe

À partir de ce moment, SmcGui.exe, ProtectionUtilSurrogate.exe (sur les serveurs 64 bits) et ccApp.exe ne se chargent plus pour les nouvelles sessions utilisateur. Il se peut toutefois que des instances de ccApp.exe déjà en cours d'exécution sur le serveur n'aient pas été fermées. Vous pouvez supprimer ces tâches à partir du Gestionnaire des tâches ou attendre que l'utilisateur se déconnecte – ccApp.exe se ferme et ne sera pas relancé à la prochaine ouverture de session.

Vous trouverez ci-dessous une liste des fonctionnalités perdues après l'implémentation de cette solution de contournement: Désactivation de ccApp:

Désactiver SmcGui

  • Icône de barre d'état et menu Icône de barre d'état
    • Ouvrez Symantec Endpoint Protection
    • Activer / désactiver Symantec Endpoint Protection
    • Politique de mise à jour
    • Réauthentifier l'utilisateur (SNAC uniquement)
  • Pare-feu et statut AV
    • Conseils d'outils
    • des ballons
    • Invites du pare-feu (les paquets seront abandonnés)
  • Création du répertoire de journal privé d’un utilisateur
  • Boîte de dialogue Définitions AV:
    • Définitions obsolètes
    • Définitions corrompues
    • Définitions manquantes
  • Analyses de démarrage
  • Détection de disquette à l'arrêt
  • Redémarrez les invites. Les redémarrages se produiront sans invite, ce qui est identique à ce qui se passe lorsqu'il n'y a pas d'utilisateur connecté.
  • Détection d'écran de veille pour les règles de pare-feu utilisant l'état d'écran de veille

Annexe E: Protection contre la falsification

Dans certaines circonstances, si SEP est configuré pour notifier l'utilisateur de violations de la protection anti-sabotage, la boîte de dialogue suivante s'affiche lorsque SEP est installé sur des serveurs Citrix 32 bits. Vous ne verrez pas cette notification sur les serveurs 64 bits, car la protection anti-sabotage n'est pas prise en charge sur les serveurs 64 bits.

Figure 3 – Alerte de protection contre les manipulations pour le processus de gestion du processeur Citrix

La stratégie Exceptions centralisées fournie dans cet article exclut ce processus de la détection. Toutefois, dans certains cas, cette exclusion peut ne pas fonctionner correctement et vous devrez l'exclure vous-même. La seule façon de procéder consiste à utiliser la console de gestion après la détection.

Pour ajouter le processus tel que décrit:

  1. Connectez-vous à la console de gestion SEPM avec un compte administrateur.
  2. Cliquez sur Stratégies > Exceptions centralisées.
  3. Si vous ne possédez pas déjà de stratégie d'exceptions centralisées, importez-en une avec ce livre blanc (reportez-vous à l'annexe F) ou créez-en une nouvelle en cliquant sur «Ajouter une stratégie d'exceptions centralisées». Donnez à la stratégie un nom approprié, puis cliquez sur OK. puis cliquez sur Non pour assigner l'invite de politique.
  4. Cliquez sur Moniteurs.
  5. Clique le Les journaux languette.
  6. Dans Type de journal, sélectionnez Contrôle des applications et des périphériques.
  7. Dans Contenu du journal, sélectionnez Contrôle d'application.
  8. Cliquez sur Paramètres avancés >>.
  9. Dans Type d'événement, sélectionnez Autoprotection.
  10. Cliquez sur Voir le journal. Vous verrez une liste des violations de protection anti-fraude.
  11. Sélectionnez une violation appropriée, cliquez sur Stratégie Ajouter un fichier à des exceptions centraliséeset cliquez Début.
  12. Assurez-vous que le fichier à exclure est correct.
  13. Sélectionnez toutes les stratégies d'exceptions centralisées auxquelles vous souhaitez ajouter l'exception.
  14. Cliquez sur D'accord.
  15. Cliquez sur D'accord encore.
  16. Cliquez sur Stratégies > Exceptions centralisées.
  17. Double-cliquez sur la stratégie d’exception centralisée à laquelle vous venez d’ajouter la nouvelle exception. La politique s'ouvre.
  18. Dans le volet de gauche, cliquez sur Exceptions centralisées. Confirmez que le fichier est répertorié et qu’il a une action «Ignorer».

Annexe F: Modification du numéro de port du démon vendeur Citrix

Par défaut, le démon vendeur Citrix utilise un numéro de port changeant dynamiquement lorsque le serveur de licences ou le service CitrixLicensing est redémarré.

Par conséquent, le port du démon vendeur Citrix n'est spécifié nulle part. Pour changer le numéro de port, ajoutez des paramètres pour le nouveau numéro de port et le chemin du fichier d'options à la ligne VENDOR CITRIX de chaque fichier de licence, y compris le fichier de licence de démarrage. La syntaxe modifiée dans le fichier de licence est la suivante:

VENDOR CITRIX options = “C: Program Files Citrix Licensing MyFiles CITRIX.opt” port = numéro

Lorsque vous modifiez le numéro de port du démon vendeur Citrix, vous devez modifier le numéro de chaque fichier de licence sur le serveur de licences et de tous les fichiers de licence que vous téléchargez par la suite.

Pour configurer un numéro de port statique pour le démon vendeur Citrix:

  1. Connectez-vous au serveur de licences Citrix avec un compte administratif.
  2. Accédez à l'emplacement des fichiers du serveur de licences Citrix (l'emplacement par défaut est C: Program Files Citrix Licensing MyFiles).
  3. Supprimez l'attribut Lecture seule de tous les fichiers de licence sur le serveur, y compris le fichier de licence de démarrage.
  4. Ouvrez un fichier de licence avec n’importe quel éditeur de texte.
  5. Dans le fichier de licence, localisez la ligne VENDOR CITRIX.
  6. Modifiez la ligne en ajoutant ce qui suit:
    options = port =
    Exemple:
    VENDOR CITRIX options = “C: Program Files Citrix Licensing MyFiles CITRIX.opt” port = 27950
  7. Enregistrez le fichier de licence – assurez-vous de conserver l’extension .lic.
  8. Répétez les étapes 4 à 7 pour chaque fichier de licence sur le serveur de licences.
  9. Redémarrez le service CitrixLicensing. Vous pouvez également exécuter la commande d'administration de licence lmreread sur les fichiers de licence ou forcer le serveur de licences à relire les fichiers de licence en cliquant sur Mettre à jour les données de licence dans la page Fichiers de licence de la console License Management Console.

    Remarque: Si un numéro de port TCP / IP est spécifié sur la ligne VENDOR, le démon vendeur Citrix peut ne pas redémarrer tant que tous les clients ne ferment pas leurs connexions au démon vendeur.

Annexe G: Liens et informations complémentaires

Consultez les instructions de Citrix pour la configuration du logiciel antivirus

Dans Symantec Endpoint Protection 12.1 et 14, certains processus ont été modifiés sur le client:

  • ccApp.exe et Rtvscan.exe ne sont plus présents. Leur fonctionnalité a été déplacée dans ccSvcHost.exe.
  • SmcGui.exe ne s'exécutera que si l'utilisateur lance l'interface graphique de Symantec Endpoint Protection et que cette dernière ne doit être lancée que pour cette session utilisateur.
  • ccSvcHst.exe gère l'icône de la barre d'état système censée s'exécuter à chaque session.

Le démarrage de ces instances multiples peut être empêché en modifiant la valeur de registre pour LaunchSmcGui comme décrit.

Pour empêcher le processus de démarrer en modifiant la valeur de registre:

  1. Cliquez sur Début, Courir, tapez "regedit", et cliquez D'accord.
  2. Accédez à la clé SMC. Dans les versions de SEP antérieures à 12.1 RU5, il s'agit du même emplacement sur les systèmes 32 ou 64 bits:

    HKLM LOGICIEL Symantec Symantec Endpoint Protection SMC

    Dans SEP 12.1.5 (12.1 RU5) et plus récent sur les systèmes 64 bits, LaunchSmcGui et la plupart des autres clés et valeurs SMC ont été déplacés vers Wow6432Node:

    HKLM LOGICIEL Wow6432Node Symantec Symantec Endpoint Protection SMC

  3. Recherchez l'entrée LaunchSmcGui et remplacez-la de DWORD 1 par DWORD 0 (ajoutez-la si elle n'est pas déjà présente).
  4. Arrêtez et redémarrez SepMasterService en allant dans Démarrer> Exécuter et exécutez les commandes suivantes:

    smc-stop
    smc -start

Remarques:

  • Si vous ne parvenez pas à modifier les clés de registre répertoriées, vous pouvez désactiver temporairement la protection anti-sabotage. La modification de registre précédente devra être réappliquée après une mise à niveau réussie du client.
  • SEP 14.0 RTM / 14.0 MP1 ont un défaut qui empêche les clients SEP 14 d’honorer les LaunchSmcGui 0 valeur de clé de registre, lorsqu'elle est correctement définie. Plusieurs instances de ccSvcHst.exe seront lancées pour chaque utilisateur connecté à un serveur Citrix ou Remote Desktop. Voir Processus persistant ccSvcHst.exe par utilisateur empêchant la fermeture de session en douceur.
Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.