Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.

Problème de déploiement à cause des pare-feu Windows

Created: 27 Aug 2010 | 9 comments

Bonjour à tous !

Je dois installer l'antivirus Symantec Endpoint Protection (SEP) sur un serveur et ensuite ce serveur devra déployer la version client de SEP à d'autres ordinateurs.
Selon la documentation technique du logiciel, il se peut que le pare-feu Windows des ordinateurs clients empêchent le déploiement à distance de SEP.
Quelle est la stratégie de groupe à appliquer pour faire en sorte que les pare-feu permettent le déploiement de l'antivirus ?

Cordialement,
Etinewok

Discussion Filed Under:

Comments 9 CommentsJump to latest comment

P_K_'s picture

Por favor, asegúrese de que los siguientes puertos abiertos en el firewall.

1. El puerto TCP 139 y 445
2. Puertos UDP 137 y 138 están abiertos
3.Ensure que el Firewall de Windows y compartido simple de archivos están deshabilitados en Windows XP

MCT MCSE-2012 Symantec Technical Specialist (SCTS)

Jason1222's picture

Ce que Prachand indique plus haut:

Okay, je ne lis pas le Espagnol?!!  LOL

Bon, bref, il dit qu'il faudra ouvrir les ports de TCP 139 et 445 sur le pare-feu des clients.
Port 137 et 138 UDP
Et que le Pare-Feu de windows, soit compatible avec l'archivage simple de Windows XP soit desactiver.
* * * * * *
Cela étant dit, est-ce que t'es clients sont en x64?
Si oui, il est bonne idée de garder le pare-feu Wiondoes.

Si par contre ils sont en Windows 32 bit, tu pourrais te servir de pare-feu SEP

Etinewok's picture

Bonjour,

Mes clients sont en x86 et x64. Je me disais que étant donné qu'avec le déploiement de SEP on peut avoir aussi un pare-feu SEP, autant désactiver le pare-feu Windows non ?
Sinon comment désactiver via une stratégie de groupe l'archivage simple de Windows XP ? Pourquoi d'ailleurs doit-on le désactiver ?

Cordialement,
Etinewok

Etinewok's picture

Je viens de trouver comment ouvrir les ports. Il suffit d'autoriser le partage de fichiers et d'imprimantes : cela ouvre les ports TCP 139,445 et UDP 137,138.
En revanche je ne sais toujours pas comment régler ce problème d'archivage simple.

Etinewok

Jason1222's picture

Par contre, pour l'archivage simple, verifie sur une machine, et tu verras ,lorsqu'une machine et joint au "domaine" il est éteint par défaut.
C'est une sécurité de Windows XP.

Bref, il n'y aucune facon de le faire par "Groupe Poolicy".  Il te fadrait écrire un script pour le faire, mais ca, juste pour XP édition familiale.

Maintenant, vue que le partage des imprimantes et parti et que les port 139 et 445 sont ouverts, avez-vous toujours des problèmes au niveau du déploiement?

La première chose àfaire (si pas déjà fait) c'est d'installer le Serveur SEP.  Donc le Symantec Endpoint Protection Management. 
Si tu as moins que disons 5000 clients, tu pourras te servir de la BD incorporée sans soucis. 
Il te faudra installer IIS sur le serveur, ainsi que le Micorsoft Reporting Component qui ne s'installerons pas tout seul.

Une fois que ton SEPM est installé, tu seras oubligé de créer 2 packages.  Une pour x32 et une pour x64.  Il existe des composants dans x64 qui ne fonctionne toujours pas. 

Pour les serveurs, eux sont mieux si seulement l'antivirus est installé.  Ca va te sauver beaucoup d'ennuie à la longue.

Etinewok's picture

Merci beaucoup.

Je suppose que l'archivage simple sous XP c'est ce qu'ils appellent en anglais "simple file sharing". Si c'est ça j'ai trouvé une manière de le désactiver via une stratégie de groupe via :
Configuration ordinateur => Paramètres Windows => Paramètres de sécurité => Stratégies locales => Options de sécurité
Il suffit de choisir le paramétrage "Classique" de la stratégie "Accès réseau : modèle de partage et de sécurité pour les comptes locaux".

Je n'ai pas encore commencé l'installation de SEPM, il faut que j'installe Microsoft Reporting Component d'après ce que tu me dis.
En ce qui concerne les package, lors de la création d'un package, est-ce que SEPM propose si on veut soit un package pour x86 ou pour x64, ou bien c'est à nous d'y ajouter manuellement certains fichiers spécifiques ?

Jason1222's picture

Lors de la création des packages, il te demandera de choisir le type de package ainsi que les composants des packages.
Exemple, AV/AS (antivirus / anti-espionnel).  Protection courriel, Lotus, Outlook, etc.  NTP (Pare-Feu, etc.)

Donc à toi de choisir les composants à mettre dans le package.  Et ensuite de créer un groupe qui sera dans le SEPM, sous clients.

A noter par contre, qu'il faut executer non la console, mais un autre composant que tu retrouveras sous "Start (démarrage) -> Programs (Programmes) -> Symantec. 
Il s'intitule "Deployment and Migration".  Il est très directe et te permettera de faire ce que tu en as de besoin. 

Aussi, l'option de créer un "single EXE package".  Donc il s'extrera tout seul, quitte a avoir tous les fichiers d'installations, il n'aura qu'un seul executable, dans un sous-répertoire.  Le sous-répertoire lui, représentera le nom du groupe. 

Et oui, en anglais, c'esy "simple file sharing".  Je n'étais pas au courant que dans GPO de Serveur 2008? il était possible d'accéder à celui-ci.  Mais, normalement par défaut en XP, lorsqu'un client est dans le domaine, il est éteint. 

Cette option te permettera, lorsqu'un usager se log dans la machine, sous la machine locale et non dans le domaine.

Mais bonne attrappe pareil.

Cedric Mejasson's picture

Pour répondre à votre question, le mieux etant (à mon sens) de désactiver le Firewall Windows qui, de fait, ne servira plus à grand chose après le déployement de la protection contre les menaces réseaux de SEP11.

Pour cela, vous pouvez le faire par GPO:

http://technet.microsoft.com/fr-fr/library/bb490626.aspx

Il vous faut donc désactiver le paramètre: "Pare-feu Windows: Protéger toutes les connexions réseau".