Donc, rqs.exe est installé et le script de
quarantaine est disponible. Il faut
maintenant installer CMAK sur tout
serveur Windows 2003 et configurer
un profil CM. Pour cela :
- Ouvrez l'applet Control Panel Add
or Remove Programs.
- Cliquez sur Add/Remove Windows
Components dans la boîte de dialogue
Add or Remove Programs
pour lancer le Windows Components
Wizard.
Dans la section Components de la
boîte de dialogue Windows Components
Wizard, cochez la case
Management and Monitoring
Tools. Cliquez sur Details.
Cochez la case Connection Manager
Administration Kit dans la
boîte de liste Subcomponents of
Management and Monitoring Tools
dans la boîte de dialogue Management
and Monitoring Tools.
Cliquez sur OK puis sur Next. Le
Windows Components Wizard vous
demandera probablement d’insérer
le média Windows 2003 d’origine
pour boucler l’installation.
Sélectionnez A l l Programs,
Administrative Tools, Connection
Manager Administration Kit sur le
menu Start pour lancer le wizard
CMAK. Cliquez sur Next. Cliquez à
nouveau sur Next.
Dans le champ Service name,
entrez un nom créatif pour votre
profil CM. Pour cet exemple, ce
sera hotcert.com. Appuyez sur la
touche Tab.
Dans le champ File Name, entrez
un nom pour l’exécutable que vous
voulez distribuer aux utilisateurs.
Son nom de fichier ne peut pas dépasser
huit caractères. L’extension
de fichier n’est pas nécessaire. Le
wizard ajoutera ultérieurement
l’extension de fichier .exe. Pour cet
exemple, taper hotcert. Cliquez sur
Next trois fois.
Dans la boîte de dialogue VPN
Support, le wizard CMAK offre la
fonction servant à distribuer phone
books aux utilisateurs. Phone
books permet de distribuer et de
mettre à jour les changements apportés
à de multiples serveurs dialup
et VPN. Ils servent aussi à lister
de multiples numéros de téléphone
pour atteindre des serveurs
dial-up et VPN qui donnent aux utilisateurs
diverses possibilités de
connexion dans le cas où un serveur
RAS serait indisponible. Pour
utiliser la fonction Phone books, il
faut un serveur Web tourné vers
l’extérieur qui fournira les mises à
jour nécessaires aux clients.
Pour cet exemple, il n’y a qu’un serveur
VPN, donc vous n’avez à fournir
qu’une adresse IP pour ce serveur.
Cochez la case Phone Book
from this profile et la case Always
use the same VPN Server.
Fournissez l’adresse IP externe du
serveur VPN. Pour cet exemple, tapez
10.0.0.2. Cliquez deux fois sur
Next.
Dans la boîte de dialogue Phone
Book, décochez la case Automatically
download phone book updates.
Pour cet environnement de
test, on n’apportera pas de modifications
au répertoire téléphonique.
Avant d’appliquer cette quarantaine
à un environnement de
production, il faudra bien sûr revoir
la création des répertoires téléphoniques
pour mettre à jour automatiquement
les clients distants. La
référence CMAK dans la section
« Tester la quarantaine » indique
comment créer des répertoires téléphoniques.
Cliquez sur Next
quatre fois pour ouvrir la boîte de
dialogue Custom Actions.
Cliquez sur New dans la boîte de
dialogue Custom Actions pour ouvrir
la boîte de dialogue New
Custom Action, illustrée figure 2. La
plupart des configurations de la
quarantaine auront lieu dans cette
boîte de dialogue.
Dans le champ Description de la
boîte de dialogue New Custom
Action, tapez Quarantine Script.
Dans le champ Program to run de
la boîte de dialogue New Cutom
Action, tapez le nom du script de
quarantaine que le client distant
doit exécuter. Vous pouvez indiquer
n’importe quel type de fichier
exécutable, comme un fichier .dll,
.exe, .bat ou .cmd.
Dans le champ Parameters de la
boîte de dialogue New Custom
Action, il faut transmettre les variables
dont le script a besoin pour
s’exécuter. Vous pouvez aussi spécifier
des variables CMAK dans ce
champ. (Pour en savoir plus sur ces
variables, vous pouvez consulter le
fichier Help online de CMAK.
Recherchez la page Incorporating
custom actions et défilez jusqu’à la
section How to specify a custom action
pour obtenir la liste complète
des variables transmissibles.)
Ajouter les cinq entrées suivantes
au champ Parameters :
- %DialRasEntry% (dont la valeur est
le nom du service ou le nom d’entrée
d’accès à distance pour la
connexion dial-up)
- %TunnelRasEntry% (dont la valeur
est le nom du service ou le nom d’entrée d’accès à distance pour la
connexion par tunnel)
- %Domain% (dont la valeur est le
domaine de l’utilisateur distant
pour la connexion)
- %UserName% (dont la valeur est le
nom de l’utilisateur distant)
- %ServiceDir% (dont la valeur est le
chemin vers le répertoire de profils)
N’oubliez pas l’espace entre
chaque variable, comme figure 2.
Dans la boîte de liste déroulante
Action type de la boîte de dialogue
New Custom Action, sélectionnez
Post-connect.
Dans la boîte de liste déroulante
Run this custom action for de la
boîte de dialogue New Custom
Action, sélectionnez All connections.
Assurez-vous que les deux cases en
bas de la boîte de dialogue New
Custom Action sont cochées puis
cliquez sur OK. Cliquez neuf fois sur
Next pour atteindre la boîte de dialogue
Additional Files.
La boîte de dialogue Additional
Files permet d’indiquer quels sont
les fichiers à intégrer dans le profil
CM. Cliquez sur Add. Naviguez jusqu’à
l’endroit où réside le script et
ajoutez-le à la liste. Faites de même
pour rqc.exe qui devrait être dans
le répertoire %SYSTEMDRIVE
%\Program Fi l e s \ Windows
Resource Kits\Tools. Pour cet
exemple, il n’y a pas besoin d’ajouter
d’autres fichiers. Le fichier .exe
distribuable CMAK copiera les fichiers
spécifiés dans le répertoire
%SYSTEMDRIVE%\Documents and
Settings\All Users\Application
Data\Microsoft\Network\Connections
\Cm\ServiceName sur le client, où
ServiceName est le nom que vous
avez donné au profil CM à l’étape 6.
Cliquez sur Next.
Le répertoire que vous créez dans
cette étape est caché pour prévenir
tout traficotage du script et de son
contenu. Cependant, si vous craignez
que des utilisateurs techniquement
chevronnés puissent débusquer
le répertoire et modifier
son script sur leur client, vous
pourriez recourir à une nouvelle
fonction dans Windows 2003 et XP :
les software restriction policies.
Avec de telles stratégies, l’OS n’exécutera
pas les fichiers batch (et
beaucoup d’autres types de fichiers)
qui ont été modifiés. Ou
bien vous pourriez utiliser un script
WSH (Windows Script Host) codé
au lieu d’un simple fichier batch.
Pour plus d’informations sur les
software restriction policies, voir
l’article Microsoft « Using Software
Restriction Policies to Protect
Against Unauthorized Software »
(http://www.microsoft.com/tech
net/treeview/default.asp?url=/tech
net/prodtechnol/winxppro/maintain/
rstrplcy.asp).
Dans la boîte de dialogue Ready to
Build the Service Profile, décochez
la case Advanced Customization.
Cliquez sur Next. Une fenêtre de
commandes apparaîtra brièvement
pendant que CMAK construit le
profil CM et crée l’exécutable. Au
terme de cette opération, cliquez
sur Finish.
Si vous voulez voir le profil CM que
vous venez de créer, ouvrez Windows
Explorer et naviguez jusqu’au répertoire
%SYSTEMDRIVE%\Program
Files\CMAK\Profiles. Vous devriez voir
un sous-répertoire avec le nom de profil
CM que vous avez indiqué à l’étape
6. Si vous ouvrez le sous-répertoire,
vous verrez plusieurs fichiers présents,
dont un fichier .exe portant le nom que
vous avez indiqué à l’étape 7. Ce fichier
est l’exécutable que vous voulez distribuer
aux utilisateurs distants afin qu’ils
puissent l’installer sur leurs clients.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
