Une des principales fonctionnalités de Bitdefender Endpoint Security Tools est la possibilité de le déployer à distance sur les endpoints, une procédure appelée Déploiement.

Pour que la tâche de déploiement de Bitdefender Endpoint Security Tools se déroule avec succès, vous devez respecter les prérequis suivants:

1. Prérequis du système d’exploitation
   • Veillez à ce que les endpoints cibles respectent la Configuration système minimale décrite dans le Guide d'installation de Gravityzone. Pour certains endpoints, vous pouvez avoir besoin d'installer le dernier service pack du système d'exploitation disponible ou de libérer de l'espace disque. Établissez une liste d'endpoints ne correspondant pas aux critères nécessaires afin de pouvoir les exclure de l'administration.
   • Lors du déploiement de l'agent via un relais Linux, les conditions additionnelles suivantes doivent être respectées :
     • L'endpoint relais doit avoir installé le package Samba (smbclient) version 4.1.0 ou supérieure et la procédure binaire/commande net pour déployer des agents Windows.

       Note: La procédure binaire/commande net est habituellement contenue dans les packages samba-client et/ou samba-common. Sur certaines distributions Linux (telles que CentOS 7.4), la commande net est uniquement installée lors de l'installation de la suite Samba complète (Common + Client + Server). Assurez-vous que la commande net est disponible sur votre endpoint relais.

     • Le Partage administratif et le Partage réseau des endpoints cibles sous Windows doivent être activés.
     • Sur les endpoints cibles sous Linux ou Mac, le SSH doit être activé et le firewall désactivé.
2. Privilèges administrateur

   L'installation requiert des privilèges d'administration. Vérifiez que vous disposez des identifiants nécessaires de tous les ordinateurs.
   
   Vous devez également configurer le Contrôle de compte d'utilisateur (UAC) en fonction de la configuration de l’endpoint cible :

   • Pour les systèmes Windows 8.1 et 10, vous avez besoin des privilèges administrateur complets (les identifiants du compte administrateur intégré ou un compte utilisateur du domaine). Pour en apprendre plus sur la manière de déployer BEST sur Windows 8.1 et 10, consultez cet article de la base de connaissances.
   • Pour les systèmes cibles faisant partie d’un groupe de travail, vous ne devez désactiver l’UAC lors de la configuration de la tâche de déploiement que si vous utilisez un compte à privilèges administrateur autre que le compte administrateur intégré . Si la tâche de déploiement est configurée pour une authentification avec le compte administrateur intégré du domaine (et que les paramètres par défaut de l’UAC n’ont pas été modifiés par la politique de groupe), elle pourra être exécutée sans avoir à modifier les paramètres de l’UAC.
   • Pour les systèmes cibles faisant partie d’une domaine Active Directory, en plus des recommandations ci-dessus, si l’administrateur veut configurer la tâche et fournir les identifiants de déploiement aux utilisateurs membres du groupe de sécurité Admins du domaine, une stratégie de groupe peut être configurée pour s’appliquer à ce groupe de sécurité, avec les paramètres suivants:

     [Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options]

     Policy	Setting
     User Access Control: Behavior of the elevation prompt for administrators in Admin Approval Mode	Elevate without prompting
     User Access Control: Detect application installations and prompt for elevation	Disable
     User Access Control: Run all administrators in Admin Approval Mode	Enable

      
     
      

     Note: Pour respecter les bonnes pratiques de sécurité, réinitialisez les valeurs par défaut une fois le cycle de déploiement terminé. Pour connaitre les paramètres par défaut de l’UAC, consultez cet article de Microsoft.

   • Pour les systèmes Windows 7, 8 et 10, vous devrez désactiver le Contrôle de compte d'utilisateur (UAC) comme suit:
     1. Rendez-vous dans Menu démarrer > Panneau de configuration > Comptes d’utilisateurs
     2. Cliquez sur Modifier les paramètres de contrôle du compte utilisateur
     3. Sélectionnez Ne jamais m’avertir, puis cliquez sur OK
        
        
3. Prérequis de connectivité

   Sur tous les postes de travail et serveurs que vous voulez gérer, et qui doivent être connectés à l’appliance GravityZone par le réseau, vous devrez configurer le pare-feu pour autoriser le trafic sur les ports de communication suivants, qui sont utilisés par les composants de sécurité:

   • 8443: le port de communication entre la console GravityZone et Bitdefender
     Endpoint Security Tools. Ce port doit être autorisé sur tous les ordinateurs réseau
   • 7074: le port de communication utilisé pour les déploiements et mises à jour via un Relai.

     Remarque: Ces ports ne doivent pas être utilisés par une autre application du réseau.

   Il est recommandé d'utiliser une adresse IP statique pour le serveur relais. Si vous ne configurez pas d'adresse IP statique, utilisez le nom d'hôte de la machine.
   
   Configurez tous les postes de travail pour qu’ils n’utilisent par l’Assistant Partage, comme suit :

   Sur Windows 7:

   1. Rendez-vous dans Menu démarrer > Ordinateur > Organiser > Disposition
      et cochez Barre de menus.
   2. Cliquez sur Outils puis sur Options des dossiers. > Affichage.
   3. Décochez Utiliser l’Assistant Partage dans la liste des Paramètres avancés.
   4. Cliquez sur OK.

   Sous Windows 8 and 8.1:

   1. Rendez-vous dans Menu démarrer > Ordinateur > Affichage > Options.
   2. Dans la fenêtre Options des dossiers, cliquez sur l'onglet Affichage.
   3. Décochez Utiliser l’Assistant Partage dans la liste des Paramètres avancés.
   4. Cliquez sur OK.

   Sur Windows 10:

   1. Rendez-vous dans Ce PC > Affichage > Options.
   2. Cliquez sur l'onglet Affichage.
   3. Décochez Utiliser l’Assistant Partage dans la liste des Paramètres avancés.
   4. Cliquez sur OK.
      
      
   • Vérifiez que le protocole de partage de fichiers et d'imprimantes est activé. Ce service utilise les ports TCP 139, 445 et les ports UDP 137, 138. Pour vérifier que le protocole de partage de fichiers et d'imprimantes est activé:
     1. Rendez-vous dans Menu démarrer > Panneau de configuration > Centre Réseau et partage.
     2. Identifiez la connexion qui est établie et cliquez dessus.
     3. Cliquez sur Propriétés.
        
        

     Note: Pour que la connexion réussisse: Désactivez le Pare-feu Windows, ou configurez-le de sorte à autoriser le trafic via le protocole de partage de fichiers et d'imprimantes. Pour désactiver le Pare-feu Windows, ouvrez le Panneau de configuration > Pare-feu Windows et cliquez sur Désactiver. Autorisez le trafic ICMP (pour pouvoir pinger le poste de travail). Pour vérifier que les stations en réseau sont correctement configurées: Envoyer des ping aux stations réseaux respectives. Essayez de vous connecter au Partage administratif.

4. Suppression de logiciel de sécurité de tierce partie

Désinstaller des ordinateurs (ne pas simplement désactiver) tout logiciel antimalware, pare-feu ou de sécurité Internet. Faire fonctionner simultanément l'agent de sécurité avec d'autres logiciels de sécurité installés sur un endpoint peut affecter leur fonctionnement et causer d'importants problèmes avec le système.

Un grand nombre de programmes de sécurité incompatibles sont automatiquement détectés et supprimés au moment de l'installation.

Pour en apprendre plus sur le sujet et pour consulter la liste des logiciels de sécurité détectés par Bitdefender Endpoint Security Tools sur les systèmes d'exploitation (Windows 7 / Windows Server 2008 R2 et supérieur), consultez cet article de la base de connaissances.

Si vous voulez déployer l’agent de sécurité sur un ordinateur sur lequel Bitdefender Antivirus pour Mac 5.X est installé, vous devez au préalable supprimer ce dernier manuellement. Les instructions correspondantes sont
disponibles dans cet article de la base de connaissances.

• Comment déployer le logiciel client sur des postes Windows 8.1 / 2012 / 2012 R2
• Ports de communication de GravityZone