Notes de publication 3.1.2 de Sophos NAC pour Endpoint Security and Control

A propos de Sophos NAC

Sophos NAC fournit un contrôle d'accès au réseau (NAC pour network access control) facile à déployer. Il permet à l'administrateur de définir et d'administrer de manière centralisée des stratégies de sécurité afin d'identifier et d'isoler les ordinateurs non conformes, compromis ou mal configurés qui accèdent au réseau de l'entreprise. Il s'intègre de manière transparente aux infrastructures réseau et aux applications de sécurité existantes d'un grand nombre d'éditeurs.

Pour plus d'informations sur l'installation de Sophos NAC pour la première fois, reportez-vous au Guide de démarrage rapide de Sophos Endpoint Security and Control.

Ce guide est disponible depuis le site Web de Sophos.

Nouveautés dans cette version

  • Prise en charge de SQL Server 2005
  • Prise en charge de SQL Server 2005 Express
  • Améliorations de la spécification du pilote d'installation NAC et de l'indication des espaces
  • Prise en charge du proxy authentifié pour le serveur NAC
  • Prise en charge du proxy authentifié pour l'agent NAC
  • Prise en charge de la restauration de la version précédente de l'agent NAC pour toutes les prochaines éditions de l'agent NAC
  • Prise en charge mise à jour des versions les plus récentes des logiciels de sécurité

Problèmes corrigés dans cette version

  • (DEF13468) La fenêtre de progression de l'installation NAC affiche la progression très lentement, il est donc possible que la valeur de temps restant ne change pas pendant un certain temps.
  • (DEF 15250) Le NAC Manager affiche des règles de détection pour les applications Sophos. Toutes les règles de détection doivent être masquées quelles que soient l'application et quels que soient l'éditeur.
  • (QUE 19055) L'installation de NAC est lente car la taille des bases de données NAC est configurée pour une utilisation par de grandes entreprises plutôt que des PME.
  • (SUG 19421) L'installation de NAC ne s'installe pas sur d'autres lecteurs que le lecteur C.
  • (DEF 20340) L'installation de NAC ne vérifie pas l'espace disque de la base de données.
  • (DEF 20408) Si vous ajoutez une ressource réseau exécutable à un modèle d'accès Agent Enforcer et que vous cliquez sur Save As New, vous recevez un message d'erreur.
  • (SUG 20582) L'échelle de l'axe vertical des diagrammes Current Compliance et Compliance Trend qui apparaissent sur la page d'accueil du NAC Manager n'affiche pas d'informations utilisant des nombres entiers.
  • (DEF 23529) L'agent NAC ne parvient pas à appliquer la stratégie NAC s'il rencontre un type d'adaptateur inconnu.
  • (DEF 30356) L'agent NAC refuse les requêtes de Sophos Auto Update (SAU) si SAU a un certificat non valide.
  • (DEF 30743) Le certificat de signature du codage de Sophos est paramétré pour expirer en mars 2009.

Problèmes connus

Certaines descriptions incluent l'identifiant associé entre parenthèses. Vous pouvez l'utiliser si vous avez besoin de contacter le support technique Sophos.

  • Suite à l'installation de l'agent NAC, il se peut qu'il soit nécessaire de redémarrer le système d'extrémité pour les raisons suivantes. Au cours de l'installation, vous avez été invité à fermer les applications qui utilisaient des ressources partagées, comme XMLDOM, et vous avez décidé de ne pas fermer ces applications. Vous mettez à niveau l'agent de quarantaine et cette mise à niveau utilise une nouvelle version du gestionnaire de l'agent de quarantaine (Agent Quarantine Manager) qui est un pilote du noyau.

  • (DEF 23404) Lorsque NAC corrige Symantec AntiVirus 11.x pour activer la protection en temps réel, il est possible que NAC ne détecte pas que la protection en temps réel a été activée tant que Symantec AntiVirus n'a pas terminé un contrôle initial.
  • (DEF 23386) L'application Symantec 11.x a été ajoutée à cette version de NAC. Toutefois, il n'existe pas de profil prédéfini pour Symantec 11.x. Pour contourner le problème, les clients peuvent créer leur propre profil pour Symantec 11.x.
  • (SUG 21670) Sophos NAC ne vas pas s'installer sur le même serveur que le serveur Microsoft Sharepoint.
  • (TT 19250) Sur les systèmes d'extrémité exécutant le système d'exploitation Windows Vista, l'agent Web NAC ne peut pas être installé automatiquement si l'agent NAC a été précédemment installé et désinstallé. Si l'agent NAC a été précédemment installé, puis désinstallé sur un système d'extrémité exécutant le système d'exploitation Windows Vista et si l'installation de l'agent Web est tentée sur ce même système d'extrémité, l'installation de l'agent Web échoue. Le problème réside dans la manière dont le système d'exploitation Vista utilise XMLDOM, qui est inclus dans le fichier CAB d'installation de l'agent Web. Pour que l'installation fonctionne correctement, vous devez tout d'abord installer XMLDOM, puis tenter de réinstaller l'agent Web.
  • (TT 18848) L'agent Web NAC ne fonctionne pas dans IE 7 si le Mode protégé est activé. Il s'agit du paramètre par défaut dans chaque zone sauf celle des Sites de confiance. Pour contourner le problème, ajoutez l'URL de l'agent Web dans la zone Sites de confiance, laquelle a, par défaut, le Mode protégé paramétré sur Désactivé.
  • (TT 18853) L'action corrective de mise à jour pour McAfee AntiSpyware 2.0 nécessite l'intervention de l'utilisateur. Si l'agent lance une action corrective de mise à jour pour McAfee AntiSpyware 2.0, une boîte de dialogue apparaît et la mise à jour ne démarre pas tant que l'utilisateur n'a pas cliqué sur Mettre à jour.
  • (DEF11485) Pour Symantec Client Security 10.x Firewall, si la vérification de la fonctionnalité Enabled est exécutée sur le poste d'extrémité moins de 60 secondes après l'activation du pare-feu, le logiciel renvoie des résultats incohérents lors de la détection de la fonctionnalité Enabled. Le moyen de contourner le problème est de s'assurer que plus de 60 secondes se sont écoulées après l'activation du pare-feu avant de tenter de détecter la fonctionnalité Enabled.
  • (DEF11506) L'agent NAC et l'agent Web ne détectent pas Proventia Desktop Firewall 8.x.
  • (DEF11438) La fonctionnalité Last Scan Grace Period ou Last Scan Date pour McAfee Anti-Virus 4.5.1 sous Windows XP SP2 renvoie toujours un résultat non conforme.
  • (DEF11396) La fonctionnalité Last Scan Grace Period ou Last Scan Date pour Sophos Anti-Virus 7.x sous le système d'exploitation français renvoie toujours un résultat non conforme.

Problèmes connus de la mise en application DHCP

  • (TT 19073) Les rapports DHCP du NAC Manager renvoient des entrées en dehors des critères de date/d'heure spécifiés. Dans les rapports DHCP Enforcer et DHCP Exemption, les résultats incluent des entrées de rapport qui sont en dehors de la plage des dates/heures spécifiée lors de l'exécution du rapport.

Informations supplémentaires

Certaines descriptions incluent l'identifiant associé entre parenthèses. Vous pouvez l'utiliser si vous avez besoin de contacter le support technique Sophos.

Support technique

Pour obtenir le support technique, rendez-vous sur http://www.sophos.fr/support.

Lorsque vous contactez le support technique, munissez-vous du plus d'informations possibles, y compris les suivantes :

  • Le(s) numéro(s) de version du logiciel Sophos
  • Le(s) système(s) d'exploitation et le(s) niveau(x) de correctif
  • Le texte exact de tous les messages d'erreur

Configuration système requise

Pour les installations composées de 1000 systèmes d'extrémité ou moins, Sophos NAC peut être installé sur le même serveur que la Sophos Enterprise Console. Pour les installations entre 1001 et 25 000 systèmes d'extrémité, l'application Sophos NAC, les bases de données Sophos NAC et la Sophos Enterprise Console nécessitent chacune leur propre serveur, ce qui fait un total de trois serveurs.

Serveur NAC

  • Pentium 4 de 2.0 GHz ou équivalent
  • 1 Go de RAM
  • Serveur Windows 2003, version de base ou supérieure ou Windows 2003 R2, version de base ou supérieure
  • Accès Internet
  • 3 Go d'espace disque dur libre sur le lecteur C
  • Protocole TCP/IP
  • Adaptateur Ethernet pour une connexion haut débit ou adaptateur sans fil 802.11 pour une connexion Internet sans fil
  • Certificat Web si vous utilisez HTTPS

Bases de données NAC

L'ordinateur sur lequel vous placez les bases de données NAC (qui peuvent être sur le même ordinateur ou sur un ordinateur différent) nécessite aussi :

  • Windows Server 2003, version de base ou supérieur ou Windows Server 2003 R2, version de base ou supérieur si l'installation s'effectue sur le même serveur. En cas d'installation sur un serveur différent, Windows Server 2000 avec SP3 et supérieur est pris en charge.
  • SQL Server (les versions suivantes de SQL Server sont prises en charge).
    • SQL Server 2000 ou SQL Server 2000 MSDE avec SP3a ou version supérieure

      Si vous utilisez MSDE, la taille maximale qu'une base de données peut atteindre est 2 Go. Si vous utilisez Microsoft SQL Server 2000, il n'y a aucune limite autre que celle définie par l'administrateur.

    • SQL Server 2005 ou SQL Server 2005 Express

      Si vous utilisez SQL Server 2005 Express, la taille maximum qu'une base de données peut atteindre est 4 Go. Si vous utilisez Microsoft SQL Server 2005, il n'y a aucune limite autre que celle définie par l'administrateur.

Copyright

Copyright © 2009 Sophos Group. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du propriétaire du copyright.

Sophos et Sophos Anti‑Virus sont des marques déposées de Sophos Plc et de Sophos Group. Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs.