Notes de publication 3.3 de Sophos NAC pour Endpoint Security and Control

A propos de Sophos NAC

Sophos NAC fournit un contrôle d'accès au réseau (NAC pour network access control) facile à déployer. Il permet à l'administrateur de définir et d'administrer de manière centralisée des stratégies de sécurité afin d'identifier et d'isoler les ordinateurs non conformes, compromis ou mal configurés qui accèdent au réseau de l'entreprise. Il s'intègre de manière transparente aux infrastructures réseau et aux applications de sécurité existantes d'un grand nombre d'éditeurs.

Pour plus d'informations sur l'installation de Sophos NAC pour la première fois, reportez-vous au Guide de démarrage rapide de Sophos Endpoint Security and Control.

Ce guide est disponible depuis le site Web de Sophos.

Nouveautés dans cette version

  • Application simplifiée du protocole DHCP : l'application simplifiée du protocole DHCP facilite la configuration du contrôle d'accès au réseau pour les utilisateurs invités. Le NAC Manager dispose désormais d'un Assistant de configuration de DHCP qui vous guide tout au long du processus de configuration de DHCP.
  • Dissolvable Agent : l'agent temporaire (Dissolvable Agent) est un agent Java qui remplace l'agent Web ActiveX. Dissolvable Agent offre des fonctions d'évaluation et d'application de la conformité à l'utilisateur invité ou non administré. Dissolvable Agent prend en charge les utilisateurs qui ont un accès utilisateur restreint.
  • Prise en charge des logiciels de chiffrement : NAC dispose désormais des fonctions de profils et d'évaluation pour les logiciels SafeGuard Easy et SafeGuard Enterprise d'Utimaco et pour Sophos SafeGuard Disk Encryption. Le profil Sophos SafeGuard Disk Encryption a été ajouté à la stratégie Managed.
  • Messagerie multilingue : les utilisateurs non anglophones bénéficient d'un support technique supplémentaire car Sophos NAC permet au client de créer des messages en huit langues. L'agent affiche les messages à l'utilisateur dans toutes les langues prises en charge par Sophos (anglais, français, espagnol, allemand, italien, japonais, chinois simplifié et chinois traditionnel).
  • Prise en charge des applications et profils de sécurité : NAC dispose désormais de la prise en charge des dernières publications des logiciels de sécurité tiers.
  • Prise en charge des logiciels Sophos : NAC dispose désormais de deux nouvelles actions correctives pour Sophos Anti-Virus. Les deux nouvelles actions correctives sont Enable Real-Time Protection et Apply SEC Policy.
  • Prise en charge de Windows Server 2008 : NAC s'installe et s'exécute sur Windows Server 2008.
  • Prise en charge de SQL Server 2008 et de SQL Server 2008 Express : les Bases de données NAC s'installent et s'exécutent sur SQL Server 2008 et sur SQL Server 2008 Express.
  • Activité du Compliance Agent dans la Sophos Enterprise Console : l'agent signale qu'il est installé et qu'il fonctionne. Vous pouvez voir cette activité dans l'Enterprise Console.
  • Nouveau nom pour les composants logiciel Sophos : quelques composants logiciel de NAC ont été renommés. Les noms suivants sont désormais utilisés :
Ancien nom Nouveau nom
Agent NAC Agent ou agent de conformité
NAC Dissolvable Agent Dissolvable Agent ou Compliance Dissolvable Agent

Problèmes corrigés dans cette version

  • (TT 19073) Les rapports DHCP du NAC Manager renvoient des entrées en dehors des critères de date/d'heure spécifiés. Dans les rapports DHCP Enforcer et DHCP Exemption, les résultats incluent des entrées de rapport qui sont en dehors de la plage des dates/heures spécifiée lors de l'exécution du rapport.

Sophos NAC 3.3 ne prend plus en charge l'agent Web ActiveX car celui-ci a été remplacé par le Dissolvable Agent fonctionnant sous Java. Les problèmes suivants pour cette raison :

  • (TT 19250) Sur les systèmes d'extrémité exécutant le système d'exploitation Windows Vista, l'agent Web NAC ne peut pas être installé automatiquement si l'agent NAC a été précédemment installé et désinstallé. Si l'agent NAC a été précédemment installé, puis désinstallé sur un système d'extrémité exécutant le système d'exploitation Windows Vista et si l'installation de l'agent Web est tentée sur ce même système d'extrémité, l'installation de l'agent Web échoue.
  • (TT 18848) L'agent Web NAC ne fonctionne pas dans IE 7 si le Mode protégé est activé. Il s'agit du paramètre par défaut dans chaque zone sauf celle des Sites de confiance. Pour contourner le problème, ajoutez l'URL de l'agent Web dans la zone Sites de confiance, laquelle a, par défaut, le Mode protégé paramétré sur Désactivé.

Problèmes connus

Certaines descriptions incluent l'identifiant associé entre parenthèses. Vous pouvez l'utiliser si vous avez besoin de contacter le support technique Sophos.

  • (DEF40238) Si vous avez sélectionné Use SEC Proxy Settings au cours de l'installation de NAC, la configuration du proxy ne fonctionnera pas. Sélectionnez Use Proxy plutôt que Use SEC Proxy Settings au cours de l'installation de NAC. Vous pouvez spécifier les mêmes informations de proxy que celles de SEC. Si vous avez installé NAC et sélectionné Use SEC Proxy Settings, accédez à la page NAC Manager > Configure System > Server Settings. Sélectionnez le serveur NAC pour mettre à jour son paramètre proxy. Sélectionnez Use Proxy depuis la liste Proxy Settings. Spécifiez ensuite les mêmes informations du proxy que celles de SEC.
  • Suite à l'installation de l'agent NAC, il se peut qu'il soit nécessaire de redémarrer le système d'extrémité pour les raisons suivantes. Au cours de l'installation, vous avez été invité à fermer les applications qui utilisaient les ressources partagées, telle que XMLDOM, et vous avez choisi de ne pas fermer ces applications. Vous mettez à niveau l'agent de quarantaine et cette mise à niveau utilise une nouvelle version du gestionnaire de l'agent de quarantaine (Agent Quarantine Manager) qui est un pilote du noyau.
  • (DEF 23404) Lorsque NAC effectue une action corrective sur Symantec AntiVirus 11.x pour activer la protection en temps réel, il est possible que NAC ne détecte pas que la protection en temps réel a été activée tant que Symantec AntiVirus n'a pas terminé un contrôle initial.
  • (DEF 23386) L'application Symantec 11.x a été ajoutée à cette version de NAC. Toutefois, il n'existe pas de profil prédéfini pour Symantec 11.x. Pour contourner le problème, les clients peuvent créer leur propre profil pour Symantec 11.x.
  • (SUG 21670) Sophos NAC ne vas pas s'installer sur le même serveur que le serveur Microsoft Sharepoint.
  • (TT 18853) L'action corrective de mise à jour pour McAfee AntiSpyware 2.0 nécessite l'intervention de l'utilisateur. Si l'agent lance une action corrective de mise à jour pour McAfee AntiSpyware 2.0, une boîte de dialogue apparaît et la mise à jour ne démarre pas tant que l'utilisateur n'a pas cliqué sur Mettre à jour.
  • (DEF11485) Pour Symantec Client Security 10.x Firewall, si la vérification de la fonctionnalité Enabled est exécutée sur le poste d'extrémité moins de 60 secondes après l'activation du pare-feu, le logiciel renvoie des résultats incohérents lors de la détection de la fonctionnalité Enabled. Pour contourner le problème, assurez-vous que plus de 60 secondes se sont écoulées après l'activation du pare-feu avant de tenter de détecter la fonctionnalité Enabled.
  • (DEF11506) Le Compliance Agent et le Dissolvable Agent ne détectent pas Proventia Desktop Firewall 8.x.
  • (DEF11438) La fonctionnalité Last Scan Grace Period ou Last Scan Date pour McAfee Anti-Virus 4.5.1 sous Windows XP SP2 renvoie toujours un résultat non conforme.
  • (DEF11396) La fonctionnalité Last Scan Grace Period ou Last Scan Date pour Sophos Anti-Virus 7.x sous le système d'exploitation français renvoie toujours un résultat non conforme.

Informations supplémentaires

Certaines descriptions incluent l'identifiant associé entre parenthèses. Vous pouvez l'utiliser si vous avez besoin de contacter le support technique Sophos.

Support technique

Pour obtenir le support technique, rendez-vous sur http://www.sophos.fr/support.

Lorsque vous contactez le support technique, munissez-vous du plus d'informations possibles, y compris les suivantes :

  • Le(s) numéro(s) de version du logiciel Sophos
  • Le(s) système(s) d'exploitation et le(s) niveau(x) de correctif
  • Le texte exact de tous les messages d'erreur

Configuration système requise

Pour les installations composées de 1000 systèmes d'extrémité ou moins, Sophos NAC peut être installé sur le même serveur que la Sophos Enterprise Console. Pour les installations entre 1001 et 25 000 systèmes d'extrémité, l'application Sophos NAC, les bases de données Sophos NAC et la Sophos Enterprise Console nécessitent chacune leur propre serveur, ce qui fait un total de trois serveurs.

Serveur NAC

  • Pentium 4 de 2.0 GHz ou équivalent
  • 1 Go de RAM
  • Windows Server (les versions suivantes de Windows Server sont prises en charge).
    • Windows 2003 Server standard ou supérieur
    • Windows 2003 R2 Server standard ou supérieur
    • Windows 2008 Server standard ou supérieur
  • Accès Internet
  • 3 Go d'espace disque dur libre sur le lecteur C
  • Protocole TCP/IP
  • Adaptateur Ethernet pour une connexion haut débit ou adaptateur sans fil 802.11 pour une connexion Internet sans fil
  • Certificat Web si vous utilisez HTTPS

Bases de données NAC

L'ordinateur sur lequel vous placez les bases de données NAC (qui peuvent être sur le même ordinateur ou sur un ordinateur différent) nécessite aussi :

  • Windows Server (les versions suivantes de Windows Server sont prises en charge).
    • Windows 2000 SP3 ou supérieur si les bases de données NAC sont installées sur un serveur séparé
    • Windows 2003 standard ou supérieur
    • Windows Server 2003 R2 standard ou supérieur
    • Windows Server 2008 standard ou supérieur
  • SQL Server (les versions suivantes de SQL Server sont prises en charge).
    • SQL Server 2000 ou SQL Server 2000 MSDE avec SP3a ou version supérieure

      Si vous utilisez MSDE, la taille maximale qu'une base de données peut atteindre est 2 Go. Si vous utilisez Microsoft SQL Server 2000, il n'y a aucune limite autre que celle définie par l'administrateur.

    • SQL Server 2005 ou SQL Server 2005 Express

      Si vous utilisez SQL Server 2005 Express, la taille maximum qu'une base de données peut atteindre est 4 Go. Si vous utilisez Microsoft SQL Server 2005, il n'y a aucune limite autre que celle définie par l'administrateur.

    • SQL Server 2008 ou SQL Server 2008 Express

      Si vous utilisez SQL Server 2008 Express, la taille maximum qu'une base de données peut atteindre est 4 Go. Si vous utilisez Microsoft SQL Server 2008, il n'y a aucune limite autre que celle définie par l'administrateur.

Copyright

Copyright © 2009 Sophos Group. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du propriétaire du copyright.

Sophos et Sophos Anti‑Virus sont des marques déposées de Sophos Plc et de Sophos Group. Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs.