Archives de l’auteur : Mathieu

Choisir les modules BackupAssist adaptés à ses besoins

Lorsque vous utilisez une version d’évaluation de BackupAssist, vous avez accès à toutes les fonctionnalités du produit. Cependant, si vous décidez de commander une licence, il vous faudra donc savoir de quels modules vous devrez disposer pour pouvoir effectuer le type de sauvegarde que vous désirez, dans votre cas de figure précis.

Voici donc des points à prendre en considération, côté modules:
– Si vous souhaitez sauvegarder des données en délocalisé via le protocole RSync, vous devrez donc disposer d’un module RSync. Ce module est particulièrement adapté à ce cas de figure car il utilise un protocole de mise à jour à distance efficace afin d’accélérer significativement le transfert de fichiers lorsque le fichier de destination existe déjà
– Pour faire des sauvegardes vers des lecteurs de bandes, vous pourrez effectivement grâce au module ZIP to Tape. Ce module permet de sauvegarder vers des lecteurs de bandes avec votre serveur, ce qui est un avantage car le support des lecteurs de bandes n’est plus possible en natif depuis Windows Server 2008.
– Si vous souhaitez faire des sauvegardes vers des disques RDX vous n’aurez pas besoin de module supplémentaire, il ne faut pas confondre cassettes et disques RDX
– Si vous ne disposez pas du module SQL, vous ne pourrez que sauvegarder/restaurer la totalité de votre serveur SQL, sans granularité. En effet, le module SQL vous permet entre autre une sélection plus ciblée des bases à sauvegarder et restaurer.
– Si vous ne disposez pas du module Hyper-V Granular Restore, si vous souhaitez restaurer rapidement un fichier présent dans une VM ce ne sera pas possible, il faudra restaurer la entièrement la VM puis aller chercher le fichier manuellement.

Et voici des questions fréquemment posées sur le produit BackupAssist en lui-même:
– Si vous disposez d’un serveur Windows 2003 ou 2008 32 bits, vous ne pourrez pas bénéficier des versions 8 et 9 du produit. Dans ce cas, vous pourrez utiliser les versions 7 du produit, qui sont compatibles avec les mêmes modules que les versions actuelles.
– Si vous souhaitez faire des sauvegardes Bare-Metal, vous ne pourrez sauvegarder que la machine où est installé BackupAssist, ou bien les machines virtuelles Hyper-V qu’il héberge.
– Le seul Hyperviseur à être pris en charge est Hyper-V. Les produits tiers tels VMWare, XEN, ne sont pas supportés.
– Les serveurs SQL supportés sont ceux de Microsoft uniquement, à savoir Microsoft SQL server 2005, 2008 R2, 2012 et 2014.

Présentation de KAVremover

Lorsque l’on créée une tâche de déploiement de Kaspersky Endpoint Security, il existe une option pour supprimer un éventuel produit antivirus déjà existant sur le poste.
Dans certains cas, il est possible que la désinstallation d’anciennes versions de KES échoue.

Les causes:
Cela peut être dû à des « restes » d’installations précédentes. D’où ces restes viennent-ils ? Premièrement, ils peuvent apparaître à cause d’erreurs du système d’exploitation. Si votre copie de Windows est endommagée ou qu’elle ne fonctionne pas correctement, cela peut engendrer un mauvais fonctionnement du service d’installation de Windows. Il y a de grandes chances pour que vous faisiez face à ce problème si vous disposez d’un système sans Service Packs installés ou d’une version de Windows modifiée ou non légitime. Pour ce qui est du deuxième cas, personne ne sait vraiment les changements qui ont été réalisés par leurs auteurs. Les copies d’origine de Windows ne sont cependant pas non plus parfaites, et peuvent mal fonctionner plusieurs années après l’installation du système. Le système d’installation de Windows est peut-être dans l’incapacité de supprimer certains pilotes ou clés de registre.

Cela se produit soit quand une version précédente a été désinstallée par le biais du menu
« Programmes et fonctionnalités » soit quand une version plus récente a été installée par dessus une ancienne.

L’utilisation de programmes comme CCleaner peut également être la raison pour laquelle ces restes ne sont pas éliminés du système. Bien évidemment, les utiliser peut parfois permettre à votre système d’être plus rapide de quelques secondes, mais ces programmes suppriment souvent les liens entre les clés de registre Kaspersky.
L’algorithme de suppression ne peut donc pas les utiliser correctement et par conséquent, des erreurs apparaissent lors de la suppression de l’application et une nouvelle installation ne peut pas être réalisée.

La solution:
Pour combattre ces restes de registres, il existe un utilitaire appelé KAVremover.
Il s’agit d’une application gratuite qui « connait » parfaitement les clés de registre des produits Kaspersky et qui est capable de les supprimer. Elle fonctionne comme un outil Windows standard lorsqu’elle est lancée en mode normal mais une fois lancée en Mode sans échec, elle utilise son propre algorithme de suppression.
Si l’exécution en mode normal ne fonctionne pas, il faudra donc passer en mode sans échec et lancer l’utilitaire.

Comment faire si l’ancienne solution antivirus était un KES protégé par un mot de passe géré par un Security Center?

Dans ce cas précis, il faudra connaître le mot de passe et le spécifier lors de la désinstallation.
Dans une invite de commandes administrateur, exécutez la commande suivante:
kavremover.exe –password-for-uninstall=%password%.

Téléchargement et utilisation de l’utilitaire de KAVremover

Source: blog.kaspersky.fr

Comment activer votre produit ISL?

Lorsque vous achetez une licence ISL Online, vous recevez une clé d’activation unique (normalement cette option est activée par l’équipe ISL Online).
Pour activer manuellement le compte il suffit de suive les étapes suivantes:

1. Une fois que vous êtes connecté à votre compte ISL Online, cliquez sur votre nom d’utilisateur dans le coin en haut à droite pour faire apparaître l’onglet Mon compte. Sélectionnez l’option Clé d’activation.

w-register-key

2. Vous serez redirigé vers la page suivante, où vous pourrez saisir le code et cliquer sur Continuer.

w-enter-registration-key

3. Une fois que le compte a été activé, vous remarquerez que la section Licence de « Mon compte » affiche les infos relatives à la licence en question.

Exemple:
statutlicence

Dépannage de base d’une connexion ActiveSync

Chaque appareil émet une erreur unique lorsqu’il ne peut pas s’authentifier ou se connecter avec le serveur ActiveSync de MDaemon.

Bien souvent l’erreur est très générique, comme « Impossible de se connecter au serveur « . Cet article détaille quelques petites choses à vérifier si les terminaux génèrent cette erreur.

ActiveSync est-il activé?
Bien souvent, ActiveSync n’est pas activé en global sur le serveur ou désactivé pour le domaine. Dans ce cas l‘erreur dans le fichier AirSync.log est similaire à celle-ci:

Mon 2013-07-29 10:26:43: WARNING, [001234X3] 0x81310082 Authentication: Domain example.com does not have permission to use ActiveSync
Mon 2013-07-29 10:26:43: WARNING, [001234X3] 0x81310081 Authentication: Domain does not have permission to use ActiveSync

Il faut donc vérifier qu’ActiveSync soit activé globalement ou par domaine dans la console MDaemon:
Dans « Configuration >  Gestionnaire de terminaux mobiles », cochez la case « Activer le serveur ActiveSync »

Le serveur WorldClient de MDaemon écoute-t-il sur les ports appropriés pour ActiveSync?

ActiveSync ne fonctionne qu’en utilisant des connexions HTTP ou HTTPS. Vérifiez que le serveur WorldClient écoute sur l’un des ports 80 ou 443.
Dans « Configuration > Services web & MI > Serveur web » paramétrez le port 80 pour WorldClient
Optionnel: dans Configuration > Services web & MI > SSL et HTTPS (pour le port 443)
Vous pouvez vérifier la configuration en ouvrant un navigateur Web et en entrant;

http://mail.domain.com/microsoft-server-activesync (port 80) ou
https://mail.domain.com/microsoft-server-activesync (port 443)

Vous verrez une bannière comportant le numéro de version du serveur ActiveSync.

HTTP et / ou HTTPS sont-ils ouverts sur le pare-feu?

Vérifiez que le port 80 et / ou 443 soit ouvert sur le pare-feu Windows ou sur un pare-feu tiers.

Logs ActiveSync:

ActiveSync enregistre toutes les communications entre le serveur et le client.
Si la connexion de l’appareil est établie avec le serveur, MDaemon enregistrera la communication dans le fichier AirSync.log dans le répertoire MDaemon\Logs.
Ces journaux peuvent donner des indices sur la raison pour laquelle vous rencontrez des problèmes d’utilisation d’un compte ActiveSync

Si par contre il n’y a aucune trace de connexion du terminal dans les logs du serveur, c’est qu’un problème survient avant que le terminal/Outlook ne puisse atteindre celui-ci.

Combattre les Ransomwares avec Kaspersky Lab

Les Ransomwares sont une variété de malwares qui, une fois qu’ils ont infecté un ordinateur, affirment en avoir chiffré les données avant de bloquer l’ordinateur de la victime.
Le malware informe ensuite l’utilisateur infecté qu’il ou elle doit payer une rançon afin de déverrouiller ses fichiers.

Vecteurs d’infection – Protection

Les vecteurs d’infections possibles sont :
•    Mails (Phishing)
•    Supports amovibles
•    Sites Web
•    Sessions Terminal

L’infection peut se produire lorsque :
•    La solution de sécurité de l’ordinateur n’est pas à jour.
•    L’installation est autorisée en dépit des avertissements des solutions de sécurités qu’un programme spécifique peut être malveillant.
•    L’utilisateur a défini l’analyse heuristique des fichiers au réglage minimum.
•    La configuration de l’antivirus n’est pas protégée par un mot de passe.
•    Les technologies proactives ne sont pas utilisées. ( KSN, Défense Proactive / System Watcher)
•    La configuration du module de contrôle de l’activité des applications n’est pas au point

Recommandations et Best practices :

•    Utiliser une solution Kaspersky Endpoint Security 8/10 à jour
•    Mettre à jour quotidiennement les bases de signatures virales.
•    Respecter les règles de base de la sécurité du réseau en accordant une attention particulière à tous les fichiers provenant de sources inconnues ou téléchargés à partir de sites Web suspects.
•    Procéder à l’installation et l’utilisation uniquement d’applications familières de sources fiables telles que le site officiel du développeur.
•    Gardez votre produit de sécurité activé en le protégeant par un mot de passe.
•    Ne pas modifier la configuration des différents composants de détection de logiciels malveillants et le niveau de protection recommandé sauf si c’est absolument nécessaire.
•    Activer les technologies proactives telles KSN (Kaspersky Security Network) et le module System Watcher incluant la Défense proactive.
•    Protection contre les ransomwares à l’aide du module de contrôle de l’activité des applications : http://support.kaspersky.com/fr/10905

Pièces à collecter pour le laboratoire Kaspersky

•    Les éléments collectés à l’aide de l’outil Kaspersky Log Utility : http://support.kaspersky.com/us/11071#block1
•    L’exemplaire du/des exécutables malicieux  identifiés compressés dans une archive protégée par le mot de passe infected.
•    La plupart des codes malicieux de ce type sont généralement supprimés du poste automatiquement (routine intégré dans le code). Ainsi, nous vous conseillons de regarder les fichiers exécutables supprimés récemment.
Des outils de type « gratuit » le permettent (exemple : Recuva = http://www.piriform.com/recuva).
•    Un fichier chiffré et la version originale du fichier (si vous avez une sauvegarde des fichiers).
•    Le répertoire des fichiers chiffrés (exemple Mes Documents, Mon Ordinateur…).
•    Le dump à chaud de la mémoire lorsque le chiffrement est en cours d’exécution à l’aide d’outils tels que « DumpIT » disponible ci-dessous :
http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/

La procédure de génération du dump avec DumpIt est la suivante :
• Télécharger DumpIt : http://www.moonsols.com/wp-content/plugins/download-monitor/download.php?id=7
• Exécuter l’exécutable depuis le poste infecté et lors de la routine de chiffrement du code malicieux. Un fichier <nom de fichier>.raw est créé :
• Compresser le fichier et le faire parvenir à l’ingénieur pour analyse.

•    Dans le cas où le module System Watcher de KES8/10 est active dans la partie Endpoint Protection, collectez les fichiers malicieux qui ont été placés dans le répertoire de backup du module “System Watcher” (C:\ProgramData\Kaspersky Lab\KES10\SysWHist\file_cache)
Compressez ces fichiers dans une archive protégée par mot de passe.
•    Collectez également tout le contenu de ce répertoire dans une archive protégée par mot de passe : C:\ProgramData\Kaspersky Lab\KES10\QB\

Joignez le fichier clé de licence (.KEY) utilisé sur le poste client infecté dont les analystes Kaspersky auront besoin pour la gestion des fichiers en quarantaine.

Les fichiers doivent être transmis dans une unique archive (compressée avec WinRar, 7 Zip…).
Dans le cas où l’archive fait plus de 50 MB, vous pouvez l’uploader sur un site permettant le partage de fichiers, puis leur faire parvenir le lien de téléchargement.

Nouveautés BackupAssist V9: Hyper-V et RVR

Depuis le 02 octobre est sortie la version 9 de BackupAssist.
Voici donc le détail des nouveautés apportées par cette version:

  • Apparation d’un nouveau menu « Hyper-V Guest monitors »; Dans ce menu nous pouvons voir l’état des machines virtuelles, leur taille, ainsi que le résultat des 5 dernières sauvegardes avec le nombre de sauvegardes disponibles pour la restauration.
  • Désormais, lorsqu’un invité Hyper-V rencontre un dysfonctionnement, vous pouvez faire appel au système RVR (Rapid VM Recovery) pour récupérer une copie de la VM de votre sauvegarde.

La VM restaurée tournera alors sur le support de sauvegarde, et durant cette période aucune sauvegarde  future n’aura accès à ce support. D’autre part, les sauvegardes d’images des VM resteront en mode lecture seule pour éviter des modifications non souhaitées.

Cette opération permet une restauration très rapide car elle n’a pas besoin d’extraire le fichier de disque virtuel de votre sauvegarde, le copier sur l’hyperviseur, configurer un nouvel invite Hyper-V.

Lorsque vous devrez par la suite faire une restauration complète, il faudra stopper le mode RVR sur la machine virtuelle. Vous aurez alors le choix entre les options suivantes:

– Vous pouvez choisir de fusionner les changements pour une restauration complète comme si rien ne s’était passé
– Ou faire une restauration complète de votre VM sans récupérer les changements (différenciation)

Indications supplémentaires:
1) Le RVR ne doit être utilisé qu’en tant que solution temporaire. Vous devez donc prévoir un plan d’action pour une récupération complète de la VM
2) BA ne démarrera pas automatiquement la machine RVR. L’administrateur doit vérifier la configuration et l’environnement Hyper-V avant de démarrer la machine.
3) Les performances de la machine RVR seront moindres (elle tournera sur votre disque USB et non sur votre serveur Hyper-V)
4) En version 9, il n’est pour l’instant pas possible d’avoir plusieurs machines tournant en RVR
5) Utile pour tester la VM directement à part de l’emplacement de sauvegarde afin de vérifier son fonctionnement.
6) Hyper-V supportés: 2008 R2/2012/2012 R2
7) Les VM ne peuvent pas être restaurées sur un OS de version antérieure. (OS de l’Hyper-V)

  • Support des VHDX d’une taille supérieure à 2To si votre système le permet (nécessite un serveur 2012)

Cependant, il y a plusieurs scénarios où l’utilisation du VHDX ne sera pas possible, notamment:
– Si vous avez moins de 2Tb de dispo sur le média de sauvegarde
– Si un fichier Datacontainer.VHD existe déjà sur l’emplacement de sauvegarde
– Et lorsque la destination est un NAS utilisant un système de fichiers SPARSE (mais on peut ici modifier le fichier smb.conf du NAS pour ajouter ‘StrictAllocate = Yes (si vous ne faites pas cela, vous n’aurez pas d’historiques sur vos sauvegardes)

  • Grâce à un nouveau système de catalogues, la sauvegardes de protection système sont dorénavant 30% plus rapides qu’en version 8.

MDaemon et OpenPGP

Aujourd’hui, les questions de surveillance et de confidentialité sont de plus en plus abordées. C’est pour cela qu’il est intéressant de se pencher sur le cryptage de mails, afin de garder les échanges de mails confidentiels.

Cet article va donc détailler une des nouvelles fonctionnalités de MDaemon arrivées en 15.5.0, à savoir MDPGP, basé sur le format de cryptographie OpenPGP.

Configurer MDPGP en trois étapes:

1 – Activation du service:
Afin de paramétrer MDPGP, il faut se rendre sur MDaemon puis dans Sécurité > MDPGP.
Via ce menu, vous pouvez donc dans un premier temps activer le service, puis ensuite ajouter les utilisateurs qui seront autorisés à l’utiliser.

MDPGP active

2 – Paramétrage des utilisateurs:
Après avoir cliqué sur le bouton pour configurer les utilisateurs,
Un fichier texte s’ouvre avec des instructions et exemples de droits à affecter aux différents utilisateurs. On retrouve des droits séparés pour crypter, décrypter et signer les mails.
Si vous ne voulez pas spécifier les droits pour chaque utilisateurs, vous pouvez bien sûr spécifier des droits pour l’ensemble des utilisateurs d’un domaine, ou pour tous les domaines.

3 – Création de clés:
Vous pouvez soit créer des clés automatiquement, soit créer des clés pour chaque utilisateur, via le bouton prévu à cet effet. Si vous choisissez de créer les clés via le menu, vous pouvez envoyer la clé publique par mail à l’utilisateur concerné.

MDPGP cles

Utilisation:
Ensuite pour utiliser les commandes de cryptage et autre, il faut placer au début ou à la fin de votre sujet les arguments suivants:

–pgps – pour signer tous les messages (si possible)
–pgpe – pour crypter tous les messages (si possible)
–pgpx – signifie que vous DEVEZ crypter ce message (bounce pas possible)
–pgpk – si vous mettez uniquement ça dans le sujet, vous recevrez un email avec votre clé publique
–pgpk<Email> si vous mettez uniquement ça dans le sujet, l’adresse e-mail spécifiée recevra sa clé publique par e-mail

Notes et compléments d’information:

  • Seuls les messages arrivant en authentification SMTP sont éligibles au cryptage par MDPGP.
  • Les messages transférés ne seront pas cryptés.
  • Les messages d’auto-répondeur ne seront pas cryptés.
  • La révocation de clé n’est pas implémentée
  • U.I ne montre que les 500 premiers comptes
  • MDPGPUtil.exe est un outil pour crypter et décrypter en ligne de commande
  • Opérateur du filtre de contenu de cryptage ne fonctionne pas sur les messages déjà cryptés et obéit à la configuration globale de MDPGP.
  • Les messages cryptés sont également signés et ne nécessite pas de faire les deux étapes.