Ce serveur devrait être accessible uniquement lorsque l'utilisateur entre dans un environnement réseau contrôlé, pour garantir qu'il se trouve bien dans l'environnement identifié par ZENworks® Security Client. Des instructions sur les configurations appropriées de reprise après échec et de redondance sont fournies ci-dessous. Au besoin, le service CLAS peut être déployé sur le même serveur que celui qui héberge l'installation monoserveur ou l'installation du service de gestion multiserveur.
Installez le service CLAS sur un serveur que les noeuds d'extrémité ne pourront détecter que lorsqu'ils se trouvent dans l'environnement réseau qui exige une vérification cryptographique.
Le déploiement du service CLAS sur un contrôleur de domaine primaire n'est pas pris en charge pour des raisons à la fois de sécurité et de fonctionnalité.
REMARQUE :Il est recommandé de configurer (durcir) le serveur SSI de manière à désactiver les applications, services, comptes et autres options qui ne sont pas nécessaires à la finalité prévue du serveur. La procédure à suivre pour ce faire varie selon les spécificités de l'environnement local et ne peut donc pas être décrite au préalable. Les administrateurs sont invités à consulter la section appropriée de la page Web de sécurité Microsoft Technet. D'autres recommandations concernant le contrôle d'accès sont fournies dans le Guide d'administration de ZENworks Endpoint Security Management.
Afin de limiter l'accès aux seules machines approuvées, le répertoire virtuel et IIS peuvent être configurés pour utiliser des listes de contrôle d'accès (ACL). Reportez-vous aux articles ci-dessous :
Pour des raisons de sécurité, il est vivement recommandé de supprimer les dossiers par défaut suivants de toute installation IIS :
IISHelp
IISAdmin
Scripts
Printers
Nous vous recommandons également d'utiliser IIS Lockdown Tool 2.1, disponible sur microsoft.com.
La version 2.1 de cet outil repose sur des modèles fournis pour les principaux produits Microsoft basés dépendant de IIS. Sélectionnez le modèle qui correspond le mieux au rôle de ce serveur. En cas de doute, le modèle de serveur Dynamic Web est recommandé.
Assurez-vous que les exigences suivantes sont satisfaites avant de commencer l'installation :
Vérifiez la résolution de nom de serveur entre le service de gestion et le service de distribution de stratégies : vérifiez que l'ordinateur cible sur lequel le service de gestion est installé peut exécuter une commande ping sur le nom de serveur du service de distribution (NETBIOS si le service de distribution est configuré à l'intérieur du pare-feu du réseau, nom de domaine complet s'il est installé à l'extérieur, dans la zone démilitarisée).
Activez ou installez Microsoft Internet Information Services (IIS) et assurez-vous qu'ASP.NET est activé.
IMPORTANT :Ne cochez pas la case sur la page Communications sécurisées (dans l'utilitaire Microsoft Gestion de l'ordinateur, développez > > > cliquez avec le bouton droit de la souris sur > cliquez sur > cliquez sur l'onglet > cliquez sur le bouton dans la zone de groupe Communications sécurisées). L'activation de cette option interrompt la communication entre le serveur ZENworks Endpoint Security Management et le client ZENworks Endpoint Security sur le noeud d'extrémité.
Cliquez sur dans le menu Interface d'installation. L'installation du service CLAS démarre.
Au lancement, le programme d'installation vérifie que tous les logiciels requis sont présents sur le serveur. Si un logiciel est absent, il est automatiquement installé avant l'affichage de l'écran de bienvenue du programme d'installation (vous devrez éventuellement accepter les accords de licence des logiciels supplémentaires). Si MDAC (Microsoft Data Access Components ) 2.8 n'est pas installé, le serveur doit redémarrer après cette installation, avant que l'installation de ZENworks Endpoint Security Management puisse continuer. Si vous utilisez Windows Server 2003, ASP.NET 2.0 est configuré pour être exécuté par le programme d'installation.