Scénario de déploiement de l'application avec une sélection d'autorisations d'accès

Ce scénario de déploiement vous convient si la stratégie de sécurité de votre entreprise ne permet pas d'exécuter toutes les actions d'installation de l'application au nom de votre compte utilisateur et limite les autorisations d'accès au serveur SQL et à Active Directory. Par exemple, si l'administration des bases de données de l'organisation est confiée à un autre expert qui possède des autorisations d'accès complètes au serveur SQL.

Les noms des groupes des comptes doivent rester uniques dans le cadre de l'arborescence Active Directory.

Pour préparer l'installation avec un ensemble limité d'autorisations d'accès vers au serveur SQL ou à Active Directory, procédez comme suit :

  1. Assurez-vous que le compte utilisateur prévu pour l'installation de l'application appartienne au groupe local "Administrateurs" du serveur Microsoft Exchange sur lequel l'application va être installée. Si ce n'est pas le cas, ajoutez-le à ce groupe.
  2. Créez le conteneur suivant dans Active Directory :

    CN=KasperskyLab,CN=Services,CN=Configuration,DC=domain,DC=domain

  3. Configurez l'accès complet à ce conteneur et à tout ses objets enfant pour le compte prévu pour l'installation de l'application.
  4. Créez le groupe de comptes utilisateur Kse Watchdog Service. Les groupes appartiennent au type "Universel". Ajoutez-y le compte utilisateur prévu pour le fonctionnement des services de l'application. Si le compte utilisé dans ce cas est le compte Local System, ajoutez également au groupe Kse Watchdog Service le compte utilisateur de l'ordinateur sur lequel a lieu l'installation.
  5. Ajoutez le groupe Kse Watchdog Service au groupe local "Administrateurs" du serveur Microsoft Exchange sur lequel l'application va être installée.

    Si vous avez déjà supprimé le privilège Debug Programs offert pour le groupe "Administrateurs" par défaut, désignez ce privilège au groupe Kse Watchdog Service.

  6. Octroyez au groupe Kse Watchdog Service les autorisations de lecture pour le conteneur d'Active Directory où se trouvent les données de configuration de Microsoft Exchange :

    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=domain

  7. (Applicable uniquement aux serveurs Microsoft Exchange 2013 et Microsoft Exchange 2016). Octroyez au groupe Kse Watchdog Services l'autorisation ms-Exch-Store-Admin. Pour cela, saisissez la commande suivante sur la console Exchange Management Shell :

    Add-ADPermission -Identity "<chemin d'accès vers le conteneur où se trouve la configuration Microsoft Exchange>" -User "<nom de domaine>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

    Par exemple :

    Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=domain" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

  8. (Appliqué pour les serveurs Microsoft Exchange 2013 / 2016). Autorisez Kse Watchdog Service à lancer une tâche sous un autre nom (emprunt d'identité). Pour cela, saisissez la commande suivante sur la console Exchange Management Shell :

    New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

  9. Si vous voulez utiliser l'analyse à la demande des boîtes aux lettres sélectionnés sur les serveurs Microsoft Exchange 2010, accordez au groupe Kse Watchdog Service le droit au lancement sous un autre nom (impersonation). Pour cela, saisissez la commande suivante sur la console Exchange Management Shell :

    New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

  10. Créez les groupes de comptes suivants : Kse Administrators, Kse Security Officers, Kse AV Security Officers, Kse AV Operators. Ces groupes peuvent être créés dans n'importe quel domaine de la société. Les groupes appartiennent au type "Universel".
  11. Répliquez les données Active Directory dans toute l'organisation.
  12. Garantissez l'octroi des rôles utilisateurs correspondants aux comptes utilisateur qui appartiennent à l'utilisateur qui remplit différentes fonctions au sein de l'organisation. Pour ce faire, ajouter les comptes aux groupes suivants de comptes Active Directory :
    • Comptes administrateur, dans le groupe Kse Administrators.
    • Comptes des experts en sécurité de l'information, dans le groupe Kse Security Officers.
    • Comptes des experts en sécurité contre les virus, dans le groupe Kse AV Security Officers.
    • Comptes des opérateurs de la sécurité contre les virus, dans le groupe Kse AV Operators.
  13. Assurez-vous que la base de données a été créée. Réalisez cette opération vous-même ou déléguez-la à un expert doté des autorisations requises.
  14. Créez sur le serveur SQL des comptes utilisateur pour les groupes suivants Active Directory : Kse Administrators, Kse AV Security Officers, Kse Watchdog Service.
  15. Assurez-vous que le groupe de comptes utilisateur Kse Watchdog Service reçoit le rôle db_owner au niveau de la base de données de l'application.
  16. Assurez-vous que le rôle db_owner au niveau de la base de données de l'application et les autorisations VIEW ANY DEFINITION au niveau du serveur SQL seront accordés au compte utilisateur prévu pour la préparation de la base de données.

    Si vous n'avez pas octroyé à ce compte utilisateur le droit VIEW ANY DEFINITION, lorsque l'Assistant d'installation vérifiera les rôles et les autorisations des utilisateurs sur la base de données de l'application, un message sollicitant l'autorisation ALTER ANY LOGIN s'affichera. L'autorisation ALTER ANY LOGIN est requise par l'Assistant d'installation pour créer les utilisateurs du serveur SQL, leur attribuer des rôles et leur octroyer les autorisations d'utilisation de la base de données.

  17. Si vous envisagez d'administrer l'application à l'aide de Kaspersky Security Center, ajoutez les comptes utilisateur de tous les ordinateurs, sur lesquels vous installez Kaspersky Security, au groupe KSE Administrators dans Active Directory.

    Si vous n'avez pas ajouté les comptes utilisateurs de tous les ordinateurs sur lesquels vous installez Kaspersky Security dans le groupe KSE Administrators dans Active Directory, un message apparaît à l’écran expliquant comment administrer l'application à l'aide de Kaspersky Security Center.

  18. Assurez-vous du lancement et de l'exécution des étapes de l'Assistant d'installation de l'application et l'Assistant de configuration de l'application sous le compte utilisateur prévu pour l'installation de l'application.
  19. Répliquez les données Active Directory dans toute l'organisation. Cette action est obligatoire pour que les paramètres de l'application conservés dans Active Directory soient accessible lors des installations suivantes de l'application sur d'autres serveurs Microsoft Exchange de votre organisation.

En cas d'installation ou d'utilisation de l'application avec la base SQL avec la technologie AlwaysOn configurée, vous devez synchroniser les droits entre tous les serveurs faisant partie du groupe de la base de données miroir.

Au début