DocumentationConfiguration de l'agent SKOOR pour Windows
Configuration
Tous les paramètres de configuration d'exécution nécessaires au collecteur SKOOR sont contenus dans le fichier eRangerAgent.ini. Il n'y a pas d'autres options de configuration dans le registre (à part l'enregistrement du programme lui-même dans Windows). Il suffit de copier le fichier eRangerAgent.ini d'un WinAgent à un autre pour reproduire tous les paramètres de configuration.
Le fichier de configuration doit être conservé dans le même répertoire que les exécutables.
WinAgent peut également être démarré sans aucun fichier de configuration. Dans ce cas, les valeurs par défaut (comme lors d'une nouvelle installation) seront utilisées.
Configuration de l'interface graphique WinAgent
La façon la plus simple de configurer SKOOR WinAgent est d'utiliser l'interface graphique Windows. Cliquez sur le bouton de configuration dans la barre d'outils ou sélectionnez « Configuration... » dans le menu Fichier.
Les noms en italique à la fin des descriptions des options ci-dessous sont les noms utilisés dans le fichier de configuration eRangerAgent.ini.
Paramètres réseau
Paramètre | Description |
|---|---|
Écouter sur le port | Port sur lequel WinAgent écoute les connexions entrantes (52998 par défaut) |
Nom d'utilisateur | Si un nom d'utilisateur est spécifié, celui-ci est utilisé pour l'authentification. Cela signifie que le SKOOR Collector doit transmettre des informations d'identification valides pour pouvoir envoyer des requêtes à l'agent. |
Mot de passe | Mot de passe utilisé pour l'authentification |
SSL | Si cette option est activée, la communication est cryptée avec SSL |
Keep-alive | Si cette option est activée, les connexions TCP provenant du collecteur ne sont pas déconnectées après réception de la requête par l'agent. L'agent peut réutiliser la même connexion TCP pour plusieurs requêtes. Si la connexion est interrompue, l'agent ouvre une nouvelle connexion sans perte de données. |
Hôtes autorisés
Seuls les collecteurs SKOOR (hôtes) dont les adresses IP figurent dans cette liste sont autorisés à se connecter. Si cette liste est vide, toutes les adresses IP sont autorisées à se connecter.
authorized_host (plusieurs valeurs possibles)
Paramètres de journalisation
Ces paramètres configurent la journalisation du service eRanger.
Paramètre | Description |
|---|---|
Écrire le fichier journal | Active/désactive la journalisation |
Chemin d'accès au fichier journal | Chemin d'accès au fichier journal. Si WinAgent ne fonctionne pas en tant que service, l'utilisateur qui exécute WinAgent doit disposer des autorisations nécessaires pour écrire à cet emplacement (ce qui n'est pas toujours le cas pour le chemin d'accès par défaut C:\Program Files\Junisphere…). |
Niveau de journalisation | Définit le niveau de journalisation (Débogage > Info > Warning > Erreur) |
Tronquer à la taille | Si le fichier dépasse cette valeur, il est tronqué. |
Options de transfert de fichiers
Cet onglet définit les autorisations d'envoi (Agent fetchfile) et de réception (Agent putfile) de fichiers vers/depuis l'agent.
Paramètre | Description |
|---|---|
Autoriser la réception de fichiers | Les fichiers peuvent être reçus avec les tâches Client Putfile |
Cibles autorisées | Les fichiers reçus des agents peuvent être stockés dans ces emplacements cibles. Les caractères génériques * et ? peuvent être utilisés. |
Autoriser l'envoi de fichiers | Les fichiers peuvent être envoyés à l'aide des tâches Client Fetchfile. |
Fichier autorisé à être envoyé | Les fichiers provenant de ces emplacements peuvent être récupérés par l'agent. Les caractères génériques * et ? peuvent être utilisés. |
N'oubliez pas d'ajouter une entrée à la liste à l'aide du
bouton .
Si vous essayez de récupérer ou de placer un fichier qui ne figure pas dans la liste ou si la fonctionnalité d'envoi/réception est complètement désactivée, un message d'erreur sera envoyé à l'agent et affiché dans SKOOR.
Exécuter des programmes
Ces paramètres déterminent si et quels programmes peuvent être exécutés sur l'agent.
Paramètre | Description |
|---|---|
Autoriser l'exécution de programmes | Activez cette option pour autoriser l'exécution de programmes. |
Programmes autorisés | Les programmes figurant dans cette liste peuvent être exécutés par l'agent. Les caractères génériques * et ? peuvent être utilisés. |
Utilisateur Windows local | Si WinAgent s'exécute en tant que service, tous les programmes sont exécutés sous cet utilisateur Windows. Le nom d'utilisateur peut être donné au format UPN s'il doit contenir la partie domaine (utilisateur@domaine). Si le nom d'utilisateur est laissé vide, les programmes sont exécutés dans le contexte du propriétaire du service sur lequel WinAgent s'exécute. Il s'agit normalement du compte LocalSystem. Les applications qui utilisent une interface graphique peuvent ne pas fonctionner comme prévu (voir également le chapitre 5.2). |
Mot de passe | Mot de passe de l'utilisateur. Le mot de passe est stocké sous forme cryptée dans le fichier de configuration. |
Délai d'expiration par défaut du processus | Les processus démarrés seront interrompus après le délai d'expiration indiqué (en secondes) s'ils sont toujours en cours d'exécution. Cette valeur peut être remplacée en définissant une valeur de délai d'expiration dans la tâche d'exécution. |
N'oubliez pas d'ajouter une entrée à la liste à l'aide du
bouton .
Si vous essayez d'exécuter un programme qui ne figure pas dans la liste ou si l'exécution est complètement désactivée, un message d'erreur sera envoyé à l'agent et affiché dans SKOOR.
Contrôle du service et de l'exécution automatique
Cet onglet permet d'installer, de désinstaller et de démarrer/arrêter le service SKOOR Collector. Toutes ces opérations peuvent également être effectuées dans le contrôle du service (voir chapitre 3). WinAgent doit être démarré en tant qu'administrateur pour pouvoir contrôler le service.
Si la case Lancer eRanger WinAgent après la connexion (tous les utilisateurs) est cochée, WinAgent.exe est enregistré comme programme à exécution automatique pour tous les utilisateurs dans le registre sous :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Cette option est visible si WinAgent a été installé pour tous les utilisateurs et a été démarré en tant qu'administrateur. Si WinAgent est démarré en tant qu'utilisateur normal, la case à cocher est intitulée « Démarrer eRangerWinAgent après la connexion (utilisateur actuel) ». Si elle est cochée, WinAgent est enregistré comme programme à exécution automatique sous :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Avec ces deux options, WinAgent est alors lancé à la connexion et s'exécute en arrière-plan.
Problèmes
Privilèges d'administrateur
Le SKOOR WinAgent a besoin de privilèges d'administrateur pour lire toutes les données de performance du système d'exploitation (par exemple, pour voir tous les processus de tous les utilisateurs, etc.). Si des données de surveillance fiables doivent être collectées et que le client ne peut pas être démarré en tant que service (ce qui est recommandé pour ce cas d'utilisation), l'utilisateur doit démarrer le WinAgent en tant qu'administrateur (clic droit – Exécuter en tant qu'administrateur).
Si le client est installé en tant que service, WinAgent doit être lancé en tant qu'administrateur pour pouvoir contrôler le service. Sinon, utilisez le contrôle de service Windows intégré.
Si l'application est installée pour tous les utilisateurs dans C:\Program Files\Junisphere, un utilisateur normal ne peut pas modifier la configuration car il n'a pas l'autorisation d'écrire dans le fichier C:\Program Files\Junisphere\eRangerAgent.ini). Pour pouvoir modifier la configuration, WinAgent doit être lancé en tant qu'administrateur.
Démarrage d'applications GUI à partir de l'agent
Les services ne sont pas autorisés à utiliser l'interface utilisateur graphique de Windows. Si des applications GUI (telles que les scripts EEM robot) doivent être lancées par SKOOR WinAgent sous Windows, l'agent doit être lancé en tant qu'application normale et non en tant que service. Pour vous assurer que WinAgent s'exécute en tant qu'application, désinstallez le service (s'il est installé).