Installer et Configurer AD Helper
Threat Detection and Response comprend le composant AD Helper. Si votre réseau possède un serveur Active Directory, vous pouvez installer AD Helper pour gérer l'installation et la mise à jour automatisées des Host Sensors sur votre réseau. Une fois installé et configuré, AD Helper envoie la liste des domaines et les hôtes de votre serveur Active Directory à votre compte TDR. Dans votre compte TDR, vous spécifiez les hôtes sur lesquels AD Helper installe un Host Sensor.
Installer AD Helper
Vous pouvez installer AD Helper sur n'importe quel serveur ou ordinateur Windows de votre domaine réseau. AD Helper n'est pas compatible avec macOS.
Conditions préalables :
- AD Helper nécessite Java. Vous devez installer Java 8 Update 162 ou une version ultérieure ou OpenJDK8 avec le package précompilé Amazon Corretto. Pour de plus amples informations concernant Amazon Corretto, consultez la section Amazon Corretto. Pour de plus amples informations concernant la migration vers le JDK Amazon Corretto 8 à partir de Java 8, consultez la section Modifications de la Licence Oracle Java 8 et des Applications Java de WatchGuard.
Java 8 doit être installé sur l'ordinateur Windows sur lequel vous avez installé AD Helper.
- Vous devez exécuter le programme d'installation .MSI d'AD Helper en tant qu'Administrateur Windows
Pour de plus amples informations concernant la compatibilité de l'OS d'AD Helper, consultez les Notes de Publication de TDR à la page Notes de Publication de TDR.
Pour installer AD Helper :
- Se Connecter à TDR.
- Sélectionnez Surveiller> Threat Detection.
- Dans la section Périphériques/Utilisateurs, sélectionnez AD Helper.
La page Configuration d'AD Helper s'ouvre.
- Copiez l'UUID du Compte de la page de Configuration d'AD Helper.
Lors de la configuration d'AD Helper dans la procédure suivante, vous ajouterez l'UUID du Compte. - Pour télécharger le programme d'installation .MSI, cliquez sur Télécharger.
- Pour exécuter le programme d'installation, double-cliquez sur le programme d'installation .MSI que vous avez téléchargé.
- Saisissez si besoin les informations d'identification de l'administrateur Windows.
Vous pouvez également exécuter le programme d'installation .MSI depuis une invite de commandes en tant qu'Administrateur :
- Dans Windows, faites un clic droit sur l'Invite de Commandes puis sélectionnez Exécuter en tant qu'Administrateur.
Une fenêtre d'invite de commande Windows s'ouvre. - Changez de répertoire en indiquant celui du fichier .MSI téléchargé.
- Saisissez cette commande : msiexec /package helper.msi
AD Helper s'exécute sous forme du service local helper.
Par défaut, AD Helper est automatiquement mis à jour lorsqu'une nouvelle version de TDR est disponible. Si la Mise à Jour Automatique d'AD Helper est désactivée sur la page Paramètres Généraux de TDR web UI, vous pouvez opter pour mettre à jour AD Helper manuellement lorsqu'une nouvelle version est disponible. Pour plus d'informations, consultez Mettre à jour AD Helper
Si vous installez AD Helper derrière un Firebox possédant une stratégie de proxy HTTPS dont l'inspection de contenu et la validation de certification sont activées, il est parfois nécessaire de configurer une stratégie de filtrage de paquets HTTPS pour autoriser les connexions d'AD Helper au nuage TDR. Pour plus d'informations, consultez Configurer une Stratégie de Pare-feu pour le Trafic TDR.
Configurer les Hôtes Cibles
Pour confirmer qu'AD Helper peut déployer avec succès les Host Sensors :
- L'hôte AD Helper doit pouvoir résoudre le nom d'hôte de l'hôte cible.
- Le Partage de Fichiers et d'Imprimantes doit être activé sur l'hôte cible.
- Le compte AD Helper doit être autorisé à effectuer des installations sur l'hôte cible. Cette option est désactivée par défaut pour le groupe Administrateurs du Domaine sous Windows 10.
- L'hôte cible doit pouvoir communiquer avec TDR cloud.
- Les pare-feu locaux ou les logiciels tiers installés sur l'hôte ne doivent pas bloquer le processus d'installation.
Configurer AD Helper
Après avoir installé AD Helper, vous devez le configurer de manière à se connecter à votre contrôleur de domaine Active Directory et à l'URL du Nuage de votre compte TDR.
Identifier un Compte d'Utilisateur du Domaine Actif pour AD Helper
Dans les paramètres d'AD Helper, vous devez spécifier les informations d'identification d'un compte d'utilisateur membre du groupe de sécurité Administrateur du Domaine ou Utilisateurs du Domaine. Si vous sélectionnez un compte d'utilisateur uniquement membre du groupe de sécurité Utilisateurs du domaine, veillez à ce que ses autorisations de sécurité soient correctement configurées de manière à vous permettre d'installer le logiciel sur les endpoints cibles.
Le compte Utilisateur du Domaine installe les Host Sensors sur les hôtes de votre réseau. Veillez à ce que le compte Utilisateur du Domaine que vous sélectionnez possède les permissions nécessaires pour effectuer ces opérations sur tous les hôtes de votre réseau :
- Connectez-vous à l'hôte
- Montez le partage ADMIN$
- Créez un fichier sur l'hôte
- Exécutez les commandes sur l'hôte
- Installez le logiciel sur l'hôte
Configurez les Paramètres d'AD Helper
Pour configurer AD Helper, vous vous connectez à un serveur Web local sur le port 8080. Si vous préférez utiliser un autre port, vous pouvez modifier le port utilisé par AD Helper. Pour plus d'informations, consultez Modifier le Port d'AD Helper.
Pour configurer AD Helper :
- Sur l'ordinateur sur lequel vous avez installé AD Helper, connectez-vous à l'interface web UI d'AD Helper à l'adresse http://localhost:8080. Astuce !
Active Directory Helper web UI s'ouvre. - Dans AD Helper Web UI, sélectionnez Configuration > Propriétés.
- Dans la zone de texte UUID du Compte, collez votre UUID de Compte.
Vous pouvez l'UUID du Compte de la page de téléchargement du programme d'installation .MSI. - L'URL du Nuage est automatiquement configurée avec l'URL de votre compte TDR. Si WatchGuard vous invite à modifier l'URL, saisissez ou collez l'URL du Nuage fournie par WatchGuard.
- Cliquez sur Enregistrer.
Les propriétés du compte sont enregistrées et la connexion à votre compte TDR est automatiquement testée. - Pour tester à nouveau la connexion à votre compte TDR, cliquez sur Tester l'URL.
Le résultat du test s'affiche dans une bannière en haut de la page. - Sélectionnez Configuration > Domaines.
La page Domaines s'ouvre. - Cliquez sur Ajouter un Domaine.
- Pour ajouter le contrôleur de domaine, cliquez sur Ajouter.
La boîte de dialogue Ajouter un Serveur s'ouvre.
- Dans la zone de texte Contrôleur de Domaine, saisissez le nom d'hôte ou l'adresse IP de votre contrôleur de domaine Active Directory.
- Dans la liste déroulante Protocole, sélectionnez le protocole à utiliser pour se connecter au contrôleur de domaine.
- Dans la zone de texte Port, spécifiez le port à utiliser pour les connexions au contrôleur de domaine.
Le paramètre par défaut est le port 389.
- Si vous avez sélectionné le protocole Microsoft Active Directory, utilisez le port par défaut 389.
- Si vous avez sélectionné le protocole Microsoft Active Directory - Sécurisé, remplacez le port par 636.
Ne configurez pas le Port sur les valeurs des ports du catalogue global (3268 et 3269). Les réponses aux requêtes sur ces ports ne contiennent pas les informations exigées par AD Helper pour installer le Host Sensor sur un hôte.
- Cliquez sur Enregistrer.
Le Contrôleur de Domaine est ajouté à la liste des serveurs - Dans la zone de texte Nom, saisissez le nom de votre domaine Active Directory.
- Dans la zone de texte Nom de domaine Complet, saisissez le FQDN (nom de domaine complet) de votre domaine Active Directory.
- Dans la zone de texte Domaines de Connexion, saisissez le nom de domaine que vous devez spécifier pour vous connecter au contrôleur de domaine Active Directory. Il s'agit généralement du même nom que le FQDN que vous avez indiqué dans la zone de texte Nom Complet, mais pour certains domaines antérieurs à Windows 2003, vous devrez peut-être saisir le nom de domaine NetBIOS à la place.
- Dans les zones de texte Nom d'Utilisateur et Mot de Passe, saisissez les informations d'identification qu'AD Helper doit utiliser pour se connecter au contrôleur de domaine Active Directory.
- Cliquez sur Enregistrer.
AD Helper se connecte à votre contrôleur de domaine Active Directory et envoie la liste des hôtes et des domaines à votre compte TDR.
La synchronisation Active Directory n'est pas instantanée. AD Helper peut requérir jusqu'à deux heures pour synchroniser entièrement les informations relatives aux hôtes, aux groupes et aux domaines de votre compte TDR.
Afficher les Hôtes, les Domaines et l'Etat d'AD Helper
Après avoir configuré AD Helper, celui-ci se connecte à votre contrôleur de domaine Active Directory et envoie la liste des hôtes, groupes et domaines à votre compte TDR. Pour afficher les hôtes, les groupes et les domaines d'Active Directory et vérifier l'état d'AD Helper, vous devez vous connecter à votre compte TDR.
Pour afficher les hôtes, les groupes et les domaines Active Directory :
- Se Connecter à TDR.
- Pour afficher les informations concernant les hôtes, les groupes, les domaines et AD Helper :
- Pour afficher la liste des hôtes, sélectionnez Surveiller > Threat Detection.
- Sélectionnez Périphériques/Utilisateurs > Hôtes.
- Par défaut, la page Hôtes est filtrée de manière à afficher les hôtes sur lesquels un Host Sensor est installé. Pour afficher tous les hôtes, y compris les hôtes récemment synchronisés à partir d'Active Directory, sur la page Hôtes, cliquez sur puis sélectionnez Effacer pour effacer tous les filtres.
- Pour afficher la liste des domaines, sélectionnez Configurer > Threat Detection.
- Sélectionnez ThreatSync > Domaines.
- Pour afficher la liste des groupes Active Directory, sélectionnez Configurer > Threat Detection.
- Sélectionnez ThreatSync > Groupes.
- Dans la colonne Type, sélectionnez Active Directory et cliquez sur Appliquer.
- Pour afficher l'état d'AD Helper, sélectionnez Surveiller > Threat Detection.
- Sélectionnez Périphériques/Utilisateurs > AD Helper.
La section État d'AD Helper indique la version installée d'AD Helper, le nom de l'hôte sur lequel le logiciel est installé ainsi que la durée écoulée depuis la dernière réception d'une pulsation d'AD Helper.
- Sélectionnez Périphériques/Utilisateurs > AD Helper.
- Pour afficher les informations concernant les problèmes liés à AD Helper, cliquez sur . Astuce !
Après avoir configuré AD Helper, vous pouvez installer les Host Sensors sur les hôtes de votre domaine Active Directory depuis votre compte TDR. Pour plus d'informations, consultez Installation Automatique de Host Sensor TDR.
Modifier le Port d'AD Helper
L'¡nterface d'AD Helper utilise par défaut le port 8080. Si vous souhaitez modifier le port que vous utilisez pour vous connecter à AD Helper, vous pouvez modifier le fichier de configuration d'AD Helper.
Pour modifier le port d'AD Helper :
- Sur l'ordinateur sur lequel vous avez installé AD Helper, modifiez le fichier C:\Program Files (x86)\WatchGuard\Active Directory Helper\helper.xml.
- À la ligne 42, recherchez --httpPort=8080. Remplacez 8080 par le numéro de port que vous souhaitez utiliser.
- Enregistrez le fichier.
Afin qu'AD Helper utilise le port que vous avez spécifié, vous devez redémarrer le logiciel :
- Ouvrez une invite de commandes Windows en tant qu'Administrator.
- Dans la fenêtre d'Invite de Commande, collez ou saisissez la commande suivante :
"C:\Program Files (x86)\WatchGuard\Active Directory Helper\helper.exe" restart
Mettre à jour AD Helper
Lorsque la Mise à Jour Automatique d'AD Helper est activée sur la page Paramètres Généraux de TDR, AD Helper se met automatiquement à jour lorsqu'une nouvelle version de TDR est disponible. Pour plus d'informations, consultez Paramètres Généraux de TDR.
Si la Mise à Jour Automatique d'AD Helper est désactivée, vous pouvez opter pour mettre à jour AD Helper à partir de TDR web UI lorsqu'une nouvelle version est disponible. L'icône s'affiche dans la colonne Version si AD Helper peut être mis à jour.
Pour mettre à jour AD Helper depuis TDR :
- Sélectionnez Surveiller > Threat Detection.
- Dans la section Périphériques/Utilisateurs, sélectionnez AD Helper.
- Dans la colonne Version située en face de la version installée d'AD Helper, cliquez sur .
Mettre à Niveau AD Helper Manuellement
Si AD Helper ne peut pas se mettre à jour automatiquement, vous pouvez faire une mise à niveau manuelle. Pour éviter la perte de votre configuration AD Helper, suivez attentivement les instructions.
Pour mettre à niveau AD Helper manuellement :
- Pour arrêter le service AD Helper, utilisez services.msc ou ouvrez une invite de commandes et exécutez la commande net stop helper.
- Accédez au dossier helperapp :
- Pour les systèmes avec JRE 64 bits installé — %WINDIR%\sysWOW64\config\systemprofile\helperapp\
- Pour les systèmes avec JRE 32 bits installé — %WINDIR%\system32\config\systemprofile\helperapp\
- Sauvegardez le contenu du dossier helperapp dans un emplacement différent.
- Désinstallez l'AD Helper existant.
- Téléchargez la dernière version d'AD Helper depuis TDR Web UI.
- Installez le nouveau AD Helper.
- Pour arrêter le service AD Helper, utilisez services.msc ou ouvrez une invite de commandes et exécutez la commande net stop helper.
- Remplacez le contenu de %WINDIR%\system32\config\systemprofile\helperapp\ ou %WINDIR%\sysWOW64\config\systemprofile\helperapp\ avec la sauvegarde que vous avez effectuée à l'Étape 3.
- Pour démarrer le service AD Helper, utilisez services.msc ou ouvrez une invite de commandes et exécutez la commande net start helper.