antivirus – deployer f-secure policy manager sur debian 11

Policy Manager offre une manière modulable de gérer la sécurité de plusieurs applications sur différents systèmes d’exploitation, à partir d’un emplacement central. Policy Manager offre les fonctionnalités de définition/distribution des stratégies de sécurité, d’installation des applications et de surveillance des activités de tous les systèmes dans l’entreprise afin d’assurer la conformité avec les stratégies de l’entreprise et le contrôle centralisé.

Procédure pour installer Policy Manager Server et Policy Manager Console sur le même serveur en Debian 11 avec interface graphique. Le serveur fraichement installé doit accéder à internet.

Activer l’architecture i386 car f-secure a besoin libstdc++6:i386

dpkg --add-architecture i386 && apt-get update && apt install libstdc++6:i386

Pour supprimer l’architecture : dpkg –remove-architecture i386

Récupérer les sources debian chez f-secure.com

# F-Secure Policy Manager Server
wget https://download.f-secure.com/corpro/pm_linux/pm_linux15.30/fspms_15.30.96312_amd64.deb
# F-Secure Policy Manager Console
wget https://download.f-secure.com/corpro/pm_linux/pm_linux15.30/fspmc_15.30.96312_amd64.deb
#  F-Secure Policy Manager Proxy
wget https://download.f-secure.com/corpro/pm_linux/pm_linux15.30/fspmP_15.30.96312_amd64.deb

Installer le serveur et la console f-secure-policy-manager

Il est possible d’installer la console séparement, par exemple en téléchargeant le msi pour windows et en ne sélectionnant

Policy Manager Console

# dpkg -i fspmc_15.30.96312_amd64.deb
Selecting previously unselected package f-secure-policy-manager-console.
(Reading database ... 160644 files and directories currently installed.)
Preparing to unpack fspmc_15.30.96312_amd64.deb ...
Unpacking f-secure-policy-manager-console (15.30.96312) ...
Setting up f-secure-policy-manager-console (15.30.96312) ...
/bin/grep: /usr/bin/sg: binary file matches
********************************************************************************
* F-Secure Policy Manager Console 15.30.96312 has been successfully installed.
*
* A new user group 'fspmc' was created. You should add users, who will use
* the console, to this group.
*
* There is README file in /opt/f-secure/fspmc/ directory. The README contains
* late-breaking news, usage tips and additional information. Please read the
* Licence Agreement included in the README file. You must accept the agreement
* to use F-Secure Policy Manager Console.
*
* Then, run /opt/f-secure/fspmc/fspmc to launch the program.
********************************************************************************

Policy Manager Server

# dpkg -i fspms_15.30.96312_amd64.deb

Selecting previously unselected package f-secure-policy-manager-server.
(Reading database ... 159978 files and directories currently installed.)
Preparing to unpack fspms_15.30.96312_amd64.deb ...
Unpacking f-secure-policy-manager-server (15.30.96312) ...
Setting up f-secure-policy-manager-server (15.30.96312) ...
********************************************************************************
* F-Secure Policy Manager Server 15.30.96312 has been successfully installed.
*
* Run /opt/f-secure/fspms/bin/fspms-config to finish installation and
* to start the server.
********************************************************************************

Executer fspms-config pour initialiser les paramètres de votre serveur

/opt/f-secure/fspms/bin/fspms-config

F-Secure Policy Manager Server configuration utility.
Copyright (c) 1997-2021 F-Secure Corporation. All Rights Reserved.
You will be asked a few questions regarding the product installation.
The default value will be shown in square brackets after the questions.
To accept the default value, just press Enter.
[ ok ] Stopping fspms (via systemctl): fspms.service.

Configure the ports for the Policy Manager Server.
Host interface HTTP port [80]: enter
Host interface HTTPS port [443]: enter
Administrator interface port [8080]: enter
Restrict access to administrator interface to local machine only [yes]: no
Enable Web Reporting [yes]: enter
Web Reporting port [8081]: enter
Creating administrator account.
Enter password: *******
Confirm password: *******
[ ok ] Starting fspms (via systemctl): fspms.service.

Configuration is complete. You can manage the F-Secure Policy Manager Server
manually by typing '/etc/init.d/fspms {start|stop|restart|status}'.
Thank you for using F-Secure product

Vérifier l’état du service F-Secure Policy Manager Server

# systemctl status fspms.service
● fspms.service - LSB: F-Secure Policy Manager Server
     Loaded: loaded (/etc/init.d/fspms; generated)
     Active: active (running) since Thu 2022-05-26 09:23:37 CEST; 1h 21min ago
       Docs: man:systemd-sysv-generator(8)
    Process: 469 ExecStart=/etc/init.d/fspms start (code=exited, status=0/SUCCESS)
      Tasks: 58 (limit: 2317)
     Memory: 11.3M
        CPU: 733ms
     CGroup: /system.slice/fspms.service
             ├─768 /usr/bin/perl /opt/f-secure/fsaus/bin/fsaus -c /etc/opt/f-secure/fsaus/conf/server.cfg
             ├─769 sh -c /opt/f-secure/fsaus/bin/bwserver -c /etc/opt/f-secure/fsaus/conf/server.cfg  >/dev/null 2>&1
             └─774 /opt/f-secure/fsaus/bin/bwserver -c /etc/opt/f-secure/fsaus/conf/server.cfg

Policy Manager Proxy

Le proxy doit etre installé sur une machine séparée typiquement en DMZ. Il faut au préalable récupérer la clé publique du fspms précédement installé

# wget https://fspms.interne.mondomaine.fr/fsms/fsmsh.dll?FSMSCommand=GetPublicKey -O admin.pub

Installer le paquet du proxy

# dpkg -i fspmp_15.30.96312_amd64.deb
(Reading database ... 30274 files and directories currently installed.)
Preparing to unpack fspmp_15.30.96312_amd64.deb ...
Unpacking f-secure-policy-manager-proxy (15.30.96312) ...
Setting up f-secure-policy-manager-proxy (15.30.96312) ...
********************************************************************************
* F-Secure Policy Manager Proxy 15.30.96312 has been successfully installed.
*
* Run /opt/f-secure/fspms/bin/fspms-config to finish installation and
* to start the server.
********************************************************************************

Executer fspms-config pour serveur proxy au serveur manager

/opt/f-secure/fspms/bin/fspms-config

F-Secure Policy Manager Proxy configuration utility.
Copyright (c) 1997-2021 F-Secure Corporation. All Rights Reserved.

You will be asked a few questions regarding the product installation.
The default value will be shown in square brackets after the questions.
To accept the default value, just press Enter.
Stopping fspms (via systemctl): fspms.service.
Specify the details for communication with F-Secure Policy Manager. Enter the server’s IP address or its DNS name.
Server address []: fspms.interne.mondomaine.fr
HTTPS port [443]:
You need to install the management public key to ensure secure communication with F-Secure Policy Manager.
Path to the management public key []: ./admin.pub
Configure the ports for the Policy Manager Proxy.
Host interface HTTP port [80]:
Host interface HTTPS port [443]:
Enter the details for your Policy Manager administrator account to authorize TLS certificate enrollment.
User name []: login_du_serveur_fspms
Password: mdp_du_serveur_fspms

Starting fspms (via systemctl): fspms.service.
Configuration is complete. You can manage the F-Secure Policy Manager Proxy
manually by typing '/etc/init.d/fspms {start|stop|restart|status}'.
Thank you for using F-Secure product.

Si vous rencontrez les erreurs suivantes, vous avez donc déja joué avec les certificats (il faut faire l’intégration avec le certificat auto signé de f-secure)

Error: CA certificate verification failed

Error: error creating bean with name 'com.fsecure.fspms.proxy.TrustAllUpstreamPmClient': Bean instantiation via constructor failed; nested exception is org.springframework.beans.BeanInstantiationException: Failed to instantiate [com.fsecure.fspms.proxy.TrustAllUpstreamPmClient]: Constructor threw exception; nested exception is java.lang.RuntimeException: Error during loading admin.pub

Relancer un enrollment dans le fspms avec le certificat auto signé de f-secure

/opt/f-secure/fspms/bin/fspmp-enroll-tls-certificate
Enter Policy Manager user to authorize certificate enrollment: admin
Enter password:
TLS certificate enrollment completed successfully.

Déploiement d’un certificat signé sectigo au serveur f-secure afin d’etre compatible client macOS

Prérequis obligatoire être en possession d’un certificat sectigo avec sa clé privée, et avoir déja enrolé le serveur f-secure proxy auprès du manager

Si dessous un exemple de script pour convertir le certificat sectigo au format pkcs12 et l’intégrer dans la magasin java de f-secure

#!/bin/bash

# Convertir, inclure les certificats, les autorités au format pkcs12
openssl pkcs12 -export -name fspms -in /etc/letsencrypt/live/mondomaine.fr/fullchain.pem -inkey /etc/letsencrypt/live/mondomaine.fr/privkey.pem -out /tmp/mondomaine.fr.p12 -password pass:srcpassword

# Importer le pkcs12 dans un keystore java
keytool -importkeystore -destkeystore /tmp/fspms.jks -deststorepass superPASSWORD -destalias fspms -destkeypass superPASSWORD -srckeystore /tmp/mondomaine.fr.p12 -srcstoretype PKCS12 -srcstorepass srcpassword -srcalias fspms

# Vérifier l'import
keytool -list -keystore /tmp/fspms.jks -storepass superPASSWORD

# Sauvegarde, remplcement du certificat autosigné par le notre
mv /var/opt/f-secure/fspms/data/fspms.jks /var/opt/f-secure/fspms/data/fspms.jks.old
mv /tmp/fspms.jks /var/opt/f-secure/fspms/data/fspms.jks
chmod 660 /var/opt/f-secure/fspms/data/fspms.jks
chown fspms:fspms /var/opt/f-secure/fspms/data/fspms.jks
systemctl restart fspms.service

Déploiement via ilaunchr

Récupérer ilaunchr.exe se trouvant dans /opt/f-secure/fspmc/bin/ilaunchr.exe du serveur f-secure et le fichier JAR précédemment exporté sur la machine Windows à déployer.

Durant l’installation du poste client, vous voyez apparaître une boîte de dialogue affichant la progression de l’installation. Si un redémarrage est nécessaire après l’installation, vous êtes invité à redémarrer l’ordinateur comme défini lors de l’exportation du paquet d’installation. Si vous souhaitez que l’installation s’exécute en mode silencieux, entrez la commande au format : ilaunchr.exe .jar /Q. Dans ce cas également, vous êtes invité à redémarrer l’ordinateur après l’installation. Si une erreur fatale se produit pendant l’installation, un message s’affiche.

ilaunchr possède les paramètres de ligne de commande suivants :

- /U : Aucun message ne s'affiche, même en cas d'erreur fatale
- /F : Installation forcée, termine l'installation même si l'agent de gestion est déjà installé.
- /user:domain\username (variation: /user:username) — compte utilisateur et le nom de domaine. Nom de domaine optionnel
- /password:secret (variation: /password:"secret with spaces") — mot de passe du compte utilisateur

Exemple de commande pour déployer votre agent

ilaunchr.exe <jar file> /user:domain\user_name /password:secret_word

Vidéo de prise en main de la console f-secure avec génération d’un paquet à déployer


Extension Firefox

Extensions Firefox (protection de navigation)

Activation de la console H2 sur votre serveur fspms

  • Fermer la console F-Secure Policy Manager Console
  • Arrêter le service F-Secure Policy Manager Server
  • Ouvrir la base de registre et aller à la clé HKLM>SOFTWARE>Wow6432Node>Data Fellows\F-Secure\Management Server 5\
  • Editer le champ “additional_java_args”
  • Ajouter le paramêtre -Dh2ConsoleEnabled=true
  • Fermer la base de registre et relancer le service F-Secure Policy Manager Server
  • Pour accéder à la console H2, ouvrir un navigateur internet à l’adresse https://fspms.interne.mondomaine.fr ou https://localhost:8080

console_h2_1

console_h2_2

Références