Contraintes d'installation et de sécurité

Avant d’installer et d’utiliser LoriotPro nous vous recommandons une lecture attentive de ce document. LoriotPro n’est pas une application ordinaire, car elle peut exploiter les ressources du système d’exploitation Microsoft Windows de manière intensive pour réaliser les collectes et le traitement de grande quantité de données.

Les points suivants sont traités dans ce document.

Contraintes d’installation

Le logiciel LoriotPro pour les configurations lourdes comptant plusieurs centaines d’équipements peut utiliser intensivement le système d’exploitation sur lequel il est installé.

Pour garantir les performances du logiciel dans ces conditions il est impératif que les ressources de ce système soient accessibles. LoriotPro doit disposer d’accès mémoire, d’accès disque et d’accès réseau rapide et sans interférence.

Il faut donc proscrire :

  • L’antivirus
  • Le firewall
  • Ou tout type de programmes s’intercalant « hook » entre LoriotPro et l’accès à ces ressources systèmes.

Sans le respect de ce pré requis LoriotPro ne pourra pas réaliser les collectes réseau et la gestion de ses fichiers de log correctement, il ne pourra pas maintenir à jour des visuels rafraichit dynamiquement et maintenir les dizaines voire centaines de processus parallèle (Multithreading) dans leur temps d’exécution contraint.

Pour les configurations légères habituellement utilisées avec un FREE Edition ou un LITE Edition de LoriotPro ces contraintes ne sont pas aussi critiques.
Autres contraintes d’installation à prendre en compte sont les droits réels et effectifs de LoriotPro pour l’accès aux ressources telles que son répertoire d’installation et la Registry Windows

Répertoire d'installation

LoriotPro s’installe dans un seul répertoire, celui-ci contient aussi bien des fichiers de programme que des fichiers de données que  des fichiers de configuration. Ce choix initial qui ne respecte pas les recommandations Microsoft actuelles, mais simplifie la maintenance et la sauvegarde du produit. En contrepartie, des problèmes de droits d’accès peuvent apparaitre surtout si vous choisissez d’installer le programme dans le répertoire "Program Files".

Si vous décidez d'installer LoriotPro dans "Program Files", vous devrez peut-être ajouter des privilèges à l'utilisateur utilisé pour exécuter le programme. Par défaut, LoriotPro doit être installé et utiliser l’utilisateur Administrateur ou un équivalent. De manière systématique si LoriotPro ne s’exécute pas correctement il faut vérifier en premier les droits sur le répertoire d’installation du produit.

Microsoft a introduit avec Windows Vista (UAC) certaines fonctionnalités de sécurité pour tous les programmes non-Administrateur. Si de tels programmes essaient d'écrire sur un répertoire du disque protégé tels que "Program Files", ils seront redirigés vers un répertoire virtuel.
Pour connaitre et définir les droits du programme LoriotPro sur son répertoire d’installation il faut identifier l’utilisateur utilisé par le programme lors de son exécution.

Pour connaitre l’utilisateur Windows utilisé par le programme LoriotPro plusieurs méthodes sont disponibles.
Préalablement le programme LoriotPro doit être en démarré et en exécution.

En ligne de commande : tasklist /FI "WINDOWTITLE eq LoriotPro*" /V

programme TaskList

Ou avec le gestionnaire de tâche dans l’onglet :  Détail

Connaissant l’utilisateur il est nécessaire de vérifier les droits effectifs de cet utilisateur sur le répertoire d’installation de LoriotPro.
Sélectionner le répertoire (dans l’exemple ci-dessous c:\Program Files\LUTEUS\LoriotPro V8\)

Ouvrir les propriétés (Properties) du répertoire puis sélectionner l’onglet  sécurité (Security). On constate dans cette fenêtre que le groupe Administrator dispose de droit contrôle total (Full Control) sur le répertoire. Mais attention il ne faut pas confondre le groupe et l’utilisateur, l’utilisateur pourrait avoir des droits plus restreints. Il faut vérifier pour être totalement sûr les doits effectifs de l’utilisateur.

Cliquer sur le bouton Advanced

Sélectionner l’onglet  Effective Access

Sélectionner Select User et entrer le nom de l’utilisateur précédemment découvert avec TaskList

Sélectionner Check Name pour vérifier que cet utilisateur existe

droit effectif sur le répertoire de Loriotpro

Quitter avec Apply and  OK

Afficher les droits effectifs avec le bouton View effective access

droits effectifs
On constate que l’utilisateur Administrator membre du groupe Administrators hérite de ses droits sur le répertoire. Le doit Full control est requis dans le cas de l’application LoriotPro.

Lors de la compilation de LoriotPro V8 l’option le mode Administrator privilege a été imposé.
L’icône présent pour le fichier exécutable de LoriotPpro l’indique par son bouclier attaché.

icone de l'exécutable loriotpro

Si vous lancez le programme alors que vous ne disposez pas de ce niveau de privilège alors la fenêtre suivante s’ouvre vous demandant de vous identifier en Administrateur.

log en tant qu'administrateur

Les applications écrites en supposant que l'utilisateur fonctionnera avec des privilèges d'administrateur rencontrent des problèmes dans les versions antérieures de Windows lorsqu'elles sont exécutées à partir de comptes d'utilisateurs limités, souvent parce qu'elles ont essayé d'écrire sur des répertoires du système protégé ou des clés de registre (Notamment HKLM).

Le contrôle des comptes utilisateur UAC (User Account Control) tente d'alléger ceci en utilisant la virtualisation des fichiers et des registres, qui redirige les écritures (et les lectures suivantes) vers un emplacement par utilisateur dans le profil de l'utilisateur.

Par exemple, si une application tente d'écrire sur "C: \ program files \ appname \ settings.ini" et l'utilisateur n'a pas les autorisations d'écriture dans ce répertoire, l'écriture sera redirigé vers "C: \ Users \ username \ AppData \ Local \ VirtualStore \ Program Files \ appname \ settings.ini ".

Pour éviter les problèmes liés à l’UAC nous recommandons de positionner le niveau à la valeur la plus faible.

contrôle des comptes utilisateur

Cohabitation de LoriotPro  avec le Firewall local de Microsoft

En ce qui concerne le Firewall du système d’exploitation, si celui-ci est actif au lancement de LoriotPro de nombreuses alertes comme celles-ci peuvent apparaitre.

Firewall avertissement
Il est donc recommandé pour avoir un fonctionnement total de LoriotPro de désactiver le Firewall.

Par ailleurs, le Firewall doit inspecter les flux entrant et sortant qui peuvent être très conséquents avec LoriotPro sur de grosses configurations.  L’analyse des paquets par le firewall ajoute des délais de traitement (RTT) et de la charge sur les processeurs qui peuvent considérablement nuire au fonctionnement de LoriotPro voire le rendre inopérant. C’est d’autant plus vrai pour l’EDITION BROADCAST qui peut  faire du traitement temps réel et envoyer des paquets sur des périodes d’ordre de la seconde.

Si le firewall doit rester actif, voici la liste des ports qui doivent être autorisés au minimum pour assurer le bon fonctionnement de LoriotPro.

Source IP

Source Port

Protocol

Destination IP

Destination Port

LoriotPro

tous

UDP/SNMP

toutes

161

toutes

161

UDP/SNMP

LoriotPro

tous

LoriotPro

tous

UDP/SNMP Trap

toutes

162

toutes

tous

UDP/SNMP Trap

LoriotPro

162

LoriotPro

tous

UDP/Event

toutes

5001

toutes

5001

UDP/Event

LoriotPro

tous

LoriotPro

tous

UDP/Syslog

toutes

514

toutes

tous

UDP/Syslog

LoriotPro

514

toutes

tous

TCP/HTTP

LoriotPro

8010

LoriotPro

8010

TCP/HTTP

toutes

tous

Attention le port sur serveur WEB est par défaut 8010. Ajuster les règles du firewall en fonction.

Cohabitation de LoriotPro  avec les Antivirus

Pours les mêmes raisons que pour le Firewall, Les performance LoriotPro peuvent être notablement impacté par la présence d’un antivirus sur le système.

Il est au minimum  impératif de désactiver la gestion temps réel de l’antivirus sur le répertoire d’installation de LoriotPro. LoriotPro a besoin d’un accès performant au disque pour écrire les fichiers de log des événements des trap et des syslog en temps réel.

Il est également impératif de désactiver l'antivirus s'il fait une analyse en temps réel du trafic réseau.

Droit d’accès à la Registry de Windows pour l’application LoriotPro

La base de registre Windows permet de mémoriser les paramètres de configuration des applications. Dans le cas de LoriotPro la base de registre est utilisée pour mémoriser les caractéristiques de l’interface graphique et la disposition et le style initial des fenêtres.

Pour assurer cette mémorisation entre chaque lancement, LoriotPro doit pouvoir écrire dans la base de registre de Windows.  Le doit d’accès pour l’utilisateur associé à l’application LoriotPro doit disposer des droits pour cela.

Pour le vérifier il faut ouvrir le programme Registry Editor puis rechercher dans HKEY_CURRENT_USER le répertoire LoriotPro puis visualiser les permissions (Edit -> Permissions)

Droits d'accès à la base de registre windows pour Loriotpro

Les permissions de l’utilisateur Administrator sont bien en Full control.