Корпоративный комплексный антивирус Symantec Endpoint Protection. Развертывание клиентов Symantec Endpoint Protection


В этой статье описана установка продукта Symantec Endpoint Protection 11.0 в сети, в которой не было установлено старых версий Symantec AntiVirus.

Первая установка программного обеспечения для управления выполняется в два этапа. На первом этапе устанавливается Symantec Endpoint Protection Manager. На втором этапе устанавливается и настраивается база данных Symantec Endpoint Protection Manager. На первом этапе оставьте без изменения значения по умолчанию. На втором этапе пользователь должен ввести по крайней мере одно значение - пароль.

Примечание:

  • Программное обеспечение для управления не включает программу Symantec Endpoint Protection или какой-либо другой управляемый клиент.
  • Перед установкой Symantec Endpoint Protection Manager необходимо установить Internet Information Services (IIS).

Как установить Symantec Endpoint Protection Manager (SEPM)

    Загрузите установочный компакт-диск и запустите процедуру установки.

    На панели установки выберите вариант Установить Symantec Endpoint Protection Manager.

    В окне "Лицензионное соглашение" выберите Я согласен с условиями лицензионного соглашения. Нажмите кнопку Далее.

    В окне "Целевая папка" измените или оставьте значение по умолчанию для папки установки.

    Выполните одно из следующих действий:

    • Для настройки веб-сервера Symantec Endpoint Protection Manager IIS (Internet Information Service) в качестве единственного веб-сервера на этом компьютере выберите вариант Создать отдельный веб-сайт и нажмите кнопку Далее.

      Для настройки веб-сервера Symantec Endpoint Protection Manager IIS для работы с другими веб-серверами на этом компьютере выберите Использовать веб-сайт по умолчанию и нажмите кнопку Далее.

      Если установка производится на сервер под управлением Windows 2003 SB, то для настройки web-сервера необходимо выбирать вариант Использовать веб-сайт по умолчанию.

    В окне, подтверждающем готовность к установке, нажмите кнопку Установить.

    По завершении установки откроется окно "Работа мастера установки завершена". Нажмите Готово. Мастер настройки сервера управления запустится спустя примерно 15 секунд.

Как настроить Symantec Endpoint Protection Manager

    На панели "Мастер настройки сервера управления" выберите тип конфигурации.

Примечание: Если выбрана Простая конфигурация, то пароль администратора SEPM применяется в качестве пароля шифрования. Если впоследствии пароль администратора изменяется, пароль шифрования остается без изменения.

    В окне "Тип сайта" выберите Установить первый сайт и нажмите Далее.

    В окне "Сведения о сервере" измените или оставьте значения по умолчанию для следующих полей и нажмите Далее:

    • Имя сервера

      Порт сервера

      Папка данных сервера

    В поле "Имя сайта" измените или оставьте имя по умолчанию и нажмите Далее.

    В окне "Пароль шифрования" укажите пароль в обоих полях и нажмите Далее.

    Сохраните этот пароль во время установки Symantec Endpoint Protection в рабочей среде. Он указывается при восстановлении после аварии и добавлении аппаратных компонентов Enforcer.

    В окне "Выбор сервера базы данных" выберите Встроенная база данных и нажмите Далее.

    На панели настройки пользователя укажите пароль, который должен вводиться при входе на консоль от имени пользователя "Admin". Нажмите кнопку Далее. Или создайте пользователя который является администратором домена.

По окончании установки вы сможете развернуть клиент с помощью мастера переноса и развертывания. Войдите на консоль с указанными ранее именем пользователя и паролем.

Настройка и развертывание программного обеспечения клиента

Мастер переноса и развертывания позволяет настроить пакет программного обеспечения клиента. Затем для развертывания пакета программного обеспечения клиента можно запустить мастер развертывания методом рассылки. Если пользователь откажется от запуска мастера развертывания методом рассылки, то в дальнейшем его можно будет запустить вручную. Для этого необходимо запустить программу ClientRemote.exe из папки \tomcat\bin.
Примечание: Далее описана процедура установки клиента на 32-разрядных компьютерах (не на 64-разрядных). В ходе установки потребуется указать папку для копирования установочных файлов. Рекомендуется создать эту папку перед началом процедуры. Установку должен выполнять администратор домена или рабочей группы Windows.

При развертывании клиента на компьютерах, защищенных брандмауэром и работающих под управлением Windows XP или Windows Vista, необходимо учитывать дополнительные факторы. Брандмауэр должен разрешать удаленное развертывания через порт TCP 139. На компьютерах рабочих групп, работающих под управлением Windows XP, необходимо выключить простой общий доступ к файлам. Для подготовки компьютеров с операционной системой Windows Vista ознакомьтесь с документом "Подготовка компьютеров, работающих под управлением Windows, к удаленному развертыванию клиента." (по-английски) :

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007091021513648

Как настроить клиент

    В окне "Работа мастера настройки сервера управления завершена" выберите Да и нажмите Готово.

    В окне "Вас приветствует мастер переноса и развертывания" нажмите кнопку Далее.

    В окне "Выберите нужное действие" выберите Развернуть клиент и нажмите кнопку Далее.

    В следующем окне выберите пункт Укажите имя новой группы, в которую следует добавить клиенты, введите имя группы и нажмите кнопку Далее.

    В следующем окне отмените выбор программ клиента, которые не следует устанавливать, и нажмите Далее.

    В следующем окне укажите параметры для пакетов, файлов и взаимодействия с пользователем.

    Нажмите кнопку "Обзор", выберите папку для установочных файлов и нажмите кнопку Открыть.

    В следующем окне выберите Да и нажмите Готово.

Не включайте параметр запуска консоли администратора. Создание и экспорт пакета установки для группы может занять до 5 минут. Потом откроется мастер развертывания методом рассылки.

Как развернуть клиент с помощью мастера развертывания методом рассылки

    В окне мастера развертывания методом рассылки в списке "Доступные компьютеры" выберите компьютеры, на которых следует установить клиент, и нажмите кнопку Добавить.

    Если клиент разворачивается на локальном компьютере, и брандмауэр Windows не настроен для обработки Java, то он может блокировать эту функцию, показав сообщение о необходимости ее настройки. Это окно может быть показано под окном мастера развертывания методом рассылки, то есть не будет видно пользователю. Если мастер развертывания методом рассылки перестал отвечать, переместите его окно вбок и проверьте, не скрыто ли под ним окно с сообщением брандмауэра Windows.

    В окне "Идентификация удаленного клиента" введите имя пользователя и пароль для входа в домен или рабочую группу Windows этих компьютеров и нажмите кнопку OK.

    После того как все компьютеры будут выбраны и показаны на правой панели, нажмите кнопку Готово.

    После завершения установки нажмите кнопку Готово.

Вход на консоль и поиск своей группы в консоли

Прежде всего необходимо войти на консоль и найти свою группу.

Вход на консоль управления

Консоль управления предназначена для управления клиентами.

Как войти на консоль управления

    Выберите Пуск> Программы> Symantec Endpoint Protection Manager> Консоль Symantec Endpoint Protection Manager.

    В окне входа в систему Symantec Endpoint Protection Manager введите имя пользователя admin.

    В поле пароля введите пароль учетной записи администратора, заданный во время установки. Нажмите кнопку Вход в систему.

Поиск своей группы в консоли

После входа на консоль необходимо найти группу, созданную в ходе установки. Затем следует убедиться, что в эту группу входят компьютеры, на которых было установлено программное обеспечение.

Активация Symantec Network Access Control

Если продукт Symantec Endpoint Protection был приобретен вместе с продуктом Symantec Network Access Control, то выполните ряд дополнительных действий для активации Symantec Network Access Control.

Как активировать Symantec Network Access Control

    Закройте консоль Symantec Endpoint Protection Manager, если она открыта.

    Вставьте компакт-диск продукта Symantec Network Access Control.

    На панели установки выберите пункт Установить Symantec Network Access Control.

    Нажмите Установить Symantec Endpoint Protection Manager.

    В окне "Обновление сервера управления" нажмите кнопку Далее.

    Нажмите Продолжить.

    Когда в окне "Состояние обновления сервера" будет показано сообщение об успешном завершении обновления, нажмите кнопку Далее.

    Нажмите кнопку Готово.

    Войдите на консоль Symantec Endpoint Protection Manager.

    На вкладке "Политики" выберите Целостность хоста.

    На правой панели выберите Политика целостности хоста.

    В разделе "Задачи" выберите Присвоить политику.

    В окне "Присвоить политику целостности хоста" выберите группу, которой следует присвоить политику.

    Нажмите кнопку Присвоить, а затем нажмите Да, чтобы подтвердить изменение.

Теперь функция Symantec Network Access Control активирована в Symantec Endpoint Protection Manager и на клиентах из созданной группы.

Кроме весьма продвинутых настроек антивирусной и антишпионской защиты, Symantec Endpoint Protection имеет весьма богатый опциями сетевой экран. Он позволяет разграничить доступ не только к определенным внутресетевым ресурсам, но и к внешним, например запретить доступ к некоторым сайтам в интернете. Для этого нам необходимо изменить политику сетевого экрана (Firewall Plicy ). Разберем на примере запрета доступа к сайту vk.com :

  1. Открываем Symantec Endpoint Protection Manager , переходим в раздел Policies . В меню Policies выбираем Firewall . Для редактирования политики сетевого экрана нажимаем на ней правой кнопкой мыши -> Edit (Рис.1):

2. В окне Firewall Policy выбираем раздел Rules , далее нажимаем кнопку Add Rule (Рис.2):

3. Откроется окно мастера добавления политик сетевого экрана (Add Firewall Police Rule Wizard ). Даем имя нашему правилу и нажимаем Next (Рис.3):

4. Выбираем действие для нашего правила. Выбираем Block Connections и нажимаем Next (Рис.4):

6. Затем необходимо выбрать "К чему мы закрываем доступ". Два варианта: Any computer or site (любой компьютер или сайт) или Only the computers and sites listed below (только компьютеры или сайта из списка). Выбираем второй вариант и нажимаем кнопку Add (Рис.6):

7. В окне Add Host , в окне Address Type выбираем DNS Domain . В окне DNS Domain вписываем *.vk.com и нажимаем Ок . Далее видим. что в списке хостов появляется наша запись *.vk.com (Рис.7-8):

Symantec Endpoint Protection 12 является корпоративным антивирусным решением, обеспечивающим администратора антивирусной сети предприятия необходимыми инструментами по развёртыванию антивирусной сети предприятия, её мониторингу, а также по управлению параметрами работы антивирусных клиентов на защищаемых объектах.

В рамках Symantec Endpoint Protection 12 реализована классическая клиент-серверная архитектура, принятая для использования во многих корпоративных антивирусных продуктов, но существуют также и отличия. Лучше всего их проследить на преимуществах новой версии Symantec Endpoint Protection 12.

В серверной части Symantec Endpoint Protection 12 относительно более ранних версий появился ряд усовершенствований:

  • Централизованное управление лицензиями из консоли управления;
  • Protection Server версии 2 обеспечивает централизованное хранение данных и интеграцию функций управления различными продуктами Symantec;
  • Экран входа в Symantec Protection Server позволяет запросить отправку забытого пароля по электронной почте;
  • Возможность сброса забытого пароля от Symantec Endpoint Protection Manager;
  • Возможность указать время перезагрузки клиентских компьютеров для удобства пользователей;
  • Страница «Мониторы» Symantec Endpoint Protection Manager содержит набор стандартных уведомлений о наиболее часто происходящих событиях.
  • Отправка клиентами Linux информации о событиях в Symantec Endpoint Protection Manager;

В Symantec Endpoint Protection 12 было достигнуто увеличение быстродействия сервера и клиентов за счёт следующих усовершенствований:

  • В новой версии сервер управления автоматически выполняет обслуживание базы данных сервера;
  • При сканировании используется технология Insight, исключающая из сканирования достоверно безвредные файлы;
  • Компонент LiveUpdate, отвечающий за обновление программных модулей и вирусных баз, может запускаться во время бездействия клиентов, только когда имеется обновлённое содержимое на сервере обновлений.

Немаловажное значение имеет расширенная поддержка виртуальных сред в Symantec Endpoint Protection 12, которая проявляется в следующем:

  • Сервер Shared Insight Cache позволяет клиентам обмениваться результатами сканирования, идентичные файлы на всех клиентах будут сканироваться только один раз, благодаря этому общее время сканирования сокращается, по информации производителя до 80%;
  • Утилита Virtual Image Exception сокращает объём сканирования путём исключения из сканирования файлов достоверно надёжного, базового образа виртуальной системы;
  • Symantec Endpoint Protection автоматически определяет наличие гипервизора, на котором работает клиент на виртуальной платформе, что позволяет создавать политики для групп клиентов на виртуальных платформах;

Также в Symantec Endpoint Protection 12 реализована более тесная интеграция сервера управления с клиентами, работающими под управлением Mac OS X. В частности, в версии 12 можно настроить политики для клиентов Mac, как для отдельных станций, так и для групп.

Рассмотрим возможности сервера управления Symantec Endpoint Protection 12 более подробно.

Системные требования для Symantec Endpoint Protection Manager

Для работы сервера управления Symantec Endpoint Protection Manager компьютер должен удовлетворять следующим системным требованиям.

Процессор:

  • 32-разрядный процессор: минимум Intel Pentium III 1 ГГц или аналогичный (рекомендуется Intel Pentium 4 или аналогичный процессор);
  • 64-разрядный процессор: минимум Pentium 4 с частотой 2 ГГц и с поддержкой х86-64 или аналогичный процессор.

Примечание : Процессоры Intel Itanium IA-64 и PowerPC не поддерживаются.

Оперативная память:

  • 1 ГБ оперативной памяти для 32-разрядных операционных систем;
  • 2ГБ оперативной памяти для 64-разрядных операционных систем или больше, если требуется для операционной системы.

Жёсткий диск:

  • Не менее 4ГБ;

Разрешение монитора:

  • 800х600.

Операционная система:

  • Windows 7;
  • Windows XP (32-разрядная, пакет обновления SP3 или более поздний; 64-разрядная, все пакеты SP);
  • Windows Server 2003 (32-разрядная, 64-разрядная, R2, пакет обновления SP1 или более поздний);
  • Windows Server 2008 (32-разрядная, 64-разрядная);
  • Windows Small Business Server 2008 (64-разрядная);
  • Windows Small Business Server 2011 (64-разрядная);
  • Windows Essential Business Server 2008 (64-разрядная).

Веб-браузер:

  • Microsoft Internet Explorer 7, 8 или 9;
  • Mozilla Firefox 3.6 или 4.0

Примечание : Symantec Endpoint Protection Manager версии 12 позволяет управлять клиентами более ранних версий, независимо от используемой на них операционной системы.

Symantec Endpoint Protection Manager для хранения информации может использовать либо встроенную базу данных, либо использовать:

  • MS SQL Server 2000, SP4 или более поздний;
  • MS SQL Server 2005, SP2 или более поздний;
  • MS SQL Server 2008.

Примечание : в случае установки Symantec Endpoint Protection Manager и базы данных SQL на одном компьютере объем оперативной памяти должен быть не менее 4ГБ.

Установка антивирусного сервера Symantec Endpoint Protection Manager

Symantec Endpoint Protection Manager предназначен для установки только на операционные системы семейства Microsoft Windows. После запуска установки отображается приветственное окно, в котором расположены ссылки, позволяющие ознакомиться с предварительной информацией, которую необходимо знать перед началом развёртывания антивирусной сети, начать, собственно, процедуру установки сервера управления, установить дополнительные средства администрирования или выйти из программы установки, не совершая какие-либо действия.

Рисунок 1: Приветственное окно установки Symantec Endpoint Protection Manager

Непосредственная установка Symantec Endpoint Protection Manager начинается с окна, в котором перечисляются этапы установки:

Затем отображается окно с текстом лицензионного соглашения, которое необходимо принять для продолжения установки. В следующем окне можно выбрать папку установки, и после этого программа установки Symantec Endpoint Protection Manager будет готова к установке необходимых компонентов.

Когда установка компонентов Symantec Endpoint Protection Manager будет завершена, программа установки переходит к следующему этапу – настройке сервера управления. На первом экране мастера настройки сервера управления предлагается выбрать конфигурацию по умолчанию (для локальных сетей, состоящих из менее чем 100 компьютеров), либо задать пользовательскую конфигурацию.

Рисунок 2: Выбор конфигурации

На следующем экране предлагается ввести количество компьютеров, подключённых к сети, при этом предлагаются следующие варианты (эта настройка влияет на то, сколько ревизий антивирусных баз будет храниться на сервере):

  • Менее 100;
  • От 100 до 500;
  • От 5000 до 1000;
  • Более 1000.

На следующем этапе работы мастера настройки Symantec Endpoint Protection Manager необходимо создать сайт. Сайт в терминологии Symantec Endpoint Protection - это база данных и одного или нескольких серверов управления, работающих с этой базой (либо кластером баз данных). В инфраструктуре можно создавать несколько сайтов. Делается это для сокращения трафика между регионами, т.к. между сайтами можно реплицировать не всю информацию, а только часть, например, только политики и информацию о членстве в группах, но при этом не реплицировать информацию о журналах событий и обновлениях.

Рисунок 3: Создание сайта антивирусной сети

Рисунок 4: Параметры антивирусного сайта и сервера

На следующем экране программы установки необходимо выбрать между встроенной базой данных и внешней на основе MS SQL-сервера, а далее – либо создать новую базу данных, либо подключиться к существующей. После этого необходимо создать учётную запись администратора.

Рисунок 5: Создание учётной записи системного администратора

После этого предлагается либо задать пароль шифрования для связи клиентов с сервером управления, автоматически или вручную. Этот пароль может пригодиться в случае необходимости аварийного восстановления работы антивирусной сети.

На следующем экране необходимо ввести параметры электронного ящика администратора и SMTP-сервера для отправки сервером управления уведомлений.

При желании можно установить флажок, позволяющий серверу управления отправлять информацию о работе антивирусной сети для оптимизации решений Symantec при разработке новых версий. При этом выводится подробная информация о том, какая именно информация отправляется и для чего.

Рисунок 6: Участие в программе оптимизации Symantec

В завершении установки производится инициализация новой базы данных, если это необходимо. На заключительном экране мастера настройки Symantec Endpoint Protection Manager предлагается запустить мастер миграции с Symantec AntiVirus (если необходимо), а также запустить сервер управления сразу после завершения установки.

На этом установка и первоначальная настройка сервера управления антивирусной сети Symantec Endpoint Protection завершена.

Методы развёртывания антивирусной сети на базе Symantec Endpoint Protection 12

Последним этапом развёртывания антивирусной сети на базе Symantec Endpoint Protection 12 является установка клиентов.

Осуществить эту процедуру можно несколькими способами:

  • Использовать дистрибутивы клиентов для различных операционных систем из дистрибутива Symantec Endpoint Protection 12;
  • С помощью мастера развёртывания клиентов.

Первый из этих вариантов мы подробно рассмотрели в первой части обзора Symantec Endpoint Protection 12.

Рисунок 7: Мастер развёртывания клиентов

Мастер развёртывания клиентов предлагает указать выбрать в качестве параметров своей работы:

  • Тип установочного пакета, с которыми будет вестись работа;
  • Группу станций, к которой будет применена установка клиентов;
  • Набор устанавливаемых компонентов;
  • Параметры установки;
  • Варианты содержимого;
  • Предпочитаемый режим работы – относительно компьютеров или относительно пользователей сети.

Рисунок 8: Выбор группы и набора устанавливаемых компонентов

Мастер развёртывания клиентов предлагает несколько способов установки клиентов:

В первом случае пользователи компьютера самостоятельно по ссылке из письма электронной почты загружают дистрибутив клиента Symantec Endpoint Protection и устанавливают на свой компьютер. Во втором случае установка производится в удалённом режиме автоматически. В третьем случае имеется возможность сформировать дистрибутив на компьютере администратора, а затем предоставить его пользователям защищаемых станций любым удобным способом. Чаще всего последний вариант используется при наличии инструментов и политик централизованного распространения ПО внутри компаний.

Рисунок 9: Способ установки клиентов Symantec Endpoint Protection

Для случая удалённой установки администратору предлагается воспользоваться встроенным в мастер инструментом обзора сети для выбора компьютеров, на которые необходимо установить клиенты Symantec Endpoint Protection. Для удалённой установки потребуется указать параметры учётной записи администратора на соответствующих компьютерах.

Рисунок 10: Выбор компьютеров для удалённой установки клиентов

Администрирование антивирусной сети с помощью Symantec Endpoint Protection Manager

Работа с консолью Symantec Endpoint Protection Manager начинается с окна, в котором необходимо ввести имя пользователя, пароль, а также указать антивирусный сервер, к которому необходимо подключиться. Также доступна функция восстановления пароля в случае его утери, что в продуктах подобного класса встречается достаточно редко.

Рисунок 11: Окно логина в консоль Symantec Endpoint Protection Manager

При первом заходе в консоль администратора поверх основного интерфейса отображается окно, в котором перечислены основные задачи администратора локальной сети, а также даны ссылки на элементы интерфейса консоли, связанные с этими задачами. Среди этих задач проверка состояния лицензии, настройка автоматического обновления, развёртывание клиентов, а также настройка параметров работы антивирусного сервера. Такой подход позволяет администратору, который не имеет опыта работы с Symantec Endpoint Protection 12, быстро освоиться в данном продукте.

Рисунок 12: Приветственное окно консоли Symantec Endpoint Protection Manager

Основные элементы консоли администратора (Главная, Мониторы, Отчёты, Политики, Клиенты и Админ) расположены на вертикальной панели инструментов, расположенных в левой части окна. Они доступны в любое время, что облегчает переход от одной задачи к другой из любого окна консоли, количество которых достаточно велико.

В главном окне консоли расположена основная информация о работе антивирусной сети, что позволяет администратору сразу же после захода в консоль оценить состояние антивирусной сети, а также обнаружить возможные проблемы в её работе и принять оперативные меры. Среди такой информации общее состояние защиты, состояние лицензии, состояние защищаемых компьютеров, глобальный уровень угроз и последняя информация о вредоносных программах, а также отчёт о действиях над вредоносными объектами, обнаруженными в сети предприятия и ссылки на наиболее важные отчёты о работе антивирусной сети.

Рисунок 13: Главное окно консоли Symantec Endpoint Protection Manager

Интерфейс раздела «Мониторы» главной инструментальной панели содержит следующие вкладки: «Обзор», «Журналы», «Состояние команды» и «Уведомления».

На вкладке «Обзор» в виде круговых диаграмм отображаются сводки об угрозах за последнее время, а также другие сводки. На вкладке «Журналы» в табличном виде показываются сведения о событиях, произошедших в антивирусной сети. На вкладке «Состояние команды» можно просмотреть сведения о командах, которые администратор выполнял в последнее время. Наконец, на вкладке «Уведомления» можно просмотреть уведомления о событиях, происходящих в антивирусной сети, которые выводятся согласно соответствующим настройкам уведомлений.

Рисунок 14: Раздел «Мониторы» консоли администратора Symantec Endpoint Protection

Раздел интерфейса консоли «Отчёты» посвящён различного рода отчётам и разбит на две вкладки – «Быстрые отчёты» и «Плановые отчёты». Первая вкладка позволяет быстро задать параметры для отчёта, который хочется просмотреть и вывести его на экран по запросу. Плановые же отчёты создаются автоматически с какой-либо периодичностью согласно настройкам. Набор отчётов, с которыми можно ознакомиться, достаточно обширен. Информация в них предлагается как в текстовом виде, так и графическом – для более наглядного восприятия статистики.

Рисунок 15: Один из отчётов, генерируемых консолью администратора Symantec Endpoint Protection

Раздел «Политики» включает в себя настройки работы различных компонентов антивирусной сети, а также настройки работы компонентов защиты на защищаемых клиентах. Этот раздел является наиболее обширным среди всех разделов консоли администрирования. Политики разделены на несколько типов: «Защита от вирусов», «Брандмауэр», «Предотвращение вторжений», «Управление приложениями и устройствами», «LiveUpdate» и «Исключения». Для каждого из типов политики доступен подробный интерфейс настроек соответствующих политик. Собственно, всё управление параметрами работы антивирусной сети в целом и настройками защиты на защищаемых станциях, осуществляется посредством применения соответствующего набора политик.

Рисунок 16: Раздел «Политики» консоли администрирования Symantec Endpoint Protection

Политика «Защита от вирусов и программ-шпионов» включает в себя настройки всех компонентов защиты на станциях, работающих под управлением Windows и Mac OS X. Подробно их перечислять нет смысла, т.к. они описаны в первой части обзора Symantec Endpoint Protection 12 . К этим настройкам добавлены также политики проведения некоторых действий на защищаемых компьютерах по требованию администратора, например «Сканирования администратора». Для сканирования данного типа может быть задан другой приоритет использования ресурсов, другие правила реакции на найденные угрозы, и т.д.

Также стоит отметить, что антивирусные политики, управляемые из консоли SEPM позволяют использовать технологии оптимизации внутри корпоративной инфраструктуры. Это и технология Shared Insight Cache (файлы, просканированные на одной машине не будут сканироваться на других), и технология Virtual Image Exception (т.е. исключение из сканирования файлов из стандартного образа виртуальной машины, используемых внутри организации).

И еще один немаловажный момент: политика позволяет конфигурировать, какие правила пользователь может менять локально, а какие не может. Открытый замок на рисунке ниже показывает действия, которые можно менять. Если кликнуть по этому замку, то он станет закрытым. С этого момента пользователь не сможет конфигурировать этот параметр на рабочей станции.

Рисунок 17: Политика «Защита от вирусов и программ-шпионов

Политика «Брандмауэр» отвечает за параметры работы браднмауэров на защищаемых компьютерах и также повторяет соответствующие настройки в интерфейсе клиентов. Брандмауэр в Symantec Endpoint Protection доступен только для Windows-клиентов. Политика «Брандмаэр» делится на несколько разделов: «Правила», «Встроенные правила», «Защита и скрытый просмотр» и «Интеграция с Windows».

Включение встроенных наборов правил позволяет пропускать трафик системных служб, не добавляя соответствующие правила вручную, т.к. это не всегда простая задача. Так, можно всего лишь установкой нескольких флажков разрешить трафик DHCP, DNS, WINS или адаптеров Token Ring. С другой стороны, с помощью этих правил можно запретить клиенту работать с пакетами NetBIOS, а также запретить обратное преобразование DNS, с помощью которого можно определить имя на основе IP-адреса.

Рисунок 18: Политика «Брандмауэр» в консоли администрирования Symantec Endpoint Protection

«Политика предотвращения вторжений» включает в себя параметры функциональных возможностей Symantec Endpoint Protection, связанных с защитой от атак на сеть и на браузер пользователя. С помощью данной политики можно включить или отключить независимо защиту от атак на сеть и на браузер, а также настроить исключения в работе данной политики.

Политика «Управление приложениями и устройствами» разделена на две части – соответственно, «Управление приложениями» и «Приложение устройствами».

В управлении приложениями можно заблокировать или журналировать различные действия: запуск определённых приложений, запуск программ со съёмных носителей или чтение/запись информации на съемных носителях, запретить пользователям самостоятельную установку каких-либо приложений, а также ввести некоторые другие запреты. Стоит заметить, что наличие подобных политик может значительно увеличить эффективность работы администратора локальной сети предприятия.

В политике управления приложениями Symantec Endpoint Protection нет возможности определить параметры работы сразу с группой приложений (например, браузеры). Вместо этого есть возможность добавить в политику конкретное приложение по имени процесса или по хэш-сумме (поддерживаются шаблоны и системные переменные), а также можно использовать условия, связанные с поведением приложения (попытки обращения к реестру, попытки загрузки DLL, попытки запуска процессов и т.д.), а также условия, связанные с источником запуска приложения (дисковод для компакт-дисков, сетевой диск, виртуальный диск, локальный диск и пр.).

В управлении устройствами можно запретить подключение к компьютеру определённых типов устройств по идентификатору класса или идентификатору устройства. Предлагаемый список устройств выглядит достаточно полноценным, при необходимости можно добавлять свои типы. Среди устройств, подключением которых можно управлять:

  • Устройства ввода (клавиатура, мышь и т.д.);
  • USB-устройства в целом;
  • Устройства, подключаемые через шину IDE;
  • Принтеры;
  • Устройства, подключающиеся через инфра-красный порт и Bluetooth;
  • Модемы;
  • Считыватели смарт-карт и др.

Р исунок 19: Политика «Управление приложениями и устройствами» в консоли администрирования Symantec Endpoint Protection

Политика «LiveUpdate» включает в себя достаточно гибкие настройки, связанные с организацией обновлений компонентов антивирусной сети. Они разделены на три группы – «Параметры сервера» (настройки, связанные с выбором сервера обновления и настройками прокси-сервера), «Планирование» (настройки, связанные с периодичностью обновления и условиями совершения попыток обновления), а также «Дополнительные параметры».

Последняя группа параметров политики «LiveUpdate» содержит такие полезные настройки как «Для соединения LiveUpdate требуются стандартные заголовки HTTP», отсутствие которой могло бы привести к проблемам при использовании в локальной сети предприятия определённых прокси-серверов.

Важной возможностью, присутствующей в Symanetc Endpoint Protection, является возможность использования поставщиков обновления групп (Group Update Provider, GUP). GUP позволяем минимизировать трафик обновлений, что особо актуально для доставки обновлений в регионы с узкими каналами связи, а также разгрузить серверы управления SEPM, за счет уменьшения количества обращений к ним за обновлениями. Для активации функционала GUP не нужно устанавливать дополнительного ПО, достаточно лишь указать, какие серверы будут являться поставщиками обновлений.

Рисунок 20: Политика « LiveUpdate » в консоли администрирования Symantec Endpoint Protection

В политике «Исключения» собраны настройки и политики, связанные с исключениями из проверки объектов в различных компонентах защиты и разделены на две группы – «Исключения» и «Ограничения клиентов». Первая группа настроек отвечает, собственно за исключения, которые настраивает администратор антивирусной сети, а вторая группа настроек отвечает за то, какие типы объектов могут добавлять в исключения пользователи самостоятельно.

Рисунок 21: Политика «Исключения» в консоли администрирования Symantec Endpoint Protection

Раздел «Клиенты» консоли администрирования посвящён работе с клиентами антивирусной сети. В частности, из этого раздела можно назначить всем клиентам или клиентам, относящимся к определённой группе, определённые политики работы, получить сведения о клиентах, добавить или удалить клиента из антивирусной сети и тому подобные действия. Также из этого же раздела можно произвести развёртывание и обновление клиентов до последних версий.

Через раздел «Клиенты» можно осуществить интеграцию с AD для простоты группировки активов, т.е. не нужно заново создавать структуру групп клиентов.

Рисунок 22: Раздел «Клиенты» в консоли администрирования Symantec Endpoint Protection

Наконец, раздел консоли «Админ» содержит полезные для администратора сведения, а также основные настройки и действия, служащие для управления антивирусной сетью в целом. Интерфейс данного раздела разделён на пять подразделов: «Администраторы», «Домены», «Серверы», «Установочные пакеты» и Лицензии.

В подразделе «Администраторы» имеется возможность совершать действия над администраторами локальных сетей – создавать учётные записи администратора, удалять их, переименовывать, а также изменять пароль. В том числе есть возможность привязки пользователей SEPM к пользователям домена (т.е. для входа в консоль SEPM будет использоваться пароль доменного пользователя).

Подраздел «Домены» позволяет совершать действия над доменами антивирусной сети – переименовать домен, изменить его свойства или добавить новый домен.

Подраздел «Серверы» позволяет совершать действия над серверами антивирусной сети, такие, например, как изменение свойства сайта, операции с серверами обновления LiveUpdate и другие.

В подразделе «Установочные пакеты» показаны имеющиеся пакеты, готовые для развёртывания. В этом разделе также можно экспортировать установочный пакет, добавить установочный пакет, удалить или изменить его свойства. Также имеется возможность обновить подключённые клиенты с помощью установочного пакета на новую версию.

Подраздел «Лицензии» отображает информацию о действующей лицензии, а также позволяет активировать новую лицензию, изменить сведения о партнёре компании Symantec, с которым работает клиент, а также получить сведения о приобретении дополнительных лицензий.

Рисунок 23: Раздел « Админ » в консоли администрирования Symantec Endpoint Protection

Выводы

Во второй части обзора мы рассмотрели возможности установку антивирусного сервера, методы развёртывания клиентов антивирусной сети, а также возможности администрирования антивирусной сети, предлагаемые консолью управления.

В целом продукт Symantec Endpoint Protection 12 является продуктом, использование которого в локальной сети предприятия не должно вызвать у подготовленного администратора локальной сети какие-либо проблемы.

Наличие подробной документации к продукту на русском языке (как полноценной подробной документации, так и руководства по быстрой установке и развёртыванию) способствует быстрому освоению продукта и планомерному изучению его возможностей, которые можно применить на практике.

Наличие множества подсказок и ссылок на документацию в интерфейсе консоли администрирования не оставит администратора, который недавно использует продукт, один на один с возникающими вопросами.

Плюсы

Среди положительных черт Symantec Endpoint Protection 12 по результатам второй части обзора этого продукта можно отметить:

  • Высокий уровень документации и множество подсказок в интерфейсе;
  • Интуитивно понятная иерархия интерфейса консоли администратора;
  • Высокий уровень возможностей по управлению антивирусными клиентами, которое организовано через многочисленные политики, связанные с каждым компонентом защиты, которые можно применять как сразу ко всем компьютерам, так и к отдельным компьютерам и группам;
  • Возможность создания политик для запуска приложений;
  • Контроль подключения устройств на компьютерах пользователей, что можно рассматривать как часть функционала DLP-систем;
  • Достаточно гибкая, многомерная и наглядная система отчётности, позволяющая в любой момент времени обнаружить как существующие проблемы в работе антивирусной сети, так и выявить проблемы, причины которых возникли некоторое время назад;
  • Несколько способов развёртывания клиентов Symantec Endpoint Protection 12, некоторые из которых достаточно уникальны (рассылка писем сотрудникам по электронной почте с ссылкой на дистрибутив, передача собранного администратором дистрибутива, установка клиента на компьютеры удалённо по сети), что позволяет администратору выбрать наиболее удобный из них.
  • Высокая масштабируемость продукта, позволяющая использовать его в локальных сетях предприятий различной величины, наличие базы данных собственной реализации для небольших сетей, возможность интеграции с другими популярными СУБД для крупных сетей.
  • Оптимизация работы компонентов антивирусной защиты для виртуальных систем (в частности, имеется возможность исключать из сканирования файлы, входящие в состав эталонного образа виртуальной системы);
  • Symantec Endpoint Protection Manager поддерживает интеграцию с другими продуктами и решениями Symantec, что может увеличить эффективность работы администратора при использовании на предприятии различных классов продуктов от Symantec;

Минусы

  • Среди отрицательных черт Symantec Endpoint Protection 12 можно указать на неравноправие в поддержке различных операционных систем. В частности, отсутствует антивирусный сервер для Linux-систем при том, что серверы на многих предприятиях, особенно в последнее время, работают именно под этими операционными системами.
  • При этом известно, что Linux-версии серверных приложений обычно менее требовательны к аппаратным ресурсам, чем Windows-серверы. Существующий же антивирусный сервер Symantec Endpoint Protection 12 к ресурсам, всё же, достаточно требователен.
  • Также можно отметить недостаточное удобство использования политики управления приложениями – в настоящий момент невозможно управлять сразу классами приложений (браузеры, офисные приложения и пр.), что затрудняет выставление политик для программ этих классов. Например, клиент, желающий обойти ограничение на запуск браузеров, может найти и использовать браузер, не входящий в пятёрку наиболее популярных, поставив свой компьютер (а как следствие, и всю сеть) под угрозу.
  • Но для таких случаев средствами Symantec Endpoint Protection существует возможность запретить использование всех приложений, разрешив только те, которые непосредственно разрешены для использования в организации. Удобство такого подхода зависит от количества разрешённых приложений.
  • Можно также сказать о том, что администратор может сталкиваться с проблемами при удалённой установке клиентов на защищаемые компьютеры, или при попытке настроить отправку уведомлений о событиях на электронную почту администратора. При этом установка может завершаться неуспешно, а уведомления могут не доходить в почту, и, при этом, не всегда ясна причина происходящих трудностей. Причины данных трудностей можно определить по файлам отчётов (логам) Symantec Endpoint Protection, но возможность интерпретации логов зависит от квалификации администратора, использующего этот продукт.
  • Кроме того, в этом случае администратор может ознакомиться с соответствующими разделами документации, в которых описаны типовые ситуации, при которых могут возникать данные проблемы, а также провести собственные исследования в поисках причин, возникающих в сети проблем при использовании Symantec Endponit Protection. Но разработчикам этого корпоративного продукта следует больше внимания уделить автоматической диагностике подобных ситуаций, т.к. их причины достаточно типичны, а самостоятельный их поиск может занять значительное время.

В целом же Symantec Endpoint Protection 12 можно назвать одним из продуктов-фаворитов в обеспечении безопасности локальных сетей предприятий, а в будущих версиях этого продукта наверняка будут учтены и перечисленные недостатки.

Выбор корпоративного антивируса дело не простое и требует тщательного отбора претендентов. Современные решения часто предлагаются в виде комбайна, который содержит дополнительные компоненты вроде брандмауэра и IPS, перекрывая все пути возможного заражения и снижая риски. Именно так устроен Symantec Endpoint Protection 12.

Возможности Symantec Endpoint Protection 12

Компания Symanteс издавна славилась своими продуктами обеспечивающими защиту от всевозможных современных угроз, которыми богат интернет, среди них место особое место занимают антивирусы. Многие наверное еще помнят Norton Antivirus стоявший на большинстве ПК вначале века и успешно отбивавший атаки вирусов, он и сегодня выпускается Symantec не прекратил развитие. Правда называется уже Norton Internet Security и предназначен для защиты отдельных ПК, а возможности на порядок больше. Корпоративный сектор защищает серия Symantec Endpoint Protection состоящая из трех решений:

    Endpoint Protection Small Business Edition — для небольших компаний (не более 100 пользователей), простая установка и настройка, все данные хранятся на локальных системах;
    Endpoint Protection.cloud — реализация в виде SaaS, когда нет необходимости развертывании собственной инфраструктуры управления, обеспечивает защиту Win систем в организациях до 250 ПК;
    Endpoint Protection — наиболее оснащенное решение, обеспечивающее защиту рабочих станций и серверов работающих под управление разных ОС и виртуальных сред, предназначен для организаций с 100+ пользователями.

Решение построено по классической для корпоративных антивирусов клиент-серверной архитектуре. Сервер Endpoint Protection Manager используется для централизованного управления настройками, обновления агентов и баз, сбора данных о состоянии и построении отчетов, управлениям лицензиями. В терминологии Symantec создаваемая при помощи SEPM структура называется сайт. В сети может быть несколько серверов, сайтов и доменов, для равномерного распределения нагрузки с репликацией данных, быстрого восстановления и организации иерархической структуры для удобства управления и делегирования полномочий.
Все настройки производится при помощи локальной или веб-консоли Web Access (9090 порт) построенных с использование Java. Их внешний вид и функциональные возможности схожи.
Консоль может интегрироваться с другими продуктами Symantec, в частности с Protection Center обеспечивая единую среду управления безопасностью, позволяя узнавать данные о новых угрозах и быстрее реагировать. Компонент IT Analytics расширяет функции отчетности Endpoint Protection за счет дополнительных функций анализа и графического представления данных.
Для хранения настроек и информации о клиентах используется СУБД. Для сетей до 5000 систем с одним сервером управления можно использовать встроенную базу данных, которая устанавливается автоматически и не требует дополнительного конфигурирования. Если клиентов больше, или планируется развернуть несколько EP Manager с репликацией данных или балансировкой нагрузки следует установить MS SQL Server.
В агент устанавливаемый на конечные системы, интегрировано нескольких механизмов защиты:

  • антивирус, обеспечивающих защиту от вирусов, программ-шпионов, троянцев, ботов и руткитов
  • брандмауэр на основе правил и IDS — защищают от сетевых атак и загрузки вредоносных программ, оснащен функцией блокирования общих точек уязвимости (GE) и защитой браузера от направленных атак;
  • модуль Application and Device Control – контроль приложений и устройств которые может запускать пользователь или компьютер.

Агент умеет проверять почту приходящую по POP3/SMTP, интегрируется с MS Outlook и IBM Lotus Notes. Кроме этого клиент адаптирован для применения в виртуальной среде, упрощая создания политик, уменьшая нагрузку на VM и количество операций I/O, в том числе, исключая файлы стандартного образа из проверки (Virtual Image Exception). При помощи специального сервера Shared Insight Cache агенты обмениваются результатами сканирования и одинаковые файлы проверяются только один раз, что сокращает нагрузку на систему и уменьшает время сканирования. Также блокируется одновременный запуск проверки на нескольких VM. Поддерживаются продукты от VMWare, MS Virtual Server и Hyper-V, Novell Xen.
Клиент (как это и принято в подобных продуктах) управляется с сервера SEP, но если система работает автономно редко подключаясь к корпоративной сети может использоваться так называемый «неуправляемый клиент». В последнем варианте пользователь самостоятельно управляет настройками антивируса. Обновление программных модулей и антивирусных баз производится при помощи дополнительного компонента LiveUpdate, сам процесс может запускаться во время бездействия клиентов.
Доступны версии агента под разные ОС (Win, Linux и Mac OS X), что позволяет защитить все компьютеры в гетерогенной среде. Интерфейс клиентской части для Windows полностью русифицирован, для остальных ОС — только английская версия. Лицензируется SEP по количеству клиентов, консоль SEPM дополнительной лицензии не требует. После установки дается весьма продолжительный 60-ти дневный тестовый период позволяющий оценить SEP в действии, полностью развернуть и настроить агенты.

Полностью список поддерживаемых клиентских ОС можно найти в документе «Symantec Endpoint Protection 12.1. Спецификация: Защита конечных систем».
Для установки агента потребуется компьютер с процессором класса Intel Pentium III 1 ГГц и выше, 512 МБ ОЗУ (рекомендуется 1 ГБ ОЗУ) и 700 МБ места на харде.
Клиент Symantec Endpoint Protection для Win поддерживает версии 2k, XP, Vista, 7 и серверные 2k3/2k8. Включая Small/Essential Business Server. Клиент для Linux поддерживает установку на: Debian 4/5/6, Ubuntu 8.04-11.04, Fedora 10/12/13/15, SLES/SLED 9/10/11, RHEL, Novell Linux Desktop 9 и Open Enterprise Server.
Клиент Symantec Endpoint Protection для Mac
— Mac на базе PowerPC с Mac OS X 10.4-10.5x;
— Mac на базе Intel с Mac OS X 10.4-10.7 (i86 и x64 редакции).
Сервер управления Endpoint Protection Manager требует компьютер не ниже Pentium III 1 ГГц, с 1 Гб ОЗУ (4 Гб рекомендуется) с 4+4 Гб свободного места (сервер+БД), работающий под управлением Win XP-2k8. В качестве сервера базы данных можно использовать встроенную БД или MS SQL Server 2kSP4/2k5SP2/2k8.

Еще один необязательный компонент — Центральный карантин получает подозрительные файлы от клиентов и передает образец для анализа в службу Symantec Security Response. Если обнаруживается новый вирус, генерируется обновление.
Документация всегда была сильной стороной Symantec, для закачки доступен отдельный пакет с документацией и дополнительными утилитами размером 411 Мб. Часть из руководств переведена на русский язык, что упрощает знакомство с SEP. Для сисадминов предназначено «Руководство по внедрению Symantec Endpoint Protection и Symantec Network Access Control» на 1167 страницах которого можно найти ответы практически на все вопросы.

Установка SEP Manager

Сервер управления SEP Manager можно установить только на ОС Windows. Сам процесс не очень сложен, но требует некоторой внимательности. После запуска setup.exe появится окно приветствия, которое кроме собственно установки SEPM предлагает ссылки позволяющие ознакомиться с предварительной информацией и установить другие инструменты администрирования (LiveUpdate Администратор, сервер или консоль Центрального карантина). Под меню «Установить Symantec Endpoint Protection» скрывается два пункта позволяющие установить собственно Manager или «неуправляемый» клиент. Запускаем мастер установки SEPM, который по началу выведет список всех дальнейших этапов.

Начинаем приема лицензионного соглашения, затем выбираем каталог, в который будет инсталлирован SEPM, и жмем «Установить». По окончанию процесса установки появится мастер настройки сервера управления, на первом экране которого предстоит определиться с конфигурацией. На выбор предлагается три варианта: Default (простая установка с одним SEPM для сети менее чем 100 ПК), Custom (выборочная настройка параметров, сети более 100 ПК) и восстановление настроек при помощи recovery файла.

В продуктах от Symanteс используется ряд механизмов позволяющих обнаруживать и блокировать 0-day вредоносный код: Insight, SONAR и Bloodhound. Технология Insight базируется на “датчиках” расположенных на миллионах компьютеров, сопоставляя обмен данными между системами, производится анализ возраста файла и источника распространения, на основании чего делается вывод о безопасности файла. Ее применение позволяет, в том числе использовать меньше системных ресурсов во время сканирования, за счет проверки только файлов подверженных угрозам. Чтобы уменьшить нагрузку, интеллектуальный сканер проверяет файлы во время простоя системы, поэтому пользователь не замечает работы антивируса. Технология SONAR использует поведенческо-репутационный подход – блокирует 0-day уязвимости и узконаправленные угрозы по результатам анализа и сопоставлением с профилем.
Проактивная технология Bloodhound технологией изолирует некоторые области файлов и в случае попыток проникновения других программ за этот периметр их действия анализируется и и принимается решение о степени опасности.

Выбираем вариант Custom и вводим количество ПК в сети, которыми будет управлять SEPM. Так как сервер у нас пока единственный на следующем шаге создаем новый сайт. Среди альтернативных вариантов — установка дополнительного сервера, подключение к существующему сайту или установка дополнительного сайта. Далее задаем имя сайта и сервера, и проверяем номера портов используемых компонентами SEPM, чтобы не было конфликтов с другими приложениями. На следующем экране необходимо выбрать между встроенной базой данных (по умолчанию) или внешней. Во втором случае далее понадобится либо создать новую базу данных, либо указать параметры подключения к существующей. После этого создаем учетную запись администратора (логин фиксированный admin) указав пароль и email. Для связи клиентов с сервером управления используется пароль, который задаем вручную или генерируем автоматически. Этот же пароль используется при восстановлении работы антивирусной сети. Чтобы SEPM мог отправлять уведомления от имени администратора, на следующем шаге указываем параметры SMTP сервера и адрес админа. Правильность параметров можно проверить, нажав кнопку «Send Test Email». Определяем, будет ли сервер SEPM отправлять информацию о работе антивируса в Symantec, после чего некоторое время ждем пока произойдет инициализация базы данных. На этом установка закончена. Отметив в последнем окне флажки можно сразу запускать консоль управления и/или запустить мастер миграции с Symantec Antivirus.

Консоль SEPM

После регистрации в консоли управления увидим отдельное окно в котором будет выведен список первоначальных задач, ссылки для их выполнения и небольшой гид по продукту. Отсюда можно: проверить статус лицензий, настроить автоматическое обновления LiveUpdate, развернуть агентов и настроить параметры сервера SEPM. Если закрыть окно быстро перейти к названным задачам можно выбрав ее в списке Common Task, который находится в правом верхнем углу.
Консоль визуально разделена на два поля. Элементы основного меню администратора (Номе, Monitors, Reports, Policies, Clients и Admin) расположены слева на вертикальной панели, в большом поле справа производятся все настройки. После выбора определенных пунктов будут также доступны подменю, некоторая их часть находится внизу экрана и не сразу бросается в глаза.
В первом окне (Home) выводится основная информация о глобальном уровне угроз, статусе защиты антивирусной сети и доступ к основным отчетам, что позволяет администратору оценить ситуацию сразу же после регистрации.
Настройки сервера и учетной записи администратора, находятся в меню Admin. Выбрав этот пункт, можно установить новый сертификат сайта (при установки SEPM генерируется самоподписанный сертификат), изменить настройки серверов SEPM подключенных к консоли, добавить/изменить домен (после установки имеем один домен Default), подключить LDAP/Active Directory или сервер репликации, аутентификацию Secure ID и многое другое.

По умолчанию через 1 час администратору необходимо будет перелогиниться, при первых настройках это очень мешает. Поэтому переходим в Admin — Servers — Local Site нажимаем Edit Site Properties и устанавливаем большее значение в General — Console timeout. В остальных подкладках производится настройка подключения к LiveUpdate, оптимизация работы веб-сервера, разрешается сброс пароля администратора (если забыл) и прочие настройки.

Чтобы просмотреть сводки об угрозах, событиях произошедших в антивирусной сети, различные уведомления и информацию о командах которые выполнял администратор, доступны в меню Monitors. В Reports найдем несколько видов отчетов наглядно представляющих информацию, как в графическом, так и текстовом виде.

Развертывание клиентов

Теперь, когда сервер настроен, можно приступать к подключению клиентских ПК, но в начале следует установить агента на удаленных системах. Для этого в консоли SEPM при помощи мастера развертывания клиентов создаем пакет. Этот пакет в дальнейшем можно распространить среди ПК любым удобным способом — встроить в образ, через групповые политики AD или просто запустить вручную на удаленной системе.

Неуправляемый клиент устанавливается из меню развертывания SEPM, на этапе «Тип клиента» можно указать и вариант «Управляемый клиент», но выбор этого пункта приведет лишь к выходу из мастера.

Компоненты SEPM использует несколько портов, которые должны быть открыты правилами файервола — 8014 (подключение клиентов), 8443 (удаленное управление сервером), 9090 (веб-консоль), 8444 (веб-сервис), 8765 (управление сервером), 8445 (отчеты). При развертывании клиентов понадобится открыть еще: 137 — 139, 445, 2967.

Запускаем Client Deployment Wizard и в первом окне выбираем New Package Deployment. Далее основное окно настроек в котором следует выбрать тип установочного пакета (Win 32/64 или Mac), группу к которой будет применена установка, набор компонентов (полная защита для сервера или клиентов, базовая защита сервера), содержимое (все или выборочно) и режим работы (компьютер или пользователь). Определяемся со способом установки клиентов: веб-ссылка и электронная почта, удаленная рассылка (Remote Push) и просто сохранить пакет, для установки/распространения любым другим способом. В первом варианте генерируется ссылка, перейдя по которой пользователь самостоятельно скачивает и устанавливает пакет (при наличии прав локального админа). Во втором — весь процесс происходит автоматически, для этого производится поиск компьютеров в сети, затем администратор отбирает нужные и приступает к установке (будут запрошены данные пользователя с правами админа). После установки агента потребуется перезапуск компьютеров.
Далее всеми настройками можно управлять из консоли SEPM при помощи политик. Для упрощения распространения однотипных установок используется концепция групп, по которым распределяются компьютеры или пользователи.

Выбрав в списке нужную группу в поле, справа получаем возможность редактирования политик и прочих установок. После установки в консоли Clients присутствует группа верхнего уровня My Company с одной группой по умолчанию Default Group. Далее администратор самостоятельно создает группы (поддерживается несколько уровней вложенности), возможно наследование политик групп и копирование групп.

Настройка политик

Общие настройки работы различных компонентов антивируса производятся в разделе Policies . Политики разделены на несколько типов которые соответствуют компонентами антивируса — Virus And Spyware Protection, Firewall, Intrusion Prevension, Application and Device Control, LiveUpdate и Exception. Выбрав любой из пунктов получим доступ к более подробным настройкам. Например, перейдя в настройки политик защиты от вирусов и программ-шпионов найдем три предустановки — рекомендуемая, повышенная и высокая безопасность. При создании новой или редактировании имеющейся политики откроется окно содержащее себя две группы настроек (отдельно для Win и Mac). В них определяются параметры сканирования файлов, использование дополнительных технологий (Insight, SONAR), действия при обнаружении вредоносных файлов, приоритет использования ресурсов, карантин, проверка email и многое другое. Большинство параметров должно быть знакомо тем, кто хоть раз сталкивался с настройками обычного антивируса и файервола. Администратор может разрешить пользователю самостоятельно изменять некоторые установки. Они отмечены значком в форме замка. Если замок закрыт, то локальное изменение блокировано.

Вывод

В целом SEP12 очень простой в работе и надежный продукт, использование которого не должно вызвать каких-либо сложностей у администратора даже с небольшим уровнем подготовки. Наличие качественной документации только упрощает процесс знакомства.

Этот документ представляет собой перевод с английского языка. В исходный документ на английском языке могли быть внесены изменения после публикации перевода. Компания Symantec не гарантирует, что перевод соответствует полному тексту на английском языке.

Ситуация:
В этом документе описана процедура установки продукта Symantec Endpoint Protection 11.0 в сети, не содержащей старых версий Symantec AntiVirus.

Решение:
Установка и настройка Symantec Endpoint Protection Manager
Первая установка программного обеспечения для управления выполняется в два этапа. На первом этапе устанавливается Symantec Endpoint Protection Manager. На втором этапе устанавливается и настраивается база данных Symantec Endpoint Protection Manager. На первом этапе оставьте без изменения значения по умолчанию. На втором этапе пользователь должен ввести по крайней мере одно значение - пароль.

Примечание:

  • Программное обеспечение для управления не включает программу Symantec Endpoint Protection или какой-либо другой управляемый клиент.
  • Перед установкой Symantec Endpoint Protection Manager необходимо установить Internet Information Services (IIS).
Как установить Symantec Endpoint Protection Manager (SEPM)
  1. Загрузите установочный компакт-диск и запустите процедуру установки.
  2. На панели установки выберите вариант Установить Symantec Endpoint Protection Manager.
  3. В окне приветствия нажмите кнопку Далее .
  4. В окне "Лицензионное соглашение" выберите Я согласен с условиями лицензионного соглашения . Нажмите кнопку Далее .
  5. В окне "Целевая папка" измените или оставьте значение по умолчанию для папки установки.
  6. Выполните одно из следующих действий:
    • Для настройки веб-сервера Symantec Endpoint Protection Manager IIS (Internet Information Service) в качестве единственного веб-сервера на этом компьютере выберите вариант Создать отдельный веб-сайт и нажмите кнопку Далее .
    • Для настройки веб-сервера Symantec Endpoint Protection Manager IIS для работы с другими веб-серверами на этом компьютере выберите Использовать веб-сайт по умолчанию и нажмите кнопку Далее .
  7. В окне, подтверждающем готовность к установке, нажмите кнопку Установить .
  8. По завершении установки откроется окно "Работа мастера установки завершена". Нажмите Готово . Мастер настройки сервера управления запустится спустя примерно 15 секунд.
Как настроить Symantec Endpoint Protection Manager
  1. На панели "Мастер настройки сервера управления" выберите тип конфигурации.
      • Примечание: Если выбрана Простая конфигурация, то пароль администратора SEPM применяется в качестве пароля шифрования. Если впоследствии пароль администратора изменяется, пароль шифрования остается без изменения.
  2. Нажмите кнопку Далее .
  3. В окне "Тип сайта" выберите Установить первый сайт и нажмите Далее .
  4. В окне "Сведения о сервере" измените или оставьте значения по умолчанию для следующих полей и нажмите Далее :
    • Имя сервера
    • Порт сервера
    • Папка данных сервера
  5. В поле "Имя сайта" измените или оставьте имя по умолчанию и нажмите Далее .
  6. В окне "Пароль шифрования" укажите пароль в обоих полях и нажмите Далее .
    Сохраните этот пароль во время установки Symantec Endpoint Protection в рабочей среде. Он указывается при восстановлении после аварии и добавлении аппаратных компонентов Enforcer.
  7. В окне "Выбор сервера базы данных" выберите Встроенная база данных и нажмите Далее .
  8. На панели настройки пользователя укажите пароль, который должен вводиться при входе на консоль от имени пользователя "Admin". Нажмите кнопку Далее .
По окончании установки вы сможете развернуть клиент с помощью мастера переноса и развертывания. Войдите на консоль с указанными ранее именем пользователя и паролем.

Настройка и развертывание программного обеспечения клиента
Мастер переноса и развертывания позволяет настроить пакет программного обеспечения клиента. Затем для развертывания пакета программного обеспечения клиента можно запустить мастер развертывания методом рассылки. Если пользователь откажется от запуска мастера развертывания методом рассылки, то в дальнейшем его можно будет запустить вручную. Для этого необходимо запустить программу ClientRemote.exe из папки \tomcat\bin.

Примечание: Далее описана процедура установки клиента на 32-разрядных компьютерах (не на 64-разрядных). В ходе установки потребуется указать папку для копирования установочных файлов. Рекомендуется создать эту папку перед началом процедуры. Установку должен выполнять администратор домена или рабочей группы Windows.

При развертывании клиента на компьютерах, защищенных брандмауэром и работающих под управлением Windows XP или Windows Vista , необходимо учитывать дополнительные факторы. Брандмауэр должен разрешать удаленное развертывания через порт TCP 139. На компьютерах рабочих групп, работающих под управлением Windows XP, необходимо выключить простой общий доступ к файлам. Для подготовки компьютеров с операционной системой Windows Vista ознакомьтесь с документом "Подготовка компьютеров, работающих под управлением Windows, к удаленному развертыванию клиента." (по-английски) :
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007091021513648

Как настроить клиент

  1. В окне "Работа мастера настройки сервера управления завершена" выберите Да и нажмите Готово .
  2. В окне "Вас приветствует мастер переноса и развертывания" нажмите кнопку Далее .
  3. В окне "Выберите нужное действие" выберите Развернуть клиент и нажмите кнопку Далее .
  4. В следующем окне выберите пункт Укажите имя новой группы, в которую следует добавить клиенты , введите имя группы и нажмите кнопку Далее .
  5. В следующем окне отмените выбор программ клиента, которые не следует устанавливать, и нажмите Далее .
  6. В следующем окне укажите параметры для пакетов, файлов и взаимодействия с пользователем.
  7. Нажмите кнопку "Обзор", выберите папку для установочных файлов и нажмите кнопку Открыть .
  8. Нажмите кнопку Далее .
  9. В следующем окне выберите Да и нажмите Готово .
Не включайте параметр запуска консоли администратора. Создание и экспорт пакета установки для группы может занять до 5 минут. Потом откроется мастер развертывания методом рассылки.

Как развернуть клиент с помощью мастера развертывания методом рассылки

  1. В окне мастера развертывания методом рассылки в списке "Доступные компьютеры" выберите компьютеры, на которых следует установить клиент, и нажмите кнопку Добавить .
    Если клиент разворачивается на локальном компьютере, и брандмауэр Windows не настроен для обработки Java, то он может блокировать эту функцию, показав сообщение о необходимости ее настройки. Это окно может быть показано под окном мастера развертывания методом рассылки, то есть не будет видно пользователю. Если мастер развертывания методом рассылки перестал отвечать, переместите его окно вбок и проверьте, не скрыто ли под ним окно с сообщением брандмауэра Windows.
  2. В окне "Идентификация удаленного клиента" введите имя пользователя и пароль для входа в домен или рабочую группу Windows этих компьютеров и нажмите кнопку OK .
  3. После того как все компьютеры будут выбраны и показаны на правой панели, нажмите кнопку Готово .
  4. После завершения установки нажмите кнопку Готово .
Вход на консоль и поиск своей группы в консоли
Прежде всего необходимо войти на консоль и найти свою группу.

Вход на консоль управления
Консоль управления предназначена для управления клиентами.

Как войти на консоль управления

  1. Выберите Пуск > Программы > Symantec Endpoint Protection Manager > Консоль Symantec Endpoint Protection Manager .
  2. В окне входа в систему Symantec Endpoint Protection Manager введите имя пользователя admin .
  3. В поле пароля введите пароль учетной записи администратора, заданный во время установки. Нажмите кнопку Вход в систему .
Поиск своей группы в консоли
После входа на консоль необходимо найти группу, созданную в ходе установки. Затем следует убедиться, что в эту группу входят компьютеры, на которых было установлено программное обеспечение.

Активация Symantec Network Access Control
Если продукт Symantec Endpoint Protection был приобретен вместе с продуктом Symantec Network Access Control, то выполните ряд дополнительных действий для активации Symantec Network Access Control.

Как активировать Symantec Network Access Control

  1. Закройте консоль Symantec Endpoint Protection Manager, если она открыта.
  2. Вставьте компакт-диск продукта Symantec Network Access Control.
  3. На панели установки выберите пункт Установить Symantec Network Access Control .
  4. Нажмите Установить Symantec Endpoint Protection Manager .
  5. В окне "Обновление сервера управления" нажмите кнопку Далее .
  6. Нажмите Продолжить .
  7. Когда в окне "Состояние обновления сервера" будет показано сообщение об успешном завершении обновления, нажмите кнопку Далее .
  8. Нажмите кнопку Готово .
  9. Войдите на консоль Symantec Endpoint Protection Manager.
  10. На вкладке "Политики" выберите Целостность хоста .
  11. На правой панели выберите Политика целостности хоста .
  12. В разделе "Задачи" выберите Присвоить политику .
  13. В окне "Присвоить политику целостности хоста" выберите группу, которой следует присвоить политику.
  14. Нажмите кнопку Присвоить , а затем нажмите Да , чтобы подтвердить изменение.
Теперь функция Symantec Network Access Control активирована в Symantec Endpoint Protection Manager и на клиентах из созданной группы.

Этот документ переведен на следующие языки:

  • Brazilian-Portuguese:






2024 © gtavrl.ru.