Развертывание клиентов Symantec Endpoint Protection.

Symantec Endpoint Protection - корпоративный продукт, обеспечивающий антивирусную защиту, защиту от программ-шпионов, защиту от сетевых атак, а также включает в себя систему по предотвращению вторжений и межсетевой экран.

Решение представляет собой управляющий сервер () и клиенты. Клиентами выступают не только сервера и рабочие станции Windows (32-х и 64-х битные), так и рабочие станции на базе Mac OS.

Рассмотрим развертывание защиты на рабочие станции Windows.

1. Открываем консоль Symantec Endpoint Protection Manager . Переходим на вкладку "Clients" и на панели задач нажимаем "Add a client" (Рис.1):

2. Откроется окно "Client Deployment Wizard" . Выбираем "New Package Deployment" и нажимаем "Next" (Рис.2):

3. В поле "Install Packages" выбираем клиент для Windows. В поле "Group" выбираем нужную нам группу (Рис.3):

4. В поле "Install Feature Sets" выбираем один из трех вариантов установки: "Full Protection for Clients" (вариант установки всех модулей защиты на клиентские ПК), "Full Protection for Servers" (вариант установки всех модулей защиты на сервера) и "Basic Protection for Servers" (Базовая защита для файловых серверов). При развертывании клиентской защиты доступны два вида установки: Computer Mode и User Mode . Этим параметром мы определяем, к какой сущности применяются политики защиты, к пользователям или к компьютерам. Выбираем нужный нам вариант и нажимаем Next (Рис.4):

5. На следующей странице нам необходимо выбрать метод установки клиента защиты. Имеем три варианта: "Web Link and Email" - создание пакета установки и отправка ссылки на этот клиент с инструкциями для пользователя по электронной почте; "Remote Push" - передача установочных файлов по сети и дальнейшая установка; "Save Package" - сохранения пакету установки для дальнейшей ручной установки. Выбираем "Remote Push" и нажимаем Next (Рис.5):

6. В окне "Computer Selection" переходим на вкладку "Search Network" и нажимаем кнопку "Find Computers" . Выбираем диапазон IP адресов и жмем Ок. Находим нужный нам компьютер и добавляем его в колонку "Install Protection Client on" и нажимаем Next (Рис.6):

7. В следующем окне нажимаем Next и отправляем пакет установки на клиент (Рис.7).

Кроме весьма продвинутых настроек антивирусной и антишпионской защиты, Symantec Endpoint Protection имеет весьма богатый опциями сетевой экран. Он позволяет разграничить доступ не только к определенным внутресетевым ресурсам, но и к внешним, например запретить доступ к некоторым сайтам в интернете. Для этого нам необходимо изменить политику сетевого экрана (Firewall Plicy ). Разберем на примере запрета доступа к сайту vk.com :

1. Открываем Symantec Endpoint Protection Manager , переходим в раздел Policies . В меню Policies выбираем Firewall . Для редактирования политики сетевого экрана нажимаем на ней правой кнопкой мыши -> Edit (Рис.1):

2. В окне Firewall Policy выбираем раздел Rules , далее нажимаем кнопку Add Rule (Рис.2):

3. Откроется окно мастера добавления политик сетевого экрана (Add Firewall Police Rule Wizard ). Даем имя нашему правилу и нажимаем Next (Рис.3):

4. Выбираем действие для нашего правила. Выбираем Block Connections и нажимаем Next (Рис.4):

6. Затем необходимо выбрать "К чему мы закрываем доступ". Два варианта: Any computer or site (любой компьютер или сайт) или Only the computers and sites listed below (только компьютеры или сайта из списка). Выбираем второй вариант и нажимаем кнопку Add (Рис.6):

7. В окне Add Host , в окне Address Type выбираем DNS Domain . В окне DNS Domain вписываем *.vk.com и нажимаем Ок . Далее видим. что в списке хостов появляется наша запись *.vk.com (Рис.7-8):

В этой статье описана установка продукта Symantec Endpoint Protection 11.0 в сети, в которой не было установлено старых версий Symantec AntiVirus.

Первая установка программного обеспечения для управления выполняется в два этапа. На первом этапе устанавливается Symantec Endpoint Protection Manager. На втором этапе устанавливается и настраивается база данных Symantec Endpoint Protection Manager. На первом этапе оставьте без изменения значения по умолчанию. На втором этапе пользователь должен ввести по крайней мере одно значение - пароль.

Примечание:

• Программное обеспечение для управления не включает программу Symantec Endpoint Protection или какой-либо другой управляемый клиент.
• Перед установкой Symantec Endpoint Protection Manager необходимо установить Internet Information Services (IIS).

Как установить Symantec Endpoint Protection Manager (SEPM)

Загрузите установочный компакт-диск и запустите процедуру установки.

На панели установки выберите вариант Установить Symantec Endpoint Protection Manager.

В окне "Лицензионное соглашение" выберите Я согласен с условиями лицензионного соглашения. Нажмите кнопку Далее.

В окне "Целевая папка" измените или оставьте значение по умолчанию для папки установки.

Выполните одно из следующих действий:

• Для настройки веб-сервера Symantec Endpoint Protection Manager IIS (Internet Information Service) в качестве единственного веб-сервера на этом компьютере выберите вариант Создать отдельный веб-сайт и нажмите кнопку Далее.

  Для настройки веб-сервера Symantec Endpoint Protection Manager IIS для работы с другими веб-серверами на этом компьютере выберите Использовать веб-сайт по умолчанию и нажмите кнопку Далее.

  Если установка производится на сервер под управлением Windows 2003 SB, то для настройки web-сервера необходимо выбирать вариант Использовать веб-сайт по умолчанию.

В окне, подтверждающем готовность к установке, нажмите кнопку Установить.

По завершении установки откроется окно "Работа мастера установки завершена". Нажмите Готово. Мастер настройки сервера управления запустится спустя примерно 15 секунд.

Как настроить Symantec Endpoint Protection Manager

На панели "Мастер настройки сервера управления" выберите тип конфигурации.

Примечание: Если выбрана Простая конфигурация, то пароль администратора SEPM применяется в качестве пароля шифрования. Если впоследствии пароль администратора изменяется, пароль шифрования остается без изменения.

В окне "Тип сайта" выберите Установить первый сайт и нажмите Далее.

В окне "Сведения о сервере" измените или оставьте значения по умолчанию для следующих полей и нажмите Далее:

• Имя сервера

  Порт сервера

  Папка данных сервера

В поле "Имя сайта" измените или оставьте имя по умолчанию и нажмите Далее.

В окне "Пароль шифрования" укажите пароль в обоих полях и нажмите Далее.

Сохраните этот пароль во время установки Symantec Endpoint Protection в рабочей среде. Он указывается при восстановлении после аварии и добавлении аппаратных компонентов Enforcer.

В окне "Выбор сервера базы данных" выберите Встроенная база данных и нажмите Далее.

На панели настройки пользователя укажите пароль, который должен вводиться при входе на консоль от имени пользователя "Admin". Нажмите кнопку Далее. Или создайте пользователя который является администратором домена.

По окончании установки вы сможете развернуть клиент с помощью мастера переноса и развертывания. Войдите на консоль с указанными ранее именем пользователя и паролем.

Настройка и развертывание программного обеспечения клиента

Мастер переноса и развертывания позволяет настроить пакет программного обеспечения клиента. Затем для развертывания пакета программного обеспечения клиента можно запустить мастер развертывания методом рассылки. Если пользователь откажется от запуска мастера развертывания методом рассылки, то в дальнейшем его можно будет запустить вручную. Для этого необходимо запустить программу ClientRemote.exe из папки \tomcat\bin.
Примечание: Далее описана процедура установки клиента на 32-разрядных компьютерах (не на 64-разрядных). В ходе установки потребуется указать папку для копирования установочных файлов. Рекомендуется создать эту папку перед началом процедуры. Установку должен выполнять администратор домена или рабочей группы Windows.

При развертывании клиента на компьютерах, защищенных брандмауэром и работающих под управлением Windows XP или Windows Vista, необходимо учитывать дополнительные факторы. Брандмауэр должен разрешать удаленное развертывания через порт TCP 139. На компьютерах рабочих групп, работающих под управлением Windows XP, необходимо выключить простой общий доступ к файлам. Для подготовки компьютеров с операционной системой Windows Vista ознакомьтесь с документом "Подготовка компьютеров, работающих под управлением Windows, к удаленному развертыванию клиента." (по-английски) :

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007091021513648

Как настроить клиент

В окне "Работа мастера настройки сервера управления завершена" выберите Да и нажмите Готово.

В окне "Вас приветствует мастер переноса и развертывания" нажмите кнопку Далее.

В окне "Выберите нужное действие" выберите Развернуть клиент и нажмите кнопку Далее.

В следующем окне выберите пункт Укажите имя новой группы, в которую следует добавить клиенты, введите имя группы и нажмите кнопку Далее.

В следующем окне отмените выбор программ клиента, которые не следует устанавливать, и нажмите Далее.

В следующем окне укажите параметры для пакетов, файлов и взаимодействия с пользователем.

Нажмите кнопку "Обзор", выберите папку для установочных файлов и нажмите кнопку Открыть.

В следующем окне выберите Да и нажмите Готово.

Не включайте параметр запуска консоли администратора. Создание и экспорт пакета установки для группы может занять до 5 минут. Потом откроется мастер развертывания методом рассылки.

Как развернуть клиент с помощью мастера развертывания методом рассылки

В окне мастера развертывания методом рассылки в списке "Доступные компьютеры" выберите компьютеры, на которых следует установить клиент, и нажмите кнопку Добавить.

Если клиент разворачивается на локальном компьютере, и брандмауэр Windows не настроен для обработки Java, то он может блокировать эту функцию, показав сообщение о необходимости ее настройки. Это окно может быть показано под окном мастера развертывания методом рассылки, то есть не будет видно пользователю. Если мастер развертывания методом рассылки перестал отвечать, переместите его окно вбок и проверьте, не скрыто ли под ним окно с сообщением брандмауэра Windows.

В окне "Идентификация удаленного клиента" введите имя пользователя и пароль для входа в домен или рабочую группу Windows этих компьютеров и нажмите кнопку OK.

После того как все компьютеры будут выбраны и показаны на правой панели, нажмите кнопку Готово.

После завершения установки нажмите кнопку Готово.

Вход на консоль и поиск своей группы в консоли

Прежде всего необходимо войти на консоль и найти свою группу.

Вход на консоль управления

Консоль управления предназначена для управления клиентами.

Как войти на консоль управления

Выберите Пуск> Программы> Symantec Endpoint Protection Manager> Консоль Symantec Endpoint Protection Manager.

В окне входа в систему Symantec Endpoint Protection Manager введите имя пользователя admin.

В поле пароля введите пароль учетной записи администратора, заданный во время установки. Нажмите кнопку Вход в систему.

Поиск своей группы в консоли

После входа на консоль необходимо найти группу, созданную в ходе установки. Затем следует убедиться, что в эту группу входят компьютеры, на которых было установлено программное обеспечение.

Активация Symantec Network Access Control

Если продукт Symantec Endpoint Protection был приобретен вместе с продуктом Symantec Network Access Control, то выполните ряд дополнительных действий для активации Symantec Network Access Control.

Как активировать Symantec Network Access Control

Закройте консоль Symantec Endpoint Protection Manager, если она открыта.

Вставьте компакт-диск продукта Symantec Network Access Control.

На панели установки выберите пункт Установить Symantec Network Access Control.

Нажмите Установить Symantec Endpoint Protection Manager.

В окне "Обновление сервера управления" нажмите кнопку Далее.

Нажмите Продолжить.

Когда в окне "Состояние обновления сервера" будет показано сообщение об успешном завершении обновления, нажмите кнопку Далее.

Нажмите кнопку Готово.

Войдите на консоль Symantec Endpoint Protection Manager.

На вкладке "Политики" выберите Целостность хоста.

На правой панели выберите Политика целостности хоста.

В разделе "Задачи" выберите Присвоить политику.

В окне "Присвоить политику целостности хоста" выберите группу, которой следует присвоить политику.

Нажмите кнопку Присвоить, а затем нажмите Да, чтобы подтвердить изменение.

Теперь функция Symantec Network Access Control активирована в Symantec Endpoint Protection Manager и на клиентах из созданной группы.

Выбор корпоративного антивируса дело не простое и требует тщательного отбора претендентов. Современные решения часто предлагаются в виде комбайна, который содержит дополнительные компоненты вроде брандмауэра и IPS, перекрывая все пути возможного заражения и снижая риски. Именно так устроен Symantec Endpoint Protection 12.

Возможности Symantec Endpoint Protection 12

Компания Symanteс издавна славилась своими продуктами обеспечивающими защиту от всевозможных современных угроз, которыми богат интернет, среди них место особое место занимают антивирусы. Многие наверное еще помнят Norton Antivirus стоявший на большинстве ПК вначале века и успешно отбивавший атаки вирусов, он и сегодня выпускается Symantec не прекратил развитие. Правда называется уже Norton Internet Security и предназначен для защиты отдельных ПК, а возможности на порядок больше. Корпоративный сектор защищает серия Symantec Endpoint Protection состоящая из трех решений:

— Endpoint Protection Small Business Edition — для небольших компаний (не более 100 пользователей), простая установка и настройка, все данные хранятся на локальных системах;
— Endpoint Protection.cloud — реализация в виде SaaS, когда нет необходимости развертывании собственной инфраструктуры управления, обеспечивает защиту Win систем в организациях до 250 ПК;
— Endpoint Protection — наиболее оснащенное решение, обеспечивающее защиту рабочих станций и серверов работающих под управление разных ОС и виртуальных сред, предназначен для организаций с 100+ пользователями.

Решение построено по классической для корпоративных антивирусов клиент-серверной архитектуре. Сервер Endpoint Protection Manager используется для централизованного управления настройками, обновления агентов и баз, сбора данных о состоянии и построении отчетов, управлениям лицензиями. В терминологии Symantec создаваемая при помощи SEPM структура называется сайт. В сети может быть несколько серверов, сайтов и доменов, для равномерного распределения нагрузки с репликацией данных, быстрого восстановления и организации иерархической структуры для удобства управления и делегирования полномочий.
Все настройки производится при помощи локальной или веб-консоли Web Access (9090 порт) построенных с использование Java. Их внешний вид и функциональные возможности схожи.
Консоль может интегрироваться с другими продуктами Symantec, в частности с Protection Center обеспечивая единую среду управления безопасностью, позволяя узнавать данные о новых угрозах и быстрее реагировать. Компонент IT Analytics расширяет функции отчетности Endpoint Protection за счет дополнительных функций анализа и графического представления данных.
Для хранения настроек и информации о клиентах используется СУБД. Для сетей до 5000 систем с одним сервером управления можно использовать встроенную базу данных, которая устанавливается автоматически и не требует дополнительного конфигурирования. Если клиентов больше, или планируется развернуть несколько EP Manager с репликацией данных или балансировкой нагрузки следует установить MS SQL Server.
В агент устанавливаемый на конечные системы, интегрировано нескольких механизмов защиты:

• антивирус, обеспечивающих защиту от вирусов, программ-шпионов, троянцев, ботов и руткитов
• брандмауэр на основе правил и IDS — защищают от сетевых атак и загрузки вредоносных программ, оснащен функцией блокирования общих точек уязвимости (GE) и защитой браузера от направленных атак;
• модуль Application and Device Control – контроль приложений и устройств которые может запускать пользователь или компьютер.

Агент умеет проверять почту приходящую по POP3/SMTP, интегрируется с MS Outlook и IBM Lotus Notes. Кроме этого клиент адаптирован для применения в виртуальной среде, упрощая создания политик, уменьшая нагрузку на VM и количество операций I/O, в том числе, исключая файлы стандартного образа из проверки (Virtual Image Exception). При помощи специального сервера Shared Insight Cache агенты обмениваются результатами сканирования и одинаковые файлы проверяются только один раз, что сокращает нагрузку на систему и уменьшает время сканирования. Также блокируется одновременный запуск проверки на нескольких VM. Поддерживаются продукты от VMWare, MS Virtual Server и Hyper-V, Novell Xen.
Клиент (как это и принято в подобных продуктах) управляется с сервера SEP, но если система работает автономно редко подключаясь к корпоративной сети может использоваться так называемый «неуправляемый клиент». В последнем варианте пользователь самостоятельно управляет настройками антивируса. Обновление программных модулей и антивирусных баз производится при помощи дополнительного компонента LiveUpdate, сам процесс может запускаться во время бездействия клиентов.
Доступны версии агента под разные ОС (Win, Linux и Mac OS X), что позволяет защитить все компьютеры в гетерогенной среде. Интерфейс клиентской части для Windows полностью русифицирован, для остальных ОС — только английская версия. Лицензируется SEP по количеству клиентов, консоль SEPM дополнительной лицензии не требует. После установки дается весьма продолжительный 60-ти дневный тестовый период позволяющий оценить SEP в действии, полностью развернуть и настроить агенты.

Полностью список поддерживаемых клиентских ОС можно найти в документе «Symantec Endpoint Protection 12.1. Спецификация: Защита конечных систем».
Для установки агента потребуется компьютер с процессором класса Intel Pentium III 1 ГГц и выше, 512 МБ ОЗУ (рекомендуется 1 ГБ ОЗУ) и 700 МБ места на харде.
Клиент Symantec Endpoint Protection для Win поддерживает версии 2k, XP, Vista, 7 и серверные 2k3/2k8. Включая Small/Essential Business Server. Клиент для Linux поддерживает установку на: Debian 4/5/6, Ubuntu 8.04-11.04, Fedora 10/12/13/15, SLES/SLED 9/10/11, RHEL, Novell Linux Desktop 9 и Open Enterprise Server.
Клиент Symantec Endpoint Protection для Mac
— Mac на базе PowerPC с Mac OS X 10.4-10.5x;
— Mac на базе Intel с Mac OS X 10.4-10.7 (i86 и x64 редакции).
Сервер управления Endpoint Protection Manager требует компьютер не ниже Pentium III 1 ГГц, с 1 Гб ОЗУ (4 Гб рекомендуется) с 4+4 Гб свободного места (сервер+БД), работающий под управлением Win XP-2k8. В качестве сервера базы данных можно использовать встроенную БД или MS SQL Server 2kSP4/2k5SP2/2k8.

Еще один необязательный компонент — Центральный карантин получает подозрительные файлы от клиентов и передает образец для анализа в службу Symantec Security Response. Если обнаруживается новый вирус, генерируется обновление.
Документация всегда была сильной стороной Symantec, для закачки доступен отдельный пакет с документацией и дополнительными утилитами размером 411 Мб. Часть из руководств переведена на русский язык, что упрощает знакомство с SEP. Для сисадминов предназначено «Руководство по внедрению Symantec Endpoint Protection и Symantec Network Access Control» на 1167 страницах которого можно найти ответы практически на все вопросы.

Установка SEP Manager

Сервер управления SEP Manager можно установить только на ОС Windows. Сам процесс не очень сложен, но требует некоторой внимательности. После запуска setup.exe появится окно приветствия, которое кроме собственно установки SEPM предлагает ссылки позволяющие ознакомиться с предварительной информацией и установить другие инструменты администрирования (LiveUpdate Администратор, сервер или консоль Центрального карантина). Под меню «Установить Symantec Endpoint Protection» скрывается два пункта позволяющие установить собственно Manager или «неуправляемый» клиент. Запускаем мастер установки SEPM, который по началу выведет список всех дальнейших этапов.

Начинаем приема лицензионного соглашения, затем выбираем каталог, в который будет инсталлирован SEPM, и жмем «Установить». По окончанию процесса установки появится мастер настройки сервера управления, на первом экране которого предстоит определиться с конфигурацией. На выбор предлагается три варианта: Default (простая установка с одним SEPM для сети менее чем 100 ПК), Custom (выборочная настройка параметров, сети более 100 ПК) и восстановление настроек при помощи recovery файла.

В продуктах от Symanteс используется ряд механизмов позволяющих обнаруживать и блокировать 0-day вредоносный код: Insight, SONAR и Bloodhound. Технология Insight базируется на “датчиках” расположенных на миллионах компьютеров, сопоставляя обмен данными между системами, производится анализ возраста файла и источника распространения, на основании чего делается вывод о безопасности файла. Ее применение позволяет, в том числе использовать меньше системных ресурсов во время сканирования, за счет проверки только файлов подверженных угрозам. Чтобы уменьшить нагрузку, интеллектуальный сканер проверяет файлы во время простоя системы, поэтому пользователь не замечает работы антивируса. Технология SONAR использует поведенческо-репутационный подход – блокирует 0-day уязвимости и узконаправленные угрозы по результатам анализа и сопоставлением с профилем.
Проактивная технология Bloodhound технологией изолирует некоторые области файлов и в случае попыток проникновения других программ за этот периметр их действия анализируется и и принимается решение о степени опасности.

Выбираем вариант Custom и вводим количество ПК в сети, которыми будет управлять SEPM. Так как сервер у нас пока единственный на следующем шаге создаем новый сайт. Среди альтернативных вариантов — установка дополнительного сервера, подключение к существующему сайту или установка дополнительного сайта. Далее задаем имя сайта и сервера, и проверяем номера портов используемых компонентами SEPM, чтобы не было конфликтов с другими приложениями. На следующем экране необходимо выбрать между встроенной базой данных (по умолчанию) или внешней. Во втором случае далее понадобится либо создать новую базу данных, либо указать параметры подключения к существующей. После этого создаем учетную запись администратора (логин фиксированный admin) указав пароль и email. Для связи клиентов с сервером управления используется пароль, который задаем вручную или генерируем автоматически. Этот же пароль используется при восстановлении работы антивирусной сети. Чтобы SEPM мог отправлять уведомления от имени администратора, на следующем шаге указываем параметры SMTP сервера и адрес админа. Правильность параметров можно проверить, нажав кнопку «Send Test Email». Определяем, будет ли сервер SEPM отправлять информацию о работе антивируса в Symantec, после чего некоторое время ждем пока произойдет инициализация базы данных. На этом установка закончена. Отметив в последнем окне флажки можно сразу запускать консоль управления и/или запустить мастер миграции с Symantec Antivirus.

Консоль SEPM

После регистрации в консоли управления увидим отдельное окно в котором будет выведен список первоначальных задач, ссылки для их выполнения и небольшой гид по продукту. Отсюда можно: проверить статус лицензий, настроить автоматическое обновления LiveUpdate, развернуть агентов и настроить параметры сервера SEPM. Если закрыть окно быстро перейти к названным задачам можно выбрав ее в списке Common Task, который находится в правом верхнем углу.
Консоль визуально разделена на два поля. Элементы основного меню администратора (Номе, Monitors, Reports, Policies, Clients и Admin) расположены слева на вертикальной панели, в большом поле справа производятся все настройки. После выбора определенных пунктов будут также доступны подменю, некоторая их часть находится внизу экрана и не сразу бросается в глаза.
В первом окне (Home) выводится основная информация о глобальном уровне угроз, статусе защиты антивирусной сети и доступ к основным отчетам, что позволяет администратору оценить ситуацию сразу же после регистрации.
Настройки сервера и учетной записи администратора, находятся в меню Admin. Выбрав этот пункт, можно установить новый сертификат сайта (при установки SEPM генерируется самоподписанный сертификат), изменить настройки серверов SEPM подключенных к консоли, добавить/изменить домен (после установки имеем один домен Default), подключить LDAP/Active Directory или сервер репликации, аутентификацию Secure ID и многое другое.

По умолчанию через 1 час администратору необходимо будет перелогиниться, при первых настройках это очень мешает. Поэтому переходим в Admin — Servers — Local Site нажимаем Edit Site Properties и устанавливаем большее значение в General — Console timeout. В остальных подкладках производится настройка подключения к LiveUpdate, оптимизация работы веб-сервера, разрешается сброс пароля администратора (если забыл) и прочие настройки.

Чтобы просмотреть сводки об угрозах, событиях произошедших в антивирусной сети, различные уведомления и информацию о командах которые выполнял администратор, доступны в меню Monitors. В Reports найдем несколько видов отчетов наглядно представляющих информацию, как в графическом, так и текстовом виде.

Развертывание клиентов

Теперь, когда сервер настроен, можно приступать к подключению клиентских ПК, но в начале следует установить агента на удаленных системах. Для этого в консоли SEPM при помощи мастера развертывания клиентов создаем пакет. Этот пакет в дальнейшем можно распространить среди ПК любым удобным способом — встроить в образ, через групповые политики AD или просто запустить вручную на удаленной системе.

Неуправляемый клиент устанавливается из меню развертывания SEPM, на этапе «Тип клиента» можно указать и вариант «Управляемый клиент», но выбор этого пункта приведет лишь к выходу из мастера.

Компоненты SEPM использует несколько портов, которые должны быть открыты правилами файервола — 8014 (подключение клиентов), 8443 (удаленное управление сервером), 9090 (веб-консоль), 8444 (веб-сервис), 8765 (управление сервером), 8445 (отчеты). При развертывании клиентов понадобится открыть еще: 137 — 139, 445, 2967.

Запускаем Client Deployment Wizard и в первом окне выбираем New Package Deployment. Далее основное окно настроек в котором следует выбрать тип установочного пакета (Win 32/64 или Mac), группу к которой будет применена установка, набор компонентов (полная защита для сервера или клиентов, базовая защита сервера), содержимое (все или выборочно) и режим работы (компьютер или пользователь). Определяемся со способом установки клиентов: веб-ссылка и электронная почта, удаленная рассылка (Remote Push) и просто сохранить пакет, для установки/распространения любым другим способом. В первом варианте генерируется ссылка, перейдя по которой пользователь самостоятельно скачивает и устанавливает пакет (при наличии прав локального админа). Во втором — весь процесс происходит автоматически, для этого производится поиск компьютеров в сети, затем администратор отбирает нужные и приступает к установке (будут запрошены данные пользователя с правами админа). После установки агента потребуется перезапуск компьютеров.
Далее всеми настройками можно управлять из консоли SEPM при помощи политик. Для упрощения распространения однотипных установок используется концепция групп, по которым распределяются компьютеры или пользователи.

Выбрав в списке нужную группу в поле, справа получаем возможность редактирования политик и прочих установок. После установки в консоли Clients присутствует группа верхнего уровня My Company с одной группой по умолчанию Default Group. Далее администратор самостоятельно создает группы (поддерживается несколько уровней вложенности), возможно наследование политик групп и копирование групп.

Настройка политик

Общие настройки работы различных компонентов антивируса производятся в разделе Policies . Политики разделены на несколько типов которые соответствуют компонентами антивируса — Virus And Spyware Protection, Firewall, Intrusion Prevension, Application and Device Control, LiveUpdate и Exception. Выбрав любой из пунктов получим доступ к более подробным настройкам. Например, перейдя в настройки политик защиты от вирусов и программ-шпионов найдем три предустановки — рекомендуемая, повышенная и высокая безопасность. При создании новой или редактировании имеющейся политики откроется окно содержащее себя две группы настроек (отдельно для Win и Mac). В них определяются параметры сканирования файлов, использование дополнительных технологий (Insight, SONAR), действия при обнаружении вредоносных файлов, приоритет использования ресурсов, карантин, проверка email и многое другое. Большинство параметров должно быть знакомо тем, кто хоть раз сталкивался с настройками обычного антивируса и файервола. Администратор может разрешить пользователю самостоятельно изменять некоторые установки. Они отмечены значком в форме замка. Если замок закрыт, то локальное изменение блокировано.

Вывод

В целом SEP12 очень простой в работе и надежный продукт, использование которого не должно вызвать каких-либо сложностей у администратора даже с небольшим уровнем подготовки. Наличие качественной документации только упрощает процесс знакомства.

Облачные компоненты

По умолчанию группы и устройства управляются Symantec Endpoint Protection Manager, а не облачным порталом

После регистрации домена Symantec Endpoint Protection Manager управляет группами и устройствами по умолчанию. В версии 14.1 по умолчанию использовался облачный портал.

Автоматическое обновление клиентов с помощью усиления защиты Symantec Endpoint Protection

Усиление защиты Symantec Endpoint Protection было введено между версиями 14.0 и 14.2. Как результат, вы не можете автоматически обновлять клиенты 14.0.x с помощью усиления защиты Symantec Endpoint Protection (SEP).

• В 14.2 можно установить усиление защиты Symantec Endpoint Protection на клиентах Windows с помощью автоматического обновления, даже если этот компонент ранее не был установлен. В пакете установки клиента, даже если установлен флажок Сохранить существующие компоненты клиента при обновлении, можно установить усиление защиты. Следует убедиться, что Усиление защиты приложений выбрано в пользовательском наборе компонентов (включено по умолчанию), иначе усиление защиты Symantec Endpoint Protection не установится.
• 14.2 поддерживает усиление защиты Symantec Endpoint Protection в 32-разрядных и 64-разрядных операционных системах Windows для настольных ПК. Более ранние клиенты поддерживают только 64-разрядные операционные системы Windows для настольных ПК. Усиление защиты Symantec Endpoint Protection не поддерживается на серверных операционных системах.

Поддержка клиентов роуминга

Клиенты роуминга время от времени подключаются к серверу управления. В версии 14.2 клиенты роуминга автоматически отправляют критические события в облачный портал, когда клиенты не могут подключиться к серверу управления. После повторного подключения клиента к серверу управления клиенты отправляют любые новые критические события на сервер управления.

Интеграция с системой аналитики содержимого Symantec

Система аналитики содержимого (CAS) определяет степень вредоносности файла с помощью облачной службы классификации репутации файлов, которая идентифицирует известные файлы. Служба использует численные оценки репутации (1–10) для указания того, являются ли файлы надежными или вредоносными. Файлы с высокой оценкой с большей вероятностью будут вредоносными. Вы можете интегрировать Symantec Endpoint Protection Manager с системой аналитики содержимого, чтобы отправлять файлы для анализа из облачного портала в CAS. Когда CAS вернет оценку репутации, вы можете выполнить действие с файлом, например заблокировать его или включить в белый список.

Для интеграции Symantec Endpoint Protection Manager с CAS откройте вкладку Администратор > Серверы > Изменить свойства сайта > Система аналитики содержимого. Чтобы отправить файлы на анализ, перейдите на облачный портал.

Репликация нескольких сайтов доступна для сервера управления, зарегистрированного на облачном портале

Теперь можно зарегистрировать сайты, которые реплицируются с партнерскими сайтами, на облачном портале. Партнерский сайт не зарегистрирован на облачном портале, но продолжает реплицировать данные с первого сайта.

Сбор данных и варианты отправки автоматически включены

После регистрации Symantec Endpoint Protection Manager на облачном портале параметры сбора данных и отправки включаются автоматически. Это происходит независимо от того, были ли эти настройки отключены ранее. Symantec рекомендует включить эти параметры, чтобы клиенты использовали преимущества AML в облаке. Управление анонимными и неанонимными данными, которые клиенты отправляют в Symantec Важность сбора данных о сервере и сведений, отправляемых клиентами, для безопасности сети

Компоненты защиты

Поддержка IPv6

Поддержка IPv6 добавлена для следующих элементов:

• Связь между клиентами Windows, Mac и Linux и Symantec Endpoint Protection Manager.
• Связь между консолью и сервером управления, например локальный или удаленный вход в Symantec Endpoint Protection Manager.
• Связь между серверами управления и внутренними серверами LiveUpdate, на которых запущен LiveUpdate Administrator.
• Критерии на основе IPv6 для многих политик, таких как пользовательские сигнатуры IPS, служба определения расположения, поставщики обновлений группы и исключения.

Брандмауэр на клиенте Symantec Endpoint Protection для Mac

Брандмауэр Symantec Endpoint Protection для Mac обеспечивает защиту с помощью брандмауэра, которая полностью интегрирована в Symantec Endpoint Protection, включая события, политики и команды. Управление и настройка правил и некоторых параметров брандмауэра выполняются в той же политике брандмауэра Symantec Endpoint Protection Manager, что и для Windows.

Брандмауэр Symantec Endpoint Protection доступен только для управляемых клиентов.

Перенаправление трафика WSS для Mac

Перенаправление трафика WSS (WTR) направляет веб-трафик с URL-адресом файла автоматической настройки прокси-сервера в службу Symantec Web Security Service. Это перенаправление трафика защищает веб-трафик клиентского компьютера. Эта версия Symantec Endpoint Protection расширяет функциональность перенаправления трафика WSS для компьютеров Mac.

Расширения перенаправления трафика WSS для Windows

В этой версии Symantec Endpoint Protection добавлена расширенная аутентификация клиента для служб Symantec Web Security Services (WSS). Это обеспечивает более детализированное управление безопасностью для перенаправления трафика WSS. Кроме того, можно настроить пересылку дополнительных данных заголовка, чтобы идентифицировать пользователя, инициировавшего трафик. Эти дополнительные данные заголовка позволяют создавать правила трафика для каждого пользователя. Для доступа к этому параметру нажмите Политики > Интеграции, откройте политику и нажмите Перенаправление трафика WSS .

Сканирования быстро обрабатывают большое количество угроз на сильно зараженных компьютерах

Когда ручное сканирование и сканирование автоматической защиты обнаруживают большое количество угроз на клиентском компьютере, сканирования могут быстро обработать угрозы. Этот агрессивный режим запускается, когда на компьютере обнаружено не менее 100 вирусов. Действием по умолчанию для этих обнаружений является Удаление. Этот агрессивный режим не обрабатывает программы-шпионы. Этот компонент не нужно настраивать; он запускается автоматически.

Компоненты сервера управления

Двухфакторная аутентификация Symantec VIP и аутентификация смарт-карты для Symantec Endpoint Protection Manager

Теперь вы можете использовать два дополнительных типа аутентификации для учетных записей администратора Symantec Endpoint Protection Manager.

• Двухфакторная аутентификация (2FA) с Symantec VIP. Когда двухфакторная аутентификация включена, необходимо предоставить уникальный одноразовый код подтверждения при входе в Symantec Endpoint Protection Manager в дополнение к используемому паролю. Этот код можно получить по голосовой почте, SMS или через бесплатное приложение Symantec VIP Access.
• Аутентификация смарт-карты. Можно настроить Symantec Endpoint Protection Manager для входа администраторов, использующих карту удостоверения личности (PIV) или общую карту доступа (CAC). Смарт-карты применяются среди администраторов, которые работают в Федеральных агентствах США или в американской армии. При аутентификации PIV/CAC вы вставляете карту в считывающее устройство и указываете PIN-код.

Новый модуль связи

Новый модуль связи заменяет существующий протокол. Оба модуля по-прежнему используют sylink.xml для установления административного соединения между Symantec Endpoint Protection Manager и клиентом. Новый модуль связи работает как с IPv6, так и с IPv4-адресами и обменивается данными с клиентами Windows, Mac и Linux.

Более строгие требования к паролю

При установке или настройке сервера управления необходимо установить надежный пароль для учетной записи системного администратора. Пароль должен содержать от 8 до 15 символов. Он должен содержать как минимум одну букву нижнего регистра , одну букву верхнего регистра , один цифровой символ и один специальный символ ["/ \ : ; | = , + * ? ].

Обновления для соответствия требованиям FIPS 140-2

Symantec Endpoint Protection 14.2 обновляет компоненты сторонних поставщиков и проверенные модули для обеспечения непрерывного соответствия требованиям к шифрованию данных федеральных стандартов обработки информации (FIPS) 140-2. Symantec Endpoint Protection 14.2 позволяет средам, соответствующим требованиям FIPS 140-2, получать доступ к облачным компонентам.

LiveUpdate загружает содержимое для модуля управления приложениями

Для исправления проблем с операционной системой, такой как Windows 10, LiveUpdate теперь загружает содержимое для модуля управления приложениями для клиентов Windows, которые используют версию 14.2. Чтобы получить доступ к содержимому управления приложениями, нажмите Администрирование > Изменить свойства сайта > вкладка LiveUpdate > Загружаемые типы содержимого. Этот параметр всегда должен быть включен.

По материалам Symantec :

• Доступен Symantec Endpoint Protection 14.2 (оф.сайт, английский)
• Примечания к релизу (оф.сайт, английский + русский)

Нашли опечатку? Нажмите Ctrl + Enter