Symantec Endpoint Protection是大家所熟悉的安全防护软件,也是众多企业所选的杀毒软件产品。Symantec11.0企业版具有安装方便,管理内容丰富等特点。下面我借助虚拟机平台,对Symantec11.0的安装与配置做个简单介绍。
虚拟机平台我采用windows2003(windows2008对于真机要求太高,跑起来累)和XP的主从结构,并且都加入cpu.com这个虚拟域。DNS,IP地址等配置在此不赘述。下面开始安装。
在安装之前,先了解下服务器端主机的基本配置需求,以32bit为例:
处理器:1GHz Intel Pentium III
操作系统:windows2003 SP1及以上
内存:1G,推荐2-4G
硬盘空间8G以上
显示器:1024*768及以上的分辨率
IIS5.0及以上
IE6.0及以上
在服务器上点击安装程序后,出现如图界面。
选择Install Symantec Endpoint Protection Manager 这个选项,这是个管理平台。
此时跳出来一个对话框,表示你要首先安装IIS和ASP.NET等程序,不配置IIS和ASP.NET则无法顺利安装。
在添加删除程序->添加删除组件->应用程序服务器(点击详细)中,勾选IIS和ASP.NET,确认及安装(需要windows光盘)。
接下来再次点击安装程序,就可以顺利进入安装界面,不多说,ACCEPT->NEXT
这里会跳出来一个创建Symantec自己的Web站点,选推荐项,下一步即可。
这里有两个选项,Simple是针对于100台客户端以下的环境,采用赛门铁克内置数据库。Advanced是针对于100台以上的大型网络环境。我在这里选择Simple,下一步。
接下来创建管理者的用户名,账号和email地址。
这里如果勾选表明你同意将意见上传给Symantec。然后下一步。
这里是你前面配置和系统信息的一些总结,下一步。
这里选择Yes则运行迁移和配置向导,配置向导用来生成客户端安装包,这样就不用把光盘一个个放在客户机上去安装了,很方便。下一步。
欢迎界面后,出来四个选项。最下面两个是迁移向导,第二个是生成Mac主机的杀毒软件包,第一个是配置Windows主机客户端。在这里,我选择第一个。
这里让你选择要把客户端安装程序配置到哪个组里面,这个组是Symantec的管理组,在同一个管理组下的客户端使用相同的安装包和策略,类似于Windows域策略的概念。这里我打算新建一个叫做cpu的组。下面一个选项钮是选择一个已经存在的安装包,我这里没有,于是下一步。
这里定制客户端安装包的功能,即想要在客户机上安装的杀毒软件具有哪些功能。默认就有这么多,你也可以按照你的规划增加或者减少功能选项。
这里是一些软件包的属性,我依次选择32位软件包,生成独立的exe文件(这样你可以把这文件放在服务器上,将来直接用这定制过的包安装客户机,很方便)和无人值守模式,如果已经有客户机在使用,你这里可以选择Silent模式,这样自动安装的时候不会强制重启机器。最后是安装包保存的路径。
这里所谓的Push功能就是自动远程安装客户机,你也可以选择No,将来自己安装(反正有生成的安装包,将来通过服务器安装也很方便)。我这里选择Push.
进入Push后,就让你选择域内需要安装的主机,由于是示范,这里就以Server为例,选择服务器,Add
这边Add or Import Computer选项可以将其他主机添加进来。
点击完成,就开始远程Push了。
到先前设置的安装包路径下查看,同时生成了安装包。
到这里安装工作已经完成。
打开开始菜单,找到Symantec Endpoint Protection Manager, 点击Symantec Endpoint Protection Manager Console进入管理界面
输入用户名,密码,进入。
在Home页面可以看见一些统计项目。我这边由于服务器端和客户端都没有更新过,所以会有红色的报错,正常的应该是呈现绿色。
Clients页面,可以看见CPU组的两台管理的客户机(注意,此时Server安装的和Client安装的都是同一个杀毒软件,只不过Server上多了管理平台而已。此时客户机已经配置完成。)
如果日后想要重新定制软件包可在Admin界面下操作。Client Install Settings 是安装包的配置,比如安装目录,安装好是否要重启等等。Client Install Feature Sets 是安装包功能模块。在Client Install Packages中,选择一个安装包版本(比如32位),点击Export Client Install Package,选择放置安装包的目录,和先前自定义或者修改过的Settings and Features。在Policy Settings中,选择客户端是否能被管理,然后指名所属组。在Preferred Policy Mode中选择Computer mode 还是 User mode,也就是说将来策略针对的是计算机还是用户账号。配置界面如图
确认后就开始生成安装包了
下面我来讲一下安装好杀毒软件之后重要的步骤---定制策略。
在Policies面板下,选中LiveUpdate。在LiveUpdate Setting标签下,在Tasks中新建或者编辑一条已存在的策略。
在概览中可以输入策略名字和描述信息,还可以看到策略作用的范围。
接下来选择Server Settings
这里一般选择default management server就可以了,如果想让客户机去从Symantec更新服务器去更新或者从内部其他服务器更新,可以选择下面一个复选框。注意,这里至少选择一个复选框,如果两个都勾选,则会同时去两处查找更新。
Group Update Provider是把一台客户机当做更新服务器来使用,客户机会去同步服务器上的update数据然后分发给其他客户机,这个在网络带宽较差的异地之间同步数据可以使用,最大限度减少带宽利用。
如果在Server Settings中选择了Use a LiveUpdate Server选项,则可以在Schedule中选择更新频率和时间。
同样,在Server Settings 中选择了Use a LiveUpdate Server选项后,在Advanced Settings中,可以选择是否允许用户手工Live Update,这里不建议手工更新。
全部配置完成后,点击Ok,在对话框中会让你选择是否将策略应用到客户机。如果选择是,则在选择完应用的组后分发这些策略。选择否的话保存这条策略但不分发出去。
下面配置LiveUpdate Content,这个策略是说客户机需要更新哪些模块和项目。
同理新建或者编辑一条策略。
在这里定义要更新的安全模块和项目。我主要讲个两个知识点
一是Use latest available 和Select a revision 的区别。Use latest available就是客户机去update服务器上最新的更新内容。而seclect a revision就是手工指定要更新哪个版本模块,在一些安全级别较高的企业环境中,可能需要对每个补丁做测试,以免出现bug影响生产环境。这样通常做法是先选择当前稳定的补丁做为可更新的内容。然后将病毒库更新到最新,并且测试后再将版本改到当前最新的版本。
二是和之前LiveUpdate Settings有关,如果之前选择了Use a LiveUpdate Server,并且在这里又选择了指定版本,那么,只有当指定版本为最新版本时,客户机才会从Symantec服务器上去更新数据库,否则不执行。
下面我介绍下其他策略
Antivirus and Antispyware是防毒策略,默认有三条策略,分别针对普通,高安全性,高性能。当然你也可以根据企业自身环境进行定制和修改。
Firewall 防火墙策略,主要定义一些allow和deny的规则。
Intrusion Prevention Policies入侵检测策略
通过对流量特征行为的分析,匹配策略所定义的项目就看做是入侵行为,进行相应的措施。由于要分析特征行为,所以需要掌握一定的行为特征码,在Add Custom Intrusion Prevention Signature中添加进去,这样定制的入侵防御系统就形成了。
Application and Device Control 程序和设备控制策略
这里的配置比较多,也比较麻烦,功能是可以对客户应用程序和机器上的端口做限制,比如限制程序修改注册表,禁用USB端口等等(可以具体到限制哪个USB端口)。
下面我来介绍下客户端排错工具。
对于客户端而言,能够顺利和服务器通信是很重要的,这就意味着客户端能够接受服务器的管理和下载到数据库中的病毒码。正常情况下应该呈现出标示,如果绿色点变成黄色感叹号,则说明可能是病毒码出了问题,如果是红色点就说明和服务器通信有问题。Symantec为我们提供了很好的排错工具。打开客户端,选择Help and Support,点击Download Support Tool就能下载工具了。
我们可以用这个非常好使的工具进行排错,Accept以后,勾选想检查的项目,就能智能排错了。
如果看到红色项目则需要进行修正。下面举个例子。
这里我检查出来客户端无法得到病毒库的一个报错
点击Click for more,可以打开一篇文档,对着文档的步骤可以把问题解决。
其实就这么简单,在大部分的情况下文档能够解决很多问题。
Symantec服务器版的配置简介就到这里,当然根据不同企业环境,要设置的参数和策略都是不同的,在设置完策略后,都需要进行一定量的测试才能真正应用的生产环节中。本文作为一个概述希望对大家能有所帮助,如果有质疑或者疑问欢迎大家提出和讨论!