Symantec SEP 端点防护[四]

管理控制台与SEPM的通讯：
SEPM上运行IIS和Apache Web Server，8443端口用于管理任务，9090端口用于生成报告。

 

客户机与SEPM的通讯：
客户机与Apache通讯，取得策略，补丁和内容列表。
客户机再与IIS通讯，取得策略，内容和安装包，再将状态信息传递给IIS。缺省情况下，使用HTTP，数据采用静态DES加密，可以配置为使用HTTPS。
客户机与SEPM之间有心跳信号，传递信息的方式分为push mode和pull mode。当一个周期（缺省为5分钟）到达时，客户机请求从服务器更新数据，并上传客户端日志。
push mode，客户机与服务器保持永久连接，有变化时服务器向客户机发送通知，然后客户机开始心跳过程，更新数据。
pull mode，客户按照固定的周期与服务器通讯，查询更新。

 

客户机上的文件：
Sylink.xml 来自SEPM的通讯设置。包括心跳间隔，push或pull模式，manager的名字和IP，日志设置，服务器证书。
SerDef.dat 基于位置的通讯设置，加密文件。
SerState.dat 用于记录GUI的配置信息，加密文件。

 

发生客户机注册过程的条件：
1，客户机第一次连接服务器时。
2，注册表中的agent ID或host ID被删除时。
3，agent接到412消息码时（客户机在SEPM上被删除）。
4，用户模式时有新用户登录。

 

客户机注册时：
1，请求更新的策略。
2，发送日志到manager
3，检查客户机的版本并更新。
4，请求内容更新。

 

发现未经管理的计算机（未安装SEP客户端的计算机）：
1，LAN Sensor 每子网一个，监视计算机启动时发出的ARP信息，发现未经管理的计算机。
2，网络审计，可以搜索一个地址段以发现未经管理的计算机。

连接到未经管理的计算机：
1，使用smc -stop命令停止SMC服务。
2，从manager或受控计算机上拷贝Sylink.xml
3，使用smc -start命令启动SMC服务。

 

客户机/服务器通讯排故：
1，ping manager
2，nslookup命令检查名称解析。
3，telnet 8443（Tomcat）和80或443（IIS）

本文出自 “西蒙[爱生活，爱学习]” 博客，谢绝转载！