Symantec SEP 端点防护[四]

管理控制台与SEPM的通讯:
SEPM上运行IIS和Apache Web Server,8443端口用于管理任务,9090端口用于生成报告。
 
客户机与SEPM的通讯:
客户机与Apache通讯,取得策略,补丁和内容列表。
客户机再与IIS通讯,取得策略,内容和安装包,再将状态信息传递给IIS。缺省情况下,使用HTTP,数据采用静态DES加密,可以配置为使用HTTPS。
客户机与SEPM之间有心跳信号,传递信息的方式分为push mode和pull mode。当一个周期(缺省为5分钟)到达时,客户机请求从服务器更新数据,并上传客户端日志。
push mode,客户机与服务器保持永久连接,有变化时服务器向客户机发送通知,然后客户机开始心跳过程,更新数据。
pull mode,客户按照固定的周期与服务器通讯,查询更新。
 
客户机上的文件:
Sylink.xml 来自SEPM的通讯设置。包括心跳间隔,push或pull模式,manager的名字和IP,日志设置,服务器证书。
SerDef.dat 基于位置的通讯设置,加密文件。
SerState.dat 用于记录GUI的配置信息,加密文件。
 
发生客户机注册过程的条件:
1,客户机第一次连接服务器时。
2,注册表中的agent ID或host ID被删除时。
3,agent接到412消息码时(客户机在SEPM上被删除)。
4,用户模式时有新用户登录。
 
客户机注册时:
1,请求更新的策略。
2,发送日志到manager
3,检查客户机的版本并更新。
4,请求内容更新。
 
发现未经管理的计算机(未安装SEP客户端的计算机):
1,LAN Sensor 每子网一个,监视计算机启动时发出的ARP信息,发现未经管理的计算机。
2,网络审计,可以搜索一个地址段以发现未经管理的计算机。
连接到未经管理的计算机:
1,使用smc -stop命令停止SMC服务。
2,从manager或受控计算机上拷贝Sylink.xml
3,使用smc -start命令启动SMC服务。
 
客户机/服务器通讯排故:
1,ping manager
2,nslookup命令检查名称解析。
3,telnet 8443(Tomcat)和80或443(IIS)

本文出自 “西蒙[爱生活,爱学习]” 博客,谢绝转载!

你可能感兴趣的:(安全,休闲,endpoint,赛门铁克,SEP)