Сегодня мы рассмотрим параметры неуправляемого клиента комплексного антивируса Symantec Endpoint Protection и настроим оптимально. Антивирусный продукт Symantec Endpoint Protection довольно удачное решение, сочетает в себе хорошие показатели защиты компьютера и высокое быстродействие.
Наше руководство вам покажет как настроить оптимально комплексный антивирусный пакет Symantec Endpoint Protection для лучшей безопасности компьютера. Давайте посмотрим на параметры и настроим антивирус, чтобы улучшить защитные свойства и повысить удобство использования.
Оптимальная настройка Symantec Endpoint Protection
Запустите антивирус и перейдите в меню «Изменить параметры«. Откройте настройки параметров «Защиты от вирусов и программ-шпионов«.
Теперь, на вкладке «Download Instinct» можно немного повысить уровень чувствительности — до высокого «6«.
Зайдите в раздел «Автоматическая защита» и нажмите «Дополнительно«.
Активируйте пункт «Сканировать файл при изменении«, если продукт сильно влияет на быстродействие при операциях с файлами и считается что допустимо ослабить защиту.
Откройте настройки «Превентивной защиты от угроз«.
Перейдите на вкладку «Обнаружение изменения системы» и поставьте значение «Блокировать» для изменений «DNS» и файла «Hosts«.
Зайдите в параметры «Защиты от сетевых угроз и эксплойтов нулевого дня«.
Перейдите в «Сеть Microsoft Windows«, снимите галочки с «Показать папки и принтеры в сети» и «Разрешить общий доступ к моим папкам и принтерам в сети«. Это позволит скрыть ваш компьютер и убережет от хакерских атак.
На завершающей стадии, пройдите в «Параметры управления клиентами«.
После выполнения всех мероприятий по настройке, неуправляемый клиент комплексного антивируса Symantec Endpoint Protection будет защищать ваш компьютер работая оптимальней и надежней.
Источник
Создание и развертывание политик брандмауэра Windows для Endpoint Protection в Configuration Manager Create and deploy Windows Firewall policies for Endpoint Protection in Configuration Manager
Область применения: Configuration Manager (Current Branch) Applies to: Configuration Manager (current branch)
Политики брандмауэра для Endpoint Protection в Configuration Manager позволяют выполнять основные задачи по настройке и обслуживанию брандмауэра Windows на клиентских компьютерах в иерархии. Firewall policies for Endpoint Protection in Configuration Manager let you perform basic Windows Firewall configuration and maintenance tasks on client computers in your hierarchy. Политики брандмауэра Windows можно использовать для выполнения следующих задач: You can use Windows Firewall policies to perform the following tasks:
включение и отключение брандмауэра Windows; Control whether Windows Firewall is turned on or off.
управление разрешением входящих подключений к клиентским компьютерам; Control whether incoming connections are allowed to client computers.
настройка оповещений пользователей о блокировании новых программ брандмауэром Windows. Control whether users are notified when Windows Firewall blocks a new program.
В консоли Configuration Manager щелкните элемент Активы и соответствие. In the Configuration Manager console, click Assets and Compliance.
В рабочей области Активы и соответствие разверните узел Endpoint Protectionи щелкните Политики брандмауэра Windows. In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Firewall Policies.
На вкладке Главная в группе Создать щелкните элемент Создать политику брандмауэра Windows. On the Home tab, in the Create group, click Create Windows Firewall Policy.
На странице Общие мастера создания политики брандмауэра Windowsукажите имя и описание (необязательно) для этой политики брандмауэра, затем нажмите кнопку Далее. On the General page of the Create Windows Firewall Policy Wizard, specify a name and an optional description for this firewall policy, and then click Next.
На странице Параметры профиля мастера настройте перечисленные ниже параметры для сетевых профилей. On the Profile Settings page of the wizard, configure the following settings for each network profile:
Дополнительные сведения о сетевых профилях см. в документации Windows. For more information about network profiles, see the Windows documentation.
Включение брандмауэра Windows Enable Windows Firewall
Если переключатель Включить брандмауэр Windows не установлен, другие параметры на этой странице мастера недоступны. If Enable Windows Firewall is not enabled, the other settings on this page of the wizard are unavailable.
Блокирование всех входящих подключений, включая подключения, указанные в списке разрешенных программ Block all incoming connections, including those in the list of allowed programs
Уведомлять пользователя, когда брандмауэр Windows блокирует новую программу Notify the user when Windows Firewall blocks a new program
На странице мастера Сводка просмотрите список необходимых действий и завершите работу мастера. On the Summary page of the wizard, review the actions to be taken, and then complete the wizard.
Развертывание политики брандмауэра Windows To deploy a Windows Firewall policy
В консоли Configuration Manager щелкните элемент Активы и соответствие. In the Configuration Manager console, click Assets and Compliance.
В рабочей области Активы и соответствие разверните узел Endpoint Protectionи щелкните Политики брандмауэра Windows. In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Firewall Policies.
В списке Политики брандмауэра Windows выберите политику брандмауэра Windows для развертывания. In the Windows Firewall Policies list, select the Windows Firewall policy that you want to deploy.
На вкладке Главная в группе Развертывание нажмите кнопку Развернуть. On the Home tab, in the Deployment group, click Deploy.
В диалоговом окне Развернуть политику брандмауэра Windows укажите коллекцию, которой требуется назначить эту политику брандмауэра, и задайте расписание назначения. In the Deploy Windows Firewall Policy dialog box, specify the collection to which you want to assign this Windows Firewall policy, and specify an assignment schedule. Политика брандмауэра Windows выполнит проверку соответствия по этому расписанию и изменит параметры брандмауэра на клиентах в соответствии с данной политикой. The Windows Firewall policy evaluates for compliance by using this schedule and the Windows Firewall settings on clients to reconfigure to match the Windows Firewall policy.
При развертывании политики брандмауэра Windows для коллекции она применяется к компьютерам в произвольном порядке в течение двухчасового периода, что позволяет избежать перегрузки сети. When you deploy a Windows Firewall policy to a collection, this policy is applied to computers in a random order over a 2 hour period to avoid flooding the network.
Источник
Обзор Symantec Endpoint Protection 12
Выбор корпоративного антивируса дело не простое и требует тщательного отбора претендентов. Современные решения часто предлагаются в виде комбайна, который содержит дополнительные компоненты вроде брандмауэра и IPS, перекрывая все пути возможного заражения и снижая риски. Именно так устроен Symantec Endpoint Protection 12.
Возможности Symantec Endpoint Protection 12
Компания Symanteс издавна славилась своими продуктами обеспечивающими защиту от всевозможных современных угроз, которыми богат интернет, среди них место особое место занимают антивирусы. Многие наверное еще помнят Norton Antivirus стоявший на большинстве ПК вначале века и успешно отбивавший атаки вирусов, он и сегодня выпускается Symantec не прекратил развитие. Правда называется уже Norton Internet Security и предназначен для защиты отдельных ПК, а возможности на порядок больше. Корпоративный сектор защищает серия Symantec Endpoint Protection состоящая из трех решений:
- — Endpoint Protection Small Business Edition — для небольших компаний (не более 100 пользователей), простая установка и настройка, все данные хранятся на локальных системах;
— Endpoint Protection.cloud — реализация в виде SaaS, когда нет необходимости развертывании собственной инфраструктуры управления, обеспечивает защиту Win систем в организациях до 250 ПК;
— Endpoint Protection — наиболее оснащенное решение, обеспечивающее защиту рабочих станций и серверов работающих под управление разных ОС и виртуальных сред, предназначен для организаций с 100+ пользователями.
Далее будем знакомиться с Endpoint Protection, версия SEP 12.1 RU1 которой стала доступна в ноябре 2011 года.
Решение построено по классической для корпоративных антивирусов клиент-серверной архитектуре. Сервер Endpoint Protection Manager используется для централизованного управления настройками, обновления агентов и баз, сбора данных о состоянии и построении отчетов, управлениям лицензиями. В терминологии Symantec создаваемая при помощи SEPM структура называется сайт. В сети может быть несколько серверов, сайтов и доменов, для равномерного распределения нагрузки с репликацией данных, быстрого восстановления и организации иерархической структуры для удобства управления и делегирования полномочий.
Все настройки производится при помощи локальной или веб-консоли Web Access (9090 порт) построенных с использование Java. Их внешний вид и функциональные возможности схожи.
Консоль может интегрироваться с другими продуктами Symantec, в частности с Protection Center обеспечивая единую среду управления безопасностью, позволяя узнавать данные о новых угрозах и быстрее реагировать. Компонент IT Analytics расширяет функции отчетности Endpoint Protection за счет дополнительных функций анализа и графического представления данных.
Для хранения настроек и информации о клиентах используется СУБД. Для сетей до 5000 систем с одним сервером управления можно использовать встроенную базу данных, которая устанавливается автоматически и не требует дополнительного конфигурирования. Если клиентов больше, или планируется развернуть несколько EP Manager с репликацией данных или балансировкой нагрузки следует установить MS SQL Server.
В агент устанавливаемый на конечные системы, интегрировано нескольких механизмов защиты:
Агент умеет проверять почту приходящую по POP3/SMTP, интегрируется с MS Outlook и IBM Lotus Notes. Кроме этого клиент адаптирован для применения в виртуальной среде, упрощая создания политик, уменьшая нагрузку на VM и количество операций I/O, в том числе, исключая файлы стандартного образа из проверки (Virtual Image Exception). При помощи специального сервера Shared Insight Cache агенты обмениваются результатами сканирования и одинаковые файлы проверяются только один раз, что сокращает нагрузку на систему и уменьшает время сканирования. Также блокируется одновременный запуск проверки на нескольких VM. Поддерживаются продукты от VMWare, MS Virtual Server и Hyper-V, Novell Xen.
Клиент (как это и принято в подобных продуктах) управляется с сервера SEP, но если система работает автономно редко подключаясь к корпоративной сети может использоваться так называемый «неуправляемый клиент». В последнем варианте пользователь самостоятельно управляет настройками антивируса. Обновление программных модулей и антивирусных баз производится при помощи дополнительного компонента LiveUpdate, сам процесс может запускаться во время бездействия клиентов.
Доступны версии агента под разные ОС (Win, Linux и Mac OS X), что позволяет защитить все компьютеры в гетерогенной среде. Интерфейс клиентской части для Windows полностью русифицирован, для остальных ОС — только английская версия. Лицензируется SEP по количеству клиентов, консоль SEPM дополнительной лицензии не требует. После установки дается весьма продолжительный 60-ти дневный тестовый период позволяющий оценить SEP в действии, полностью развернуть и настроить агенты.
Полностью список поддерживаемых клиентских ОС можно найти в документе «Symantec Endpoint Protection 12.1. Спецификация: Защита конечных систем».
Для установки агента потребуется компьютер с процессором класса Intel Pentium III 1 ГГц и выше, 512 МБ ОЗУ (рекомендуется 1 ГБ ОЗУ) и 700 МБ места на харде.
Клиент Symantec Endpoint Protection для Win поддерживает версии 2k, XP, Vista, 7 и серверные 2k3/2k8. Включая Small/Essential Business Server. Клиент для Linux поддерживает установку на: Debian 4/5/6, Ubuntu 8.04-11.04, Fedora 10/12/13/15, SLES/SLED 9/10/11, RHEL, Novell Linux Desktop 9 и Open Enterprise Server.
Клиент Symantec Endpoint Protection для Mac
— Mac на базе PowerPC с Mac OS X 10.4-10.5x;
— Mac на базе Intel с Mac OS X 10.4-10.7 (i86 и x64 редакции).
Сервер управления Endpoint Protection Manager требует компьютер не ниже Pentium III 1 ГГц, с 1 Гб ОЗУ (4 Гб рекомендуется) с 4+4 Гб свободного места (сервер+БД), работающий под управлением Win XP-2k8. В качестве сервера базы данных можно использовать встроенную БД или MS SQL Server 2kSP4/2k5SP2/2k8.
Еще один необязательный компонент — Центральный карантин получает подозрительные файлы от клиентов и передает образец для анализа в службу Symantec Security Response. Если обнаруживается новый вирус, генерируется обновление.
Документация всегда была сильной стороной Symantec, для закачки доступен отдельный пакет с документацией и дополнительными утилитами размером 411 Мб. Часть из руководств переведена на русский язык, что упрощает знакомство с SEP. Для сисадминов предназначено «Руководство по внедрению Symantec Endpoint Protection и Symantec Network Access Control» на 1167 страницах которого можно найти ответы практически на все вопросы.
Установка SEP Manager
Сервер управления SEP Manager можно установить только на ОС Windows. Сам процесс не очень сложен, но требует некоторой внимательности. После запуска setup.exe появится окно приветствия, которое кроме собственно установки SEPM предлагает ссылки позволяющие ознакомиться с предварительной информацией и установить другие инструменты администрирования (LiveUpdate Администратор, сервер или консоль Центрального карантина). Под меню «Установить Symantec Endpoint Protection» скрывается два пункта позволяющие установить собственно Manager или «неуправляемый» клиент. Запускаем мастер установки SEPM, который по началу выведет список всех дальнейших этапов. 
Начинаем приема лицензионного соглашения, затем выбираем каталог, в который будет инсталлирован SEPM, и жмем «Установить». По окончанию процесса установки появится мастер настройки сервера управления, на первом экране которого предстоит определиться с конфигурацией. На выбор предлагается три варианта: Default (простая установка с одним SEPM для сети менее чем 100 ПК), Custom (выборочная настройка параметров, сети более 100 ПК) и восстановление настроек при помощи recovery файла.
В продуктах от Symanteс используется ряд механизмов позволяющих обнаруживать и блокировать 0-day вредоносный код: Insight, SONAR и Bloodhound. Технология Insight базируется на “датчиках” расположенных на миллионах компьютеров, сопоставляя обмен данными между системами, производится анализ возраста файла и источника распространения, на основании чего делается вывод о безопасности файла. Ее применение позволяет, в том числе использовать меньше системных ресурсов во время сканирования, за счет проверки только файлов подверженных угрозам. Чтобы уменьшить нагрузку, интеллектуальный сканер проверяет файлы во время простоя системы, поэтому пользователь не замечает работы антивируса. Технология SONAR использует поведенческо-репутационный подход – блокирует 0-day уязвимости и узконаправленные угрозы по результатам анализа и сопоставлением с профилем.
Проактивная технология Bloodhound технологией изолирует некоторые области файлов и в случае попыток проникновения других программ за этот периметр их действия анализируется и и принимается решение о степени опасности.
Выбираем вариант Custom и вводим количество ПК в сети, которыми будет управлять SEPM. Так как сервер у нас пока единственный на следующем шаге создаем новый сайт. Среди альтернативных вариантов — установка дополнительного сервера, подключение к существующему сайту или установка дополнительного сайта. Далее задаем имя сайта и сервера, и проверяем номера портов используемых компонентами SEPM, чтобы не было конфликтов с другими приложениями. На следующем экране необходимо выбрать между встроенной базой данных (по умолчанию) или внешней. Во втором случае далее понадобится либо создать новую базу данных, либо указать параметры подключения к существующей. После этого создаем учетную запись администратора (логин фиксированный admin) указав пароль и email. Для связи клиентов с сервером управления используется пароль, который задаем вручную или генерируем автоматически. Этот же пароль используется при восстановлении работы антивирусной сети. Чтобы SEPM мог отправлять уведомления от имени администратора, на следующем шаге указываем параметры SMTP сервера и адрес админа. Правильность параметров можно проверить, нажав кнопку «Send Test Email». Определяем, будет ли сервер SEPM отправлять информацию о работе антивируса в Symantec, после чего некоторое время ждем пока произойдет инициализация базы данных. На этом установка закончена. Отметив в последнем окне флажки можно сразу запускать консоль управления и/или запустить мастер миграции с Symantec Antivirus.
Консоль SEPM
После регистрации в консоли управления увидим отдельное окно в котором будет выведен список первоначальных задач, ссылки для их выполнения и небольшой гид по продукту. Отсюда можно: проверить статус лицензий, настроить автоматическое обновления LiveUpdate, развернуть агентов и настроить параметры сервера SEPM. Если закрыть окно быстро перейти к названным задачам можно выбрав ее в списке Common Task, который находится в правом верхнем углу.
Консоль визуально разделена на два поля. Элементы основного меню администратора (Номе, Monitors, Reports, Policies, Clients и Admin) расположены слева на вертикальной панели, в большом поле справа производятся все настройки. После выбора определенных пунктов будут также доступны подменю, некоторая их часть находится внизу экрана и не сразу бросается в глаза.
В первом окне (Home) выводится основная информация о глобальном уровне угроз, статусе защиты антивирусной сети и доступ к основным отчетам, что позволяет администратору оценить ситуацию сразу же после регистрации.
Настройки сервера и учетной записи администратора, находятся в меню Admin. Выбрав этот пункт, можно установить новый сертификат сайта (при установки SEPM генерируется самоподписанный сертификат), изменить настройки серверов SEPM подключенных к консоли, добавить/изменить домен (после установки имеем один домен Default), подключить LDAP/Active Directory или сервер репликации, аутентификацию Secure ID и многое другое.
По умолчанию через 1 час администратору необходимо будет перелогиниться, при первых настройках это очень мешает. Поэтому переходим в Admin — Servers — Local Site нажимаем Edit Site Properties и устанавливаем большее значение в General — Console timeout. В остальных подкладках производится настройка подключения к LiveUpdate, оптимизация работы веб-сервера, разрешается сброс пароля администратора (если забыл) и прочие настройки. 
Чтобы просмотреть сводки об угрозах, событиях произошедших в антивирусной сети, различные уведомления и информацию о командах которые выполнял администратор, доступны в меню Monitors. В Reports найдем несколько видов отчетов наглядно представляющих информацию, как в графическом, так и текстовом виде.
Развертывание клиентов
Теперь, когда сервер настроен, можно приступать к подключению клиентских ПК, но в начале следует установить агента на удаленных системах. Для этого в консоли SEPM при помощи мастера развертывания клиентов создаем пакет. Этот пакет в дальнейшем можно распространить среди ПК любым удобным способом — встроить в образ, через групповые политики AD или просто запустить вручную на удаленной системе. 
Неуправляемый клиент устанавливается из меню развертывания SEPM, на этапе «Тип клиента» можно указать и вариант «Управляемый клиент», но выбор этого пункта приведет лишь к выходу из мастера.
Компоненты SEPM использует несколько портов, которые должны быть открыты правилами файервола — 8014 (подключение клиентов), 8443 (удаленное управление сервером), 9090 (веб-консоль), 8444 (веб-сервис), 8765 (управление сервером), 8445 (отчеты). При развертывании клиентов понадобится открыть еще: 137 — 139, 445, 2967.
Запускаем Client Deployment Wizard и в первом окне выбираем New Package Deployment. Далее основное окно настроек в котором следует выбрать тип установочного пакета (Win 32/64 или Mac), группу к которой будет применена установка, набор компонентов (полная защита для сервера или клиентов, базовая защита сервера), содержимое (все или выборочно) и режим работы (компьютер или пользователь). Определяемся со способом установки клиентов: веб-ссылка и электронная почта, удаленная рассылка (Remote Push) и просто сохранить пакет, для установки/распространения любым другим способом. В первом варианте генерируется ссылка, перейдя по которой пользователь самостоятельно скачивает и устанавливает пакет (при наличии прав локального админа). Во втором — весь процесс происходит автоматически, для этого производится поиск компьютеров в сети, затем администратор отбирает нужные и приступает к установке (будут запрошены данные пользователя с правами админа). После установки агента потребуется перезапуск компьютеров.
Далее всеми настройками можно управлять из консоли SEPM при помощи политик. Для упрощения распространения однотипных установок используется концепция групп, по которым распределяются компьютеры или пользователи. 
Выбрав в списке нужную группу в поле, справа получаем возможность редактирования политик и прочих установок. После установки в консоли Clients присутствует группа верхнего уровня My Company с одной группой по умолчанию Default Group. Далее администратор самостоятельно создает группы (поддерживается несколько уровней вложенности), возможно наследование политик групп и копирование групп. 
Настройка политик
Общие настройки работы различных компонентов антивируса производятся в разделе Policies. Политики разделены на несколько типов которые соответствуют компонентами антивируса — Virus And Spyware Protection, Firewall, Intrusion Prevension, Application and Device Control, LiveUpdate и Exception. Выбрав любой из пунктов получим доступ к более подробным настройкам. Например, перейдя в настройки политик защиты от вирусов и программ-шпионов найдем три предустановки — рекомендуемая, повышенная и высокая безопасность. При создании новой или редактировании имеющейся политики откроется окно содержащее себя две группы настроек (отдельно для Win и Mac). В них определяются параметры сканирования файлов, использование дополнительных технологий (Insight, SONAR), действия при обнаружении вредоносных файлов, приоритет использования ресурсов, карантин, проверка email и многое другое. Большинство параметров должно быть знакомо тем, кто хоть раз сталкивался с настройками обычного антивируса и файервола. Администратор может разрешить пользователю самостоятельно изменять некоторые установки. Они отмечены значком в форме замка. Если замок закрыт, то локальное изменение блокировано.
Вывод
В целом SEP12 очень простой в работе и надежный продукт, использование которого не должно вызвать каких-либо сложностей у администратора даже с небольшим уровнем подготовки. Наличие качественной документации только упрощает процесс знакомства.
Источник