[sep] Решения

Руководство по работе срешениями Symantec™Endpoint Protection иSymantec Network AccessControl

Руководство по работе с решениями Symantec™Endpoint Protection и Symantec Network AccessControl

Программное обеспечение, описанное в этой книге, поставляется с лицензионнымсоглашением и может использоваться только при соблюдении условий этогосоглашения.

Версия документации: 11.00.00.00.01

Юридическая информацияCopyright © 2007 Symantec Corporation.

Все права защищены.

Symantec, эмблема Symantec, LiveUpdate, Sygate, Symantec AntiVirus, TruScan,Bloodhound, Confidence Online, Digital Immune System и Norton являются товарнымизнаками или зарегистрированными товарными знаками компании SymantecCorporation или ее дочерних компаний в США и других странах. Другие наименованияявляются товарными знаками соответствующих владельцев.

Продукт, описанный в этом документе, распространяется на условиях лицензии,ограничивающей его использование, копирование, распространение идекомпиляцию/получение исходного кода. Запрещается воспроизведение любыхфрагментов этого документа без письменного согласия Symantec Corporation и еелицензиаров (если они есть).

ДОКУМЕНТАЦИЯ ПРЕДОСТАВЛЯЕТСЯ НА УСЛОВИЯХ "КАК ЕСТЬ", БЕЗ КАКИХ-ЛИБОЯВНЫХ И ПОДРАЗУМЕВАЕМЫХ УСЛОВИЙ, УТВЕРЖДЕНИЙ И ГАРАНТИЙ, ВКЛЮЧАЯЛЮБЫЕ ГАРАНТИИ ТОВАРНОГО СОСТОЯНИЯ, ПРИГОДНОСТИ ДЛЯ КАКОЙ-ЛИБОЦЕЛИ ИЛИ НЕНАРУШЕНИЯ ПРАВ, ПРИ УСЛОВИИ, ЧТО ПОДОБНЫЙ ОТКАЗ НЕПРОТИВОРЕЧИТ ЗАКОНУ. SYMANTEC CORPORATION НЕ НЕСЕТ ОТВЕТСТВЕННОСТИЗА КАКОЙ-ЛИБО СЛУЧАЙНЫЙ ИЛИ ОПОСРЕДОВАННЫЙ УЩЕРБ, СВЯЗАННЫЙ СКОМПЛЕКТАЦИЕЙ ИЛИ ИСПОЛЬЗОВАНИЕМ ДАННОЙ ДОКУМЕНТАЦИИ.СОДЕРЖАЩАЯСЯ В ДОКУМЕНТАЦИИ ИНФОРМАЦИЯ МОЖЕТ БЫТЬ ИЗМЕНЕНА БЕЗПРЕДВАРИТЕЛЬНОГО УВЕДОМЛЕНИЯ.

Лицензионное программное обеспечение и Документация считаются коммерческимкомпьютерным программным обеспечением в соответствии с определением, даннымв документе FAR 12.212, в отношении которого действуют ограниченные права,указанные в части 52.227-19 документа FAR, "Commercial Computer Software - RestrictedRights", и в части 227.7202 документа DFARS, "Rights in Commercial Computer Softwareor Commercial Computer Software Documentation", и последующих предписаниях.Любое использование, изменение, воспроизводство, выполнение, демонстрация ираскрытие Лицензионного программного обеспечения и Документации должноосуществляться правительством США исключительно на условиях данногоСоглашения.

Symantec Corporation20330 Stevens Creek Blvd.Cupertino, CA 95014

http://www.symantec.ru

Обслуживание и техническая поддержкаКомпания Symantec стремится обеспечивать высокое качество обслуживанияклиентов во всем мире. Она предоставляет помощь профессионалов в любойточке мира для решения вопросов, связанных с применением программногообеспечения и услуг.

Порядок обслуживания клиентов и технической поддержки в разныхстранах различен.

Если у вас возникнут вопросы относительно описанных ниже услуг,обратитесь к разделу «Центры обслуживания клиентов и техническойподдержки».

Регистрация и лицензииЕсли для работы с продуктом необходима регистрация или код лицензии,рекомендуем вам обратиться на веб-узел регистрации и лицензированияфирмы Symantec, расположенный по адресу www.symantec.com/certificate.Кроме того, можно обратиться по адресуhttp://www.symantec.com/techsupp/ent/enterprise.html, выбрать программныйпродукт, который необходимо зарегистрировать, и воспользоватьсясоответствующей ссылкой для лицензирования и регистрации на домашнейстранице этого продукта.

Если вы приобрели подписку на техническую поддержку, то для решениятехнических вопросов можно обратиться в компанию Symantec по телефонуили через Интернет. При первом обращении в службу техническойподдержки будьте готовы назвать номер вашего лицензионного сертификатаили контактный идентификатор, полученный при регистрации продукта,чтобы сотрудники службы поддержки могли проверить ваше право наполучение соответствующей услуги. Если вы не приобрели подписку натехническую поддержку, то для получения подробных сведений опредоставляемых услугах технической поддержки обратитесь в отделобслуживания клиентов фирмы Symantec или по месту приобретенияпродукта.

Обновление средств защитыСамые последние сведения о вирусах и потенциальных угрозах можнополучить на веб-узле Symantec Security Response (ранее называвшемсяЦентром антивирусных исследований – Antivirus Research Center) по адресу:

http://securityresponse.symantec.com.

На этом веб-узле представлены обширные сведения по вопросамобеспечения безопасности и о вирусных угрозах, а также новейшие файлы

http://www.symantec.com/techsupp/ent/enterprise.html

http://securityresponse.symantec.com

описаний вирусов. Описания вирусов также можно загрузить с помощьюфункции LiveUpdate, входящей в состав программных продуктов.

Продление подписки на получение антивирусных обновленийПриобретение вместе с программным продуктом пакета услуг по егообслуживанию позволяет загружать бесплатные обновления описанийвирусов на протяжении срока действия договора об обслуживании. Еслисрок действия договора об обслуживании закончился, обратитесь по меступриобретения продукта или в отдел обслуживания клиентов компанииSymantec за информацией об условиях продления договора обобслуживании.

Веб-узлы компании SymantecДомашняя страница Symantec на различных языках

■ На английском языке:http://www.symantec.com

■ На французском языке:http://www.symantec.fr

■ На немецком языке:http://www.symantec.de

■ На итальянском языке:http://www.symantec.it

■ На голландском языке:http://www.symantec.nl

Symantec Security Response

■ http://securityresponse.symantec.com

Страница обслуживания и поддержки Symantec для предприятий

■ http://www.symantec.com/techsupp/ent/enterprise.html

Бюллетени новостей для отдельных продуктов

■ США и Тихоокеанский регион, на английском языке:http://www.symantec.com/techsupp/bulletin/index.html

■ Европа, Ближний Восток и Африка, на английском языке:http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html

■ На французском языке:http://www.symantec.com/region/fr/techsupp/bulletin/index.html

■ На немецком языке:

http://www.symantec.com

http://www.symantec.fr

http://www.symantec.de

http://www.symantec.it

http://www.symantec.nl


http://www.symantec.com/techsupp/ent/enterprise.html

http://www.symantec.com/techsupp/bulletin/index.html

http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html

http://www.symantec.com/region/fr/techsupp/bulletin/index.html

http://www.symantec.com/region/de/techsupp/bulletin/index.html

■ На голландском языке:http://www.symantec.com/region/nl/techsupp/bulletin/index.html

■ На итальянском языке:http://www.symantec.com/region/it/techsupp/bulletin/index.html

Техническая поддержкаЯвляясь составной частью центра Symantec Security Response, наша группаглобальной технической поддержки обеспечивает работу центровподдержки по всему миру. Нашей основной деятельностью являются ответына вопросы о функциях и программных продуктах, их установке и настройке,а также пополнение базы знаний, доступной через Интернет. Мы работаемв тесном сотрудничестве с другими подразделениями компании Symantec,что позволяет отвечать на ваши вопросы в кратчайшие сроки. Например,мы сотрудничаем с отделом разработки продуктов и с антивируснымиисследовательскими центрами для обеспечения работы служб оповещенияи обновления описаний вирусов в случае распространения новых вирусови для рассылки оповещений. Мы предлагаем следующие услуги:

■ различные варианты поддержки, позволяющие выбрать наборнеобходимых услуг для организации любого размера;

■ предоставление поддержки по телефону и через Интернет, что позволяетнайти решение в кратчайшие сроки и получить самую свежуюинформацию;

■ обновления программных продуктов, позволяющие автоматическиобновлять средства защиты;

■ обновления сигнатур и описаний вирусов, обеспечивающие высокийуровень безопасности;

■ глобальная поддержка с участием специалистов центра Symantec SecurityResponse, доступная ежедневно и круглосуточно по всему миру нанескольких языках;

■ дополнительные функции, такие как служба оповещения Symantec ивозможность назначения менеджера по техническим вопросам,расширяющие возможности для получения эффективной ипрофессиональной поддержки.

Сведения о предлагаемых в настоящее время программах поддержки можнополучить на нашем веб-узле.

Что необходимо для обращения в службу поддержки


http://www.symantec.com/region/nl/techsupp/bulletin/index.html

http://www.symantec.com/region/it/techsupp/bulletin/index.html

Пользователи, заключившие договор о технической поддержке, могутобращаться в службу технической поддержки по телефону или черезИнтернет по следующему адресу или по одному из указанных нижевеб-адресов региональных служб поддержки.

www.symantec.com/techsupp/ent/enterprise.html

При обращении в службу поддержки вам потребуется сообщить следующуюинформацию:

■ номер версии программного продукта;

■ сведения об аппаратном обеспечении;

■ объем оперативной памяти, емкость диска, сведения о сетевом адаптере;

■ сведения об операционной системе;

■ номер версии и пакета обновления;

■ топология сети;

■ сведения о маршрутизаторе, шлюзе и IP-адресах;

■ описание возникших неполадок;

■ сообщения об ошибках, файлы журналов;

■ действия по устранению неполадок, выполненные перед обращениемв компанию Symantec;

■ сведения об изменениях, недавно внесенных в конфигурациюпрограммного обеспечения или сети.

Обслуживание клиентовВ Центре обслуживания клиентов компании Symantec можно получитьсведения по вопросам, не связанным с технической поддержкой, например:

■ общие сведения о продукте (например, основные функции,поддерживаемые языки, торговые представительства в вашем регионеи т.д.);

■ основные методы устранения неполадок, например, как узнать версиюпродукта;

■ последние данные об обновлениях программного продукта;

■ инструкции по обновлению и модернизации программного продукта;

■ инструкции по регистрации программного продукта или лицензии;

■ сведения о программах лицензирования Symantec;

■ информация о контрактах на льготное обновление и обслуживание;

www.symantec.com/techsupp/ent/enterprise.html

■ замена компакт-дисков и руководств;

■ обновление регистрационных данных в связи с изменением адреса илиимени владельца программного продукта;

■ описание различных вариантов технической поддержки, предлагаемыхкомпанией Symantec.

Подробные сведения об обслуживании клиентов можно получить на веб-узлеобслуживания и поддержки компании Symantec, а также в центреобслуживания клиентов компании Symantec. Номера телефонов и веб-адресацентра обслуживания клиентов в вашем регионе можно найти в разделе«Центры обслуживания клиентов и технической поддержки», приведенномв конце главы.

Куда обращаться за поддержкой и обслуживанием

Европа, Ближний Восток и Африка

Веб-узлы обслуживания и поддержки клиентов Symantec

■ На английском языке:www.symantec.com/eusupport/

■ На французском языке:www.symantec.fr/frsupport

■ На немецком языке:www.symantec.de/desupport/

■ На итальянском языке:www.symantec.it/itsupport/

■ На голландском языке:www.symantec.nl/nlsupport/

■ FTP-узел компании Symantec: ftp.symantec.com (Загрузка сведений потехническим вопросам и последних пакетов обновлений)

Посетите веб-узлы обслуживания и поддержки клиентов Symantec, накоторых можно найти технические и общие сведения о различныхпрограммных продуктах.

Symantec Security Response

■ http://securityresponse.symantec.com

Бюллетени новостей для отдельных продуктов

■ США, на английском языке:http://www.symantec.com/techsupp/bulletin/index.html

www.symantec.com/eusupport/

www.symantec.fr/frsupport

www.symantec.de/desupport/

www.symantec.it/itsupport/

www.symantec.nl/nlsupport/

ftp.symantec.com


http://www.symantec.com/techsupp/bulletin/index.html

■ Европа, Ближний Восток и Африка, на английском языке:http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html

■ На французском языке:http://www.symantec.com/region/fr/techsupp/bulletin/index.html

■ На немецком языке:http://www.symantec.com/region/de/techsupp/bulletin/index.html

■ На голландском языке:http://www.symantec.com/region/nl/techsupp/bulletin/index.html

■ На итальянском языке:http://www.symantec.com/region/it/techsupp/bulletin/index.html

Служба поддержки клиентов компании Symantec

Для получения информации, не касающейся технических вопросов, ирекомендаций по выполнению ряда задач можно обратиться по указаннымниже телефонам на одном из следующих языков: английском, немецком,французском или итальянском:

■ Австрия:+ (43) 1 50 137 5030

■ Бельгия:+ (32) 2 2750173

■ Дания:+ (45) 35 44 57 04

■ Финляндия:+ (358) 9 22 906003

■ Франция:+ (33) 1 70 20 00 00

■ Германия:+ (49) 69 6641 0315

■ Ирландия:+ (353) 1 811 8093

■ Италия:+ (39) 02 48270040

■ Люксембург:+ (352) 29 84 79 50 30

■ Нидерланды:+ (31) 20 5040698

http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html

http://www.symantec.com/region/fr/techsupp/bulletin/index.html


http://www.symantec.com/region/nl/techsupp/bulletin/index.html

http://www.symantec.com/region/it/techsupp/bulletin/index.html

■ Норвегия:+ (47) 23 05 33 05

■ ЮАР:+ (27) 11 797 6639

■ Испания:+ (34) 91 7456467

■ Швеция:+ (46) 8 579 29007

■ Швейцария:+ (41) 2 23110001

■ Великобритания:+ (44) 20 7744 0367

■ Другие страны:+ (353) 1 811 8093 (только на английском языке)

Почтовый адрес службы поддержки клиентов компании Symantec

■ Symantec LtdCustomer Service CentreЕвропа, Ближний Восток и Африка (EMEA):PO Box 5689Dublin 15Ireland

Европа, Ближний Восток и Африка

Компания Symantec обеспечивает техническую поддержку и обслуживаниеклиентов по всему миру. В различных странах обслуживание клиентоворганизовано по-разному. В частности, в некоторых регионах нетпредставительства компании Symantec, и указанные услугипредоставляются международными партнерами Symantec. Для полученияобщей информации обратитесь в региональный отдел обслуживания иподдержки компании Symantec.

Офисы обслуживания клиентов и технической поддержки

Австралия

■ Symantec AustraliaLevel 2, 1 Julius AvenueNorth Ryde, NSW 2113AustraliaОсновной номер телефона: +61 2 8879 1000

Факс: +61 2 8879 1001Веб-узел: http://service.symantec.comТехническая поддержка по плану Gold: 1800 805 834 [email protected]Информация о контрактах технической поддержки: 1800 808 [email protected]

Китай

■ Symantec ChinaUnit 1-4, Level 11,Tower E3, The Towers, Oriental PlazaNo.1 East Chang An Ave.,Dong Cheng DistrictBeijing 100738China P.R.C.Основной номер телефона: +86 10 8518 3338Техническая поддержка: +86 10 8518 6923Факс: +86 10 8518 6928Веб-узел: http://www.symantec.com.cn

Гонконг

■ Symantec Hong KongCentral PlazaSuite #300630th Floor, 18 Harbour RoadWanchaiHong KongОсновной номер телефона: +852 2528 6206Техническая поддержка: +852 2528 6206Факс: +852 2526 2646Веб-узел: http://www.symantec.com.hk

Индия

■ Symantec IndiaSuite #801Senteck CentrakoMMTC BuildingBandra Kurla ComplexBandra (East)Mumbai 400051, IndiaОсновной номер телефона: +91 22 652 0658Техническая поддержка: +91 22 652 0671

http://service.symantec.com

[email protected]

http://www.symantec.com.cn

http://www.symantec.com.hk

Факс: +91 22 657 0669Веб-узел: http://www.symantec.com/india

Корея

■ Symantec Korea15,16th FloorDukmyung B/D170-9 Samsung-DongKangNam-GuSeoul 135-741South KoreaОсновной номер телефона: +822 3420 8600Техническая поддержка: +822 3452 1610Факс: +822 3420 8650Веб-узел: http://www.symantec.co.kr

Малайзия

■ Symantec Corporation (Malaysia) Sdn Bhd31-3A Jalan SS23/15Taman S.E.A.47400 Petaling JayaSelangor Darul EhsanMalaysiaОсновной номер телефона: +603 7805 4910Техническая поддержка: +603 7804 9280Электронный адрес для юридических лиц: [email protected]Номер телефона для бесплатных звонков: +1800 805 104Веб-узел: http://www.symantec.com.my

Новая Зеландия

■ Symantec New ZealandLevel 5, University of Otago Building385 Queen StreetAuckland Central 1001New ZealandОсновной номер телефона: +64 9 375 4100Факс: +64 9 375 4101Веб-узел службы технической поддержки: http://service.symantec.co.nzТехническая поддержка по плану Gold: 0800 174 045 [email protected]Информация о контрактах технической поддержки: 0800 445 [email protected]

http://www.symantec.com/india

http://www.symantec.co.kr

http://www.symantec.com.my

http://service.symantec.co.nz

Сингапур

■ Symantec Singapore6 Battery Road#22-01/02/03Singapore 049909Основной номер телефона: 1800 470 0730Техническая поддержка: 1800 720 7898Обновления и подписки: 1800 470 0730Техническая поддержка по плану Gold: 0800 174 045 [email protected]Веб-узел: http://www.symantec.com.sg

Тайвань

■ Symantec Taiwan2F-7, No.188 Sec.5Nanjing E. Rd.,105 TaipeiTaiwanОсновной номер телефона: +886 2 8761 5800Техническая поддержка для организаций: +886 2 8761 5800Факс: +886 2 2742 2838Техническая поддержка по плану Gold: 0800 174 045 [email protected]Веб-узел: http://www.symantec.com.tw

Мы сделали все возможное, чтобы представленная здесь информация былаполной и точной. Тем не менее, содержащаяся в настоящем документеинформация может изменяться безо всякого уведомления. КорпорацияSymantec оставляет за собой право на внесение таких изменений безпредварительного уведомления.

http://www.symantec.com.sg

http://www.symantec.com.tw

Обслуживание и техническая поддержка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Глава 1 Общие сведения по работе с решениями . . . . . . . . . . . . . . . . . . 19

Сведения о решениях . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Раздел 1 Рекомендуемые способыадминистрирования клиентов . . . . . . . . . . . . . . . . . 21

Глава 2 Обеспечение связи компьютера клиента ссервером управления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Сведения о неполадках со связью . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Сведения о проверке обмена данными между клиентом и

сервером управления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Просмотр состояния клиента в консоли управления . . . . . . . . . . . . . . . . . . . . 25Значок состояния в клиенте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Просмотр серийного номера политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Выполнение обновления политики вручную для проверки

серийного номера политики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Применение команды ping для тестирования связи с сервером

управления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Проверка связи с сервером управления с помощью

браузера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Проверка связи с сервером управления с помощью telnet ... . . . . . . . . . . . 29Просмотр журналов IIS на сервере управления . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Просмотр журналов входящих сообщений на сервере

управления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Сведения о просмотре журнала отладки на компьютере

клиента . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Оглавление

Глава 3 Устранение неполадок при обновлениисодержимого клиентом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Устранение неполадок с обновлением содержимого вклиенте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Сведения о типах содержимого для Symantec EndpointProtection .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Определение способа получения содержимого клиентом . . . . . . . . . . . . . 36Сведения о сетевых соединениях клиентов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Сведения о проверке состояния соединения клиента . . . . . . . . . . . . . . . . . . . . 38Обеспечение связи клиента с поставщиком содержимого . . . . . . . . . . . . . 39Определение возможности получения обновлений содержимого

клиентом с сервера управления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Сравнение содержимого в клиенте с содержимым на сервере

управления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Сравнение кэша содержимого . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Сравнение версий содержимого с помощью консоли

управления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Просмотр последних загрузок LiveUpdate на сервере

управления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Проверка параметров LiveUpdate на сервере управления . . . . . . . . . . . . . . . 44Проверка параметров политики содержимого LiveUpdate ... . . . . . . . . . . 44Сведения о проверке политики параметров LiveUpdate ... . . . . . . . . . . . . . . . 45Запуск сеанса LiveUpdate вручную из консоли управления . . . . . . . . . . . . 45Что необходимо делать при неполадках, остающихся после

проверки связи и параметров LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Просмотр журнала LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Просмотр журнала отладки в клиенте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Создание журнала sylink .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Сведения о работе с программой DebugView .... . . . . . . . . . . . . . . . . . . . . . . . 48

Глава 4 Настройка мобильных и удаленных клиентов иуправление ими . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Сведения о мобильных и удаленных клиентах . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Настройка групп и расположений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Сведения об общих сценариях для мобильных и удаленных

клиентов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Критерии для функций определения расположения . . . . . . . . . . . . . . . . . . . . . 54

Настройка условий для функций определениярасположения в первом сценарии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Настройка условий для функций определениярасположения во втором сценарии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Оглавление16

Применение более строгих политик безопасности для удаленныхклиентов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Рекомендуемые параметры для политики

брандмауэра . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Рекомендуемые параметры для политики защиты от

вирусов и программ-шпионов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Рекомендуемые параметры для политики LiveUpdate ... . . . . . . . . . 60Рекомендуемые параметры для политики управления

приложениями . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Сведения об уведомлениях для клиентов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Настройка параметров управления журналом клиента . . . . . . . . . . . . . . . . . 61Управление распределением нагрузки и роумингом . . . . . . . . . . . . . . . . . . . . 62Мониторинг удаленных клиентов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Глава 5 Организация Symantec Endpoint Protection:серверы, сайты и поставщики обновленийгрупп . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Сведения о топологии управления Symantec EndpointProtection .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Учет особенностей организации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Принятие решения о создании одного или нескольких

сайтов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Выбор способа обновления содержимого . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Сведения о высокой готовности и восстановлении после

сбоя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Сведения о распределении нагрузки и роуминге . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Раздел 2 Рекомендуемые способы обеспечениябезопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Глава 6 Управление технологией превентивного поискаугроз TruScan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Обзор управления превентивным поиском угроз TruScan .... . . . . . . . . . . 75Управление исключениями . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Отслеживание событий осмотра . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Создание исключений для найденных процессов . . . . . . . . . . . . . . . . . . . . . . . . . . 79Регулировка параметров осмотра . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Алфавитный указатель . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

17Оглавление

Оглавление18

Общие сведения поработе с решениями

В этой главе рассмотрены следующие вопросы:

■ Сведения о решениях

Сведения о решенияхSymantec Endpoint Protection и Symantec Network Access Control - этокомплексы программного обеспечения, полностью решающие вопросыобеспечения безопасности сети. Они обеспечивают защиту от угроз дляпредприятий любого масштаба, от небольших до наиболее крупных. Ониспроектированы так, чтобы быть гибкими и полностью настраиваемыми сучетом различных вариантов конфигурации. Поэтому для оптимальнойнастройки и применения этих программ необходимо принять во вниманиемножество факторов.

Описанные далее решения позволяют организовать управление средойбезопасности для сети организации. В каждом решении описаны различныесценарии и приведены рекомендации и советы. Выбор решения зависит отмножества факторов, включая типы и число конечных точек, доступныересурсы технической поддержки и число сайтов. Например, в решенияхмогут учитываться вопросы, влияющие на безопасность компьютеровклиентов.

Дополнительная информация о решениях приведена в статьях базы знанийи списках вопросов на веб-сайте технической поддержки Symantec последующему адресу:

www.symantec.com/techsupp/

1Глава

www.symantec.com/techsupp/

Перед реализацией решения необходимо прочитать Руководство поустановке Symantec Endpoint Protection и Symantec Network Access Control иРуководство администратора Symantec Endpoint Protection и SymantecNetwork Access Control, а также установить программное обеспечение втестовой среде. Эти решения реализуются системным администратором,устанавливающим и обслуживающим продукт.

Общие сведения по работе с решениямиСведения о решениях

20

Рекомендуемые способыадминистрированияклиентов

■ Обеспечение связи компьютера клиента с сервером управления

■ Устранение неполадок при обновлении содержимого клиентом

■ Настройка мобильных и удаленных клиентов и управление ими

■ Организация Symantec Endpoint Protection: серверы, сайты и поставщикиобновлений групп

1Раздел

Обеспечение связикомпьютера клиента ссервером управления


■ Сведения о неполадках со связью

■ Сведения о проверке обмена данными между клиентом и серверомуправления

■ Просмотр состояния клиента в консоли управления

■ Значок состояния в клиенте

■ Просмотр серийного номера политики

■ Выполнение обновления политики вручную для проверки серийногономера политики

■ Применение команды ping для тестирования связи с серверомуправления

■ Проверка связи с сервером управления с помощью браузера

■ Проверка связи с сервером управления с помощью telnet

■ Просмотр журналов IIS на сервере управления

■ Просмотр журналов входящих сообщений на сервере управления

■ Сведения о просмотре журнала отладки на компьютере клиента

2Глава

Сведения о неполадках со связьюНеобходимость проверки обмена данными между клиентом и серверомможет быть обусловлена несколькими причинами. Например, клиент можетне получать обновления политик. Или клиент может не получатьобновления содержимого.

При возникновении неполадок со связью между сервером и клиентомпрежде всего следует проверить работу сети. Также работу сети необходимопроверить перед обращением в службу технической поддержки Symantec.

Сведения о проверке обмена данными междуклиентом и сервером управления

Проверка обмена данными между клиентом и сервером управления можетбыть выполнена несколькими способами.

В таблице Табл. 2-1 описаны действия по проверке обмена данными междукомпьютером клиента и сервером управления.

Табл. 2-1 Проверка обмена данными

ОписаниеЧто необходимопроверить

Значок состояния можно просмотреть на консолиуправления и в клиенте.

Проверьте значоксостояния клиента.

Эти серийные номера должны совпадать, если клиентобменивается данными с сервером и получаетрегулярные обновления политики.

Можно обновить политику вручную и затем сравнитьсерийные номера.

Проверьте серийныйномер политики наконсоли управления и вклиенте.

Для проверки связи клиента с сервером управленияприменяются несколько команд.

Можно выполнить следующие тесты:

■ Отправить тестовый пакет (ping) на серверуправления с клиента.

■ Открыть сеанс telnet с сервером управления склиента.

■ Подключиться к серверу управления с клиентскогокомпьютера с помощью веб-браузера.

Проверьте связь клиента ссервером управления.

Обеспечение связи компьютера клиента с сервером управленияСведения о неполадках со связью

24

ОписаниеЧто необходимопроверить

Для поиска неполадок с сетью проверьте следующее:

■ Прежде всего проверьте связь клиента с серверомуправления. Если компьютер клиента не можетотправить тестовый пакет или открыть сеанс telnetс сервером управления, то проверьте работу службыDNS клиента.

■ Проверьте маршрут клиента.

■ Проверьте, нет ли неполадок с сетью на сервереуправления.

■ Проверьте, не создает ли помех в сети брандмауэрSymantec Endpoint Protection (или другойбрандмауэр).

Проверьте, нет линеполадок с сетью.

Неполадки с обменом данными отражаются в журналеотладки клиента.

Просмотрите журналыотладки в клиенте.

Можно проверить журналы IIS на сервере управления.Журналы позволяют определить, может ли клиентобмениваться данными с сервером IIS на компьютересервера управления.

Проверьте журналы IIS насервере управления

ПросмотрсостоянияклиентавконсолиуправленияЗначок состояния клиента в консоли управления позволяет определитьсостояние клиента. Эта же возможность доступна непосредственно вклиенте.

В таблице Табл. 2-2 описаны значки, отображающие состояние клиента вконсоли управления.

Табл. 2-2 Значки состояния клиента в консоли управления

ОписаниеЗначок

Этот значок указывает на следующее состояние:

■ Клиент может обмениваться данными с Symantec EndpointProtection Manager

■ Клиент работает в режиме компьютера.

25Обеспечение связи компьютера клиента с сервером управленияПросмотр состояния клиента в консоли управления



■ Клиент не может обмениваться данными с Symantec EndpointProtection Manager


■ Возможно, клиент был добавлен с помощью консоли безустановки программного обеспечения клиента Symantec.




■ Клиент выполняет роль неуправляемого детектора.







■ Клиент работает в режиме пользователя.



■ Клиент работает в режиме пользователя.

■ Возможно, клиент был добавлен с помощью консоли безустановки программного обеспечения клиента Symantec.


■ Клиент может обмениваться данными с Symantec EndpointProtection Manager из другого сайта.






Обеспечение связи компьютера клиента с сервером управленияПросмотр состояния клиента в консоли управления

26





Как просмотреть состояние клиента в консоли управления

1 На консоли управления откройте страницу "Клиенты" и в разделе"Показать список клиентов" выберите группу.

2 Перейдите на вкладку "Клиенты".

В списке рядом со значком состояния клиента будет показано имяклиента.

Значок состояния в клиентеЗначок состояния показан в области уведомлений на компьютере клиента.Значок отображается в виде желтого щита с зеленой точкой, когда клиентможет обмениваться данными с сервером управления.

Просмотр серийного номера политикиНеобходимо сравнить серийные номера политики в клиенте и на консолиуправления. Эти серийные номера должны совпадать, если клиентобменивается данными с сервером и получает регулярные обновленияполитики.

Если серийные номера политики не совпадают, попробуйте обновитьполитики на компьютере клиента вручную и просмотрите журналыустранения неполадок.

Как просмотреть серийный номер политики на консоли управления

1 На сервере управления странице в консоли выберите Клиенты.

2 В разделе "Показать список клиентов" выберите группу и перейдите навкладку "Сведения".

В нижней части списка будут показаны серийный номер политики идата.

27Обеспечение связи компьютера клиента с сервером управленияЗначок состояния в клиенте

Как просмотреть серийный номер политики в клиенте

1 На компьютере клиента в меню "Справка и поддержка" выберитеУстранение неполадок.

2 На вкладке "Управление" найдите серийный номер политики.

Серийный номер политики должен совпадать с указанным для серверауправления.

Выполнение обновления политики вручную дляпроверки серийного номера политики

Можно обновить политику вручную для проверки получения клиентомпоследних обновлений политики. Если клиент не получает обновления, топричиной может быть нарушение связи между клиентом и сервером.

Политику можно обновить вручную одним из следующих способов:

■ В клиенте в меню "Справка и поддержка" выберите в разделе "Устранениенеполадок" пункт "Профиль политики" и нажмите кнопку Обновить.Этот способ позволяет выполнить обновление вручную в отдельномклиенте.

■ Для клиентов, настроенных в режиме получения данных, серверуправления передает политики клиентам по заданному расписанию (поконтрольному сигналу). Периодичность контрольного сигнала можноизменить, чтобы политики загружались в группу клиентов быстрее. Поистечении времени контрольного сигнала проверьте, совпадают лисерийные номера политик. Клиенты, для которых настроен режимпередачи данных, получают обновления политик немедленно.

После обновления политики вручную проверьте, совпадают ли серийныеномера политик в клиенте и в консоли управления.

Применениекомандыpingдлятестированиясвязис сервером управления

Связь между клиентским компьютером и сервером управления можнопроверить с помощью команды ping.

Обеспечение связи компьютера клиента с сервером управленияВыполнение обновления политики вручную для проверки серийного номера политики

28

Как проверить связь с сервером управления с помощью команды ping

1 На клиентском компьютере откройте командную строку.

2 Введите команду ping. Пример:

ping имя

где имя - это имя системы сервера управления. Вместо имени системыможно указывать IP-адрес сервера. В любом случае команда должнавернуть действующий IP-адрес сервера.

Если этого не происходит, проверьте DNS для клиента и маршрут кнему.

Проверкасвязиссерверомуправленияспомощьюбраузера

Проверить связь с сервером управления можно с помощью браузера.

Как проверить связь с сервером управления с помощью браузера

1 На компьютере клиента откройте веб-браузер, например, InternetExplorer.

2 В строке адреса браузера введите следующий адрес:

http://IP-адрес сервера управления/reporting/index.php

Если будет открыта страница входа в систему, то клиент можетобмениваться данными с сервером управления.

http://имя сервера управления:9090

Если открывается страница консоли Symantec Endpoint ProtectionManager, то клиент может обмениваться данными с серверомуправления.

3 Если веб-страница не открывается, то проверьте работу сети. Проверьтеработу DNS для клиента и маршрут.

Проверкасвязиссерверомуправленияспомощьюtelnet

Для проверки связи клиента с сервером IIS на сервере управления можетприменяться telnet. Если клиент может открыть сеанс telnet с портом HTTPили HTTPS сервера управления, то связь работает. По умолчанию порт HTTP- это 80; а порт HTTPS - это 443.

29Обеспечение связи компьютера клиента с сервером управленияПроверка связи с сервером управления с помощью браузера

Примечание: Для открытия сеанса telnet с сервером управления можетпотребоваться изменить правила брандмауэра.

Дополнительные сведения о брандмауэре приведены в книге Руководствоадминистратора Symantec Endpoint Protection и Symantec Network AccessControl.

Как проверить связь с сервером управления с помощью telnet

1 Запустите службу telnet на компьютере клиента.

2 В командной строке введите команду telnet. Пример:

telnet IP-адрес:80

где IP-адрес - это IP-адрес сервера управления.

Если сеанс telnet открыть не удается, проверьте работу DNS для клиентаи маршрут.

Просмотр журналов IIS на сервере управленияМожно проверить журналы IIS на сервере управления. В журналах показаныкоманды GET и POST, отправляемые при обмене данными между клиентоми сервером.

Как проверить журналы IIS на сервере управления

1 На сервере управления перейдите в каталог с журналами IIS. Обычноони расположены в следующем каталоге:

\WINDOWS\system32\LogFiles\W3SVC1

2 Откройте последний файл журнала в текстовом редакторе, например,в Notepad. Именем файла журнала может быть ex070924.log.

3 Просмотрите сообщения в журнале.

Файл должен содержать сообщения и GET, и POST.

Просмотр журналов входящих сообщений насервере управления

В этом разделе описан ключ реестра, позволяющий включить журнал длявходящих сообщений на сервере управления.

Если настроен этот ключ реестра, то сервер управления создает два журнала,ersecreg.log и exsecars.log. Эти журналы позволяют устранить неполадки

Обеспечение связи компьютера клиента с сервером управленияПросмотр журналов IIS на сервере управления

30

обмена данными между клиентом и сервером. Журналы сохраняются вкаталоге журналов входящих сообщений сервера управления.

Как проверить журналы входящих сообщений на сервере управления

◆ На сервере управления в ключе реестраHKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec EndpointProtection\SEPM задайте DebugLevel равным 3.

Обычно входящие сообщения хранятся в следующем каталоге накомпьютере сервера управления:

\Program Files\Symantec\Symantec Endpoint Protection Manager\data\

inbox\log

Открыть файл журнала можно в текстовом редакторе, например, вNotepad.

Сведения о просмотре журнала отладки накомпьютере клиента

Можно просмотреть журналы отладки в клиенте. Если клиент не можетобмениваться данными с сервером управления, то в журнале будутзарегистрированы сообщения о неполадках связи.

Просмотреть журналы отладки можно следующими способами:

■ В клиенте в меню "Справка и поддержка" выберите в разделе "Устранениенеполадок" пункт Изменить параметры журнала отладки и введите имяжурнала. Затем выберите Показать журнал.

■ Включить отладку в клиенте можно с помощью реестра.Это ключ реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec EndpointProtection\SMC\smc_debuglog_on

31Обеспечение связи компьютера клиента с сервером управленияСведения о просмотре журнала отладки на компьютере клиента

Обеспечение связи компьютера клиента с сервером управленияСведения о просмотре журнала отладки на компьютере клиента

32

Устранение неполадокпри обновлениисодержимого клиентом


■ Устранение неполадок с обновлением содержимого в клиенте

■ Сведения о типах содержимого для Symantec Endpoint Protection

■ Определение способа получения содержимого клиентом

■ Сведения о сетевых соединениях клиентов

■ Сведения о проверке состояния соединения клиента

■ Обеспечение связи клиента с поставщиком содержимого

■ Определение возможности получения обновлений содержимогоклиентом с сервера управления

■ Сравнение содержимого в клиенте с содержимым на сервере управления

■ Сравнение кэша содержимого

■ Сравнение версий содержимого с помощью консоли управления

■ Просмотр последних загрузок LiveUpdate на сервере управления

■ Проверка параметров LiveUpdate на сервере управления

■ Проверка параметров политики содержимого LiveUpdate

■ Сведения о проверке политики параметров LiveUpdate

3Глава

■ Запуск сеанса LiveUpdate вручную из консоли управления

■ Что необходимо делать при неполадках, остающихся после проверкисвязи и параметров LiveUpdate

Устранение неполадок с обновлениемсодержимого в клиенте

LiveUpdate - это название технологии обновления описаний и содержимогои распределения их по клиентским компьютерам Symantec EndpointProtection.

Клиент может получать обновления содержимого от разных поставщиковсодержимого LiveUpdate. Этими поставщиками могут быть сам серверуправления, поставщик обновлений группы, внутренний сервер LiveUpdate,Symantec LiveUpdate или программа другой фирмы.

Если клиент не получает обновления содержимого, то для устранениянеполадки рекомендуются определенные процедуры.

В таблице Табл. 3-1 описаны действия по устранению неполадок иприведены ссылки на информацию с инструкциями по их выполнению.

Табл. 3-1 Действия по устранению неполадок

Источники информацииДействие

См. "Определение способа получениясодержимого клиентом " на стр. 36.

Определение способа получениясодержимого клиентом.

См. "Сведения о проверке состояниясоединения клиента" на стр. 38.

Проверка состояния соединенияклиента.

См. "Обеспечение связи клиента споставщиком содержимого " на стр. 39.

Проверьте, может ли клиент отправитьтестовый пакет поставщикусодержимого, и подключен ли клиентк Интернету.

См. "Определение возможности полученияобновлений содержимого клиентом ссервера управления " на стр. 40.

Определение возможности полученияобновлений содержимого клиентом ссервера управления.

См. "Проверка параметров LiveUpdate насервере управления " на стр. 44.

Проверка параметров LiveUpdate,настроенных на сервере управления.

Устранение неполадок при обновлении содержимого клиентомУстранение неполадок с обновлением содержимого в клиенте

34

Источники информацииДействие

См. "Сведения о проверке политикипараметров LiveUpdate" на стр. 45.

См. "Проверка параметров политикисодержимого LiveUpdate " на стр. 44.

Проверка параметров политикиLiveUpdate.

См. "Запуск сеанса LiveUpdate вручную изконсоли управления " на стр. 45.

Запуск сеанса LiveUpdate из консолиуправления в ручном режиме дляпроверки возможности получениясодержимого клиентом.

См. "Что необходимо делать принеполадках, остающихся после проверкисвязи и параметров LiveUpdate " на стр. 46.

Если неполадки не будут устранены, топросмотрите журналы LiveUpdate насервере управления и в клиенте. Крометого, можно использовать инструментотладки.

Сведения о типах содержимого для SymantecEndpoint Protection

В Symantec Endpoint Protection используются различные типы содержимого.

В таблице Табл. 3-2 описаны типы содержимого.

Табл. 3-2 Типы содержимого

ОписаниеТип содержимого

Эти описания предназначены для защиты от вирусови программ-шпионов.

Описания для защиты отвирусов ипрограмм-шпионов

Эти сигнатуры поддерживают модуль защиты отвирусов и программ-шпионов и используются длячтения данных, сохраненных в различных форматах.

Сигнатуры деструктора

Это сигнатуры для немедленной защиты отнеизвестных угроз.

Сигнатуры эвристикипревентивного поискаугроз

Это известные коммерческие приложения, которые впрошлом вызывали ложные срабатывания.

Список коммерческихприложений дляпревентивного поискаугроз

35Устранение неполадок при обновлении содержимого клиентомСведения о типах содержимого для Symantec Endpoint Protection

ОписаниеТип содержимого

Эти сигнатуры защищают от угроз из сети иподдерживают модули обнаружения и предотвращениявторжений.

Сигнатуры дляпредотвращениявторжений

Эти сигнатуры управляют отправкой данных в службуSymantec Security Response.

Сигнатуры управленияотправкой

Определение способа получения содержимогоклиентом

Клиенты могут получать содержимое несколькими различными способами.

Определить способ получения содержимого клиентом можно следующимиметодами:

■ Просмотреть параметры сервера в политике LiveUpdate клиента в консолиуправления.

■ Просмотреть ключи реестра LiveUpdate в клиенте.

Примечание:Более подробные сведения о том, как просмотреть параметрысервера в политике LiveUpdate клиента, приведены в книге Руководствоадминистратора Symantec Endpoint Protection и Symantec Network AccessControl.

Найдите в реестре клиента ключHKEY_LOCAL_MACHINE\Software\Symantec\Symantec EndpointProtection\LiveUpdate.

Проверьте значения следующих ключей:

■ UseLiveUpdateServerЕсли этот ключ равен 1, то клиент использует внутренний серверLiveUpdate или непосредственно Symantec LiveUpdate.

■ UseManagementServerЕсли этот ключ равен 1, то клиент использует сервер управления.

■ UseMasterClientЕсли этот ключ равен 1, то клиент использует поставщик обновленийгруппы.

Если получение клиентом содержимого еще не настроено, то рассмотритетребования вашей защищенной сети.

Устранение неполадок при обновлении содержимого клиентомОпределение способа получения содержимого клиентом

36

См. "Выбор способа обновления содержимого " на стр. 69.

Сведения о сетевых соединениях клиентовЕсли клиент не получает обновления содержимого, прежде всего необходимопроверить, не нарушена ли связь в сети. Клиенты могут получатьсодержимое несколькими различными способами. Необходимо убедиться,что клиент не имеет неполадок со связью, препятствующих получениюобновлений.

См. "Сведения о проверке обмена данными между клиентом и серверомуправления " на стр. 24.

Табл. 3-3 Схема устранения неполадок со связью

Что необходимо проверитьСпособ получение содержимогоклиентом

Проверьте следующие факторы:

■ Связь клиента с сервером управления.

Symantec Endpoint Protection Manager


■ Связь клиента с поставщикомобновлений группы

■ Связь поставщика обновлений группы ссервером управления.

Поставщик обновлений группы


■ Связь клиента с внутренним серверомLiveUpdate.

■ Связь между внутренним серверомLiveUpdate и Symantec LiveUpdate.

Внутренний сервер LiveUpdate


■ Проверьте, подключен ли клиент кИнтернету.

■ Проверьте расписание LiveUpdate вполитике клиента.

Прямо с Symantec LiveUpdate

37Устранение неполадок при обновлении содержимого клиентомСведения о сетевых соединениях клиентов

Что необходимо проверитьСпособ получение содержимогоклиентом

Обратитесь к документации поставщикаэтих программ и к книге Руководство поустановке Symantec Endpoint Protection иSymantec Network Access Control. При работес инструментами других производителейдолжна быть правильно создана структуракаталогов. При возникновении неполадокобращайтесь в службу техническойподдержки Symantec.

Инструменты других производителей,например, Microsoft SMS или IBM Tivoli

Сведения о проверке состояния соединенияклиента

Для получения обновлений клиент должен подключаться к поставщикуобновлений. Проверьте, подключен ли клиент к серверу управления. Наконсоли управления откройте страницу "Клиенты" и в разделе "Показатьсписок клиентов" выберите группу. Перейдите на вкладку "Клиенты".

Должны быть выполнены оба следующих условия:

■ Клиент должен быть показан в списке.

■ Значок рядом с именем клиента должен быть зеленой точкой.

Иногда клиент может быть подключен к серверу, даже если значок непоказан в виде зеленой точки.


Обычно при нарушении связи с сервером управления клиент не можетполучать обновления. В некоторых конфигурациях клиент может получатьобновления с сервера Symantec LiveUpdate или внутреннего сервераLiveUpdate.

На компьютере клиента также можно проверить связь и даты описанийсодержимого.

На компьютере клиента можно просмотреть следующие сведения:

■ В области уведомлений компьютера клиента должен быть показан значокжелтого щита с зеленой точкой.

■ В главном окне клиента показаны даты текущих описаний содержимого.

Устранение неполадок при обновлении содержимого клиентомСведения о проверке состояния соединения клиента

38

Иногда возникают и другие неполадки, препятствующие получениюобновлений клиентом, помимо нарушения связи. Это могут быть следующиеситуации:

■ Сервер или компьютер клиента не содержит корневой сертификат группысерверов.

■ Брандмауэр Windows препятствует обмену данными.

■ Брандмауэр клиента препятствует обмену данными.

Более подробные сведения о корневом сертификате группы серверов ипараметрах брандмауэра приведены в книгеРуководствоадминистратораSymantec Endpoint Protection и Symantec Network Access Control.

Обеспечение связи клиента с поставщикомсодержимого

Необходимо обеспечить связь клиента с поставщиком содержимого

Если клиент использует поставщик обновлений в группе, то поставщикобновлений в группе должен иметь связь с сервером управления.

Если клиент получает содержимое прямо с сайта Symantec LiveUpdate, токлиент должен быть подключен к Интернету.

При работе с внутренним сервером LiveUpdate должны быть выполненыследующие условия:

■ Сервер управления должен иметь связь с внутренним серверомLiveUpdate.

■ Внутренний сервер LiveUpdate должен иметь связь с сайтом SymantecLiveUpdate.

Дополнительные сведения о внутренних серверах LiveUpdate приведены вкниге LiveUpdate: Руководство администратора.

Если клиент не может отправить тестовые пакеты на сервер управления,то возможны неполадки с сетью. Проверьте работу DNS для клиента имаршрут.


39Устранение неполадок при обновлении содержимого клиентомОбеспечение связи клиента с поставщиком содержимого

Как обеспечить связь клиента с сервером управления или поставщикомобновлений в группе

◆ В командной строке в клиенте отправьте пакет ping на серверуправления или поставщику обновлений в группе. Например, введитекоманду:

ping имя

гдеимя - это имя хоста сервера управления или поставщика обновленийв группе. Эта команда должна показать правильный IP-адрес сервераили поставщика обновлений в группе.

Определениевозможностиполученияобновленийсодержимого клиентом с сервера управления

Можно определить, какие компьютеры в настоящее время не могут получатьобновления с сервера управления.

Можно выполнить следующие проверки:

■ Запустить быстрый отчет "Компьютеры, не зарегистрированные насервере" из категории "Состояние компьютеров". Можно запуститьнастроенную версию этого отчета, в которой область поиска ограниченаконкретной группой или сайтом. Клиенты не смогут получатьсодержимое, если нарушена связь с сервером управления, и на них ненастроен прием обновлений с Symantec LiveUpdate.

■ Просмотреть журнал "Состояние компьютеров", в который заносятсяIP-адреса компьютеров клиентов и сведения о времени последнегоподключения. Также показана дата последних описаний.

Единственным способом проверки возможности получения обновленийклиентом будет сравнение с версией содержимого на сервере управления.Эту версию необходимо сравнить с версией клиента.

См. "Сравнение содержимого в клиенте с содержимым на сервереуправления " на стр. 40.

Сравнениесодержимоговклиенте с содержимымна сервере управления

Сравнить содержимое в клиенте и на сервере управления можноследующими способами:

Устранение неполадок при обновлении содержимого клиентомОпределение возможности получения обновлений содержимого клиентом с сервера управления

40

■ Можно сравнить кэш содержимого компьютера клиента с содержимымна сервере управления. Этот способ может применяться для проверкисодержимого нескольких клиентов.См. "Сравнение кэша содержимого" на стр. 41.

■ С помощью консоли управления можно создать отчеты для проверкиверсий содержимого в клиентах. В разделе "Быстрые отчеты" выберитетип отчета "Состояние компьютеров". После этого можно создать отчеты"Распределение описаний вирусов" и "Версии содержимого защиты".Затем можно проверить состояние загрузки LiveUpdate на сервереуправления Этот способ может применяться для проверки содержимогонескольких клиентов.См. "Сравнение версий содержимого с помощью консоли управления"на стр. 42.

Если содержимое в клиенте отличается от содержимого на сервереуправления, то необходимо проверить подключение клиента к сети.Проверьте также, подключен ли клиент к серверу управления.

Сравнение кэша содержимогоМожно сравнить кэш содержимого компьютера клиента с содержимым насервере управления.

Если клиент получает обновления содержимого с сервера управления, тов папке продукта клиента создаются подпапки. Подпапки нумеруютсядатами, например, 70827034. Имена подпапок клиента и сервера должнысовпадать, если клиент получает обновления с сервера управления.

Примечание: Если клиент получает содержимое прямо с LiveUpdate, то ононе кэшируется в папке расположения продукта.

41Устранение неполадок при обновлении содержимого клиентомСравнение кэша содержимого

Как сравнить кэши содержимого

1 На компьютере клиента перейдите в каталог:

\Program Files\Symantec\Symantec Endpoint Protection\ContentCache

2 На сервере управления перейдите в каталог с содержимым. Обычно этокаталог

\Program Files\Symantec\Symantec Endpoint ProtectionManager\Inetpub\content

3 Сравните папки кэша содержимого клиента с папками на сервереуправления. Затем сравните подпапки. Если клиент получаетсодержимое с сервера управления, то папки должны совпадать.

В файле ContentInfo.txt в каталоге содержимого сервера управленияперечислены имена типов содержимого и папок.

Сравнение версий содержимого с помощьюконсоли управления

Информация о содержимом клиента доступна в отчетах, создаваемыхконсолью управления. Отчет "Состояние компьютеров - Распределениеописаний вирусов" показывает версии описаний вирусов в клиентах. Прочаяинформация показана в отчете "Состояние компьютеров - Версиисодержимого защиты". Эти отчеты предоставляют информацию о последнихверсиях содержимого в клиентах.

Дополнительные сведения об отчетах приведены в книге Руководствоадминистратора Symantec Endpoint Protection и Symantec Network AccessControl.

Консоль управления позволяет просмотреть последнее содержимое припроверке состояния загрузки LiveUpdate. Можно сравнить версию,показанную в окне "Показать загрузки LiveUpdate", с версиями, показаннымив отчете.

См. "Просмотр последних загрузок LiveUpdate на сервере управления"на стр. 43.

Как сравнить версии содержимого с помощью консоли управления

1 В разделе "Отчеты" консоли управления выберите тип отчета Состояниекомпьютеров.

2 Выберите отчет Распределение описаний вирусов.

Устранение неполадок при обновлении содержимого клиентомСравнение версий содержимого с помощью консоли управления

42

3 Укажите параметры фильтра и нажмите кнопку Создать отчет.

Оставьте отчет открытым.

4 На странице "Администратор" консоли управления выберите сайт.

5 В разделе "Задачи" выберите Показать загрузки LiveUpdate.

6 Сравните версии описаний для защиты от вирусов и программ-шпионовс показанными в отчете. Если клиент получает обновления, то этиверсии должны совпадать.

Просмотр последних загрузок LiveUpdate насервере управления

Клиенты могут не получать содержимое LiveUpdate, если сервер управленияне получает обновления. Сервер управления получает обновления прямос сайта Symantec LiveUpdate (способ по умолчанию) или с внутреннегосервера LiveUpdate, получающего обновления с сайта Symantec LiveUpdate.

Консоль управления позволяет просмотреть последние загрузки LiveUpdateна сервере управления.

Сервер получает обновления от Symantec LiveUpdate по расписанию.Интервал по умолчанию составляет четыре часа. Расписание загрузки можнонастроить в окне "Свойства сайта" на странице "Администратор" консолиуправления.

Если в списке на сервере показано более старое содержимое, чем можнобыло бы ожидать, то просмотрите журнал LiveUpdate.

См. "Просмотр журнала LiveUpdate " на стр. 46.

Также необходимо проверить связь с Symantec LiveUpdate внутреннегосервера LiveUpdate.

Если показаны последние загрузки LiveUpdate, то их можно сравнить ссодержимым в клиентах.

См. "Сравнение версий содержимого с помощью консоли управления"на стр. 42.

Как просмотреть последние загрузки LiveUpdate на сервере управления

1 На странице "Администратор" консоли управления выберите Серверы.

2 В разделе "Просмотреть серверы" выберите сайт, к которому относитсяклиент.

3 В разделе "Задачи" выберите Показать загрузки LiveUpdate.

43Устранение неполадок при обновлении содержимого клиентомПросмотр последних загрузок LiveUpdate на сервере управления

Проверка параметров LiveUpdate на сервереуправления

Параметры LiveUpdate сайта, к которому относится клиент, должнысоответствовать параметрам, указанным в политике содержимого LiveUpdateклиента.

Как проверить параметры LiveUpdate на сервере управления

1 На странице "Администратор" консоли управления выберите Серверы.

2 В разделе "Просмотреть серверы" выберите сайт, к которому относитсяклиент.

3 В разделе "Задачи" выберите Изменить свойства сайта.

4 На вкладке "LiveUpdate" в разделе "Загружаемые типы содержимого"проверьте соответствие списка параметрам, указанным в политикесодержимого LiveUpdate.

Проверка параметров политики содержимогоLiveUpdate

Проверьте правильность указания следующих параметров:

■ Типы содержимого, указанные в окне "Свойства сайта" консолиуправления.

■ Типы содержимого, указанные в политике LiveUpdate, применяемойклиентом.

Клиент не получает обновления содержимого в следующих случаях:

■ Тип содержимого не выбран в окне "Свойства сайта".

■ Тип содержимого выбран в политике LiveUpdate.

Обычно в политике содержимого LiveUpdate выбирается наиболее свежеедоступное содержимое. Если в политике выбрана заданная версия, тосодержимое не обновляется при выходе других версий.

Как проверить параметры политики содержимого LiveUpdate

1 В окне консоли управления выберите Политики.

2 В разделе "Показать политики" выберите LiveUpdate

3 На вкладке "Содержимое LiveUpdate" выберите политику, применяемуюклиентом.

Устранение неполадок при обновлении содержимого клиентомПроверка параметров LiveUpdate на сервере управления

44

4 В разделе "Задачи" выберите Изменить политику.

5 На странице "Описания средств обеспечения безопасности" проверьтевыполнение следующих условий:

■ Выбранные типы содержимого должны соответствовать типам,указанным в окне "Свойства сайта".

■ Как правило, для каждого типа содержимого должен быть включенпараметр Использовать последнее доступное.Если вместо этого указана заданная версия, то клиент будет работатьтолько с этой версией.

Сведения о проверке политики параметровLiveUpdate

Необходимо проверить политику параметров LiveUpdate, чтобы избежатьошибок, связанных с обновлением.

В таблице Табл. 3-4 описаны параметры политики LiveUpdate.

Табл. 3-4 Параметры политики параметров LiveUpdate

ЗамечанияПараметр политики

Этот параметр должен быть включен, чтобы клиенты моглиполучать обновления содержимого с сервера управления.Если он выключен, то клиенты не смогут получатьобновления с Symantec Endpoint Protection Manager.

Использовать серверуправления поумолчанию

Этот параметр позволяет настроить расписание с помощьюполитики параметров LiveUpdate. Если расписание ненастроено, то клиент сможет получать обновления тольковручную в сеансе связи с LiveUpdate.

Использовать серверLiveUpdate

Запуск сеанса LiveUpdate вручную из консолиуправления

Сеанс LiveUpdate можно запустить вручную с сервера управления.Используйте команду "Обновить содержимое" на вкладке "Клиенты" илипросмотрите журналы на странице "Мониторы".

Более подробные сведения о запуске сеанса LiveUpdate вручную приведеныв книгеРуководствоадминистратораSymantecEndpointProtectionиSymantecNetwork Access Control.

45Устранение неполадок при обновлении содержимого клиентомСведения о проверке политики параметров LiveUpdate

В сеансе LiveUpdate, запущенном вручную, клиент получает содержимое сSymantec LiveUpdate, а не с сервера управления.

Примечание: После запуска сеанса LiveUpdate вручную следует подождатьпримерно две минуты. Клиент Symantec Endpoint Protection выполнитпроверку. По истечении двух минут проверьте, успешно ли было выполненообновление клиента. Консоль управления обновится автоматически.

Сеанс LiveUpdate можно запустить вручную в клиенте, если это разрешенов политике LiveUpdate.

Дополнительные сведения приведены в книге Руководство по работе склиентом Symantec Endpoint Protection и Symantec Network Access Control.

Как запустить сеанс LiveUpdate вручную из консоли управления

1 На консоли управления откройте страницу "Клиенты" и в разделе"Показать список клиентов" щелкните правой кнопкой на клиенте илигруппе.

2 Выполните одно из следующих действий:

■ Выберите Выполнитькомандувклиентах>Обновитьсодержимое.

■ Выберите Выполнить команду в группе > Обновить содержимое.

3 В окне "Обновить содержимое" нажмите Да.

4 В окне сообщения нажмите кнопку OK.

Что необходимо делать при неполадках,остающихся после проверки связи и параметровLiveUpdate

Просмотрите журнал LiveUpdate на сервере управления и в клиенте. Такжеможно создать журнал связи sylink между клиентом и сервером управления.Файлы журнала можно открыть в любом текстовом редакторе, например,в Notepad. Существуют также условно-бесплатные программы, например,DebugView, позволяющие просмотреть отладочные сообщения.

Просмотр журнала LiveUpdateЖурнал LiveUpdate можно просмотреть на сервере управления и в клиенте.

Устранение неполадок при обновлении содержимого клиентомЧто необходимо делать при неполадках, остающихся после проверки связи и параметров LiveUpdate

46

Как просмотреть журнал LiveUpdate

1 В клиенте или на сервере управления найдите журнал в каталогеLiveUpdate.

Например, перейдите в каталог:

\Documents and Settings\All Users\ApplicationData\Symantec\LiveUpdate\Log.LiveUpdate

2 Найдите в журнале следующее сообщение:

Progress Update: DOWNLOAD_FILE_START: URL: <url>/zip

Этот URL должен содержать адрес сервера LiveUpdate.

Если клиенту или серверу управления не удается подключиться ксерверу LiveUpdate, то в журнале будет показана следующая ошибка:

Progress Update: HOST_SELECTION_ERROR:

Также могут быть показаны сообщения о возможных причинахнеполадки.

Просмотр журнала отладки в клиентеПросмотрите журнал отладки в клиенте. Это можно сделать следующимиспособами:

■ В клиенте в меню "Справка и поддержка" выберите в разделе "Устранениенеполадок" пункт Изменить параметры журнала отладки и введите имяжурнала. Затем выберите Показать журнал.

■ Включить отладку в клиенте позволяет следующий ключ реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec EndpointProtection\SMC\smc_debuglog_on

Создание журнала sylinkДля связи клиента и сервера управления применяется файл sylink.xml. Всесообщения sylink можно сохранить в файле журнала на компьютере клиента.

47Устранение неполадок при обновлении содержимого клиентомЧто необходимо делать при неполадках, остающихся после проверки связи и параметров LiveUpdate

Как создать журнал sylink

1 На компьютере клиента в в разделе реестраHKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec EndpointProtection\SMC\SYLINK\SyLink добавьте строковый параметр DumpSylink.

2 Укажите расположение файла дампа (например, c:\sylink.log).

После этого файл sylink.log можно будет просмотреть на компьютереклиента.

Сведения о работе с программой DebugViewDebugView - это условно-бесплатная программа, позволяющая просмотретьотладочный вывод в клиенте. Двоичный файл LiveUpdate, Sescu.exe,обрабатывает обновления содержимого, но не ведет собственный журнал.Отладочные сообщения можно просмотреть с помощью программыDebugView.

При запуске программы обратите внимание на следующие сообщения:

■ QueryContentSeqData

■ ApplyContent

Если эти сообщения показаны в выводе, то клиент получает обновления ссервера управления, от поставщика обновлений группы или с помощьюдругой программы.

Загрузить эту программу можно по адресу:

http://www.microsoft.com/technet/sysinternals/utilities/debugview.mspx

Устранение неполадок при обновлении содержимого клиентомЧто необходимо делать при неполадках, остающихся после проверки связи и параметров LiveUpdate

48

http://www.microsoft.com/technet/sysinternals/utilities/debugview.mspx

Настройка мобильных иудаленных клиентов иуправление ими


■ Сведения о мобильных и удаленных клиентах

■ Настройка групп и расположений

■ Сведения об общих сценариях для мобильных и удаленных клиентов

■ Критерии для функций определения расположения

■ Применение более строгих политик безопасности для удаленныхклиентов

■ Сведения об уведомлениях для клиентов

■ Настройка параметров управления журналом клиента

■ Управление распределением нагрузки и роумингом

■ Мониторинг удаленных клиентов

Сведения о мобильных и удаленных клиентахВ современных условиях рабочий процесс все более и болеерассредоточивается по разным расположениям, поскольку сотрудникимогут работать удаленно. Это приводит к тому, что в сети появляютсяклиенты, отличающие от обычных клиентов. Мобильный клиент - этоклиент, который может перемещаться между различными расположениями.

4Глава

Сотрудники, отъезжающие в командировки, обычно используют этиклиентские компьютеры. Такие компьютеры клиентов подключаются ксети нерегулярно, и их состояние часто бывает неопределенным. Обычноподключение осуществляется через виртуальную частную сеть (VPN).Удаленные клиенты - это клиенты, всегда подключающиеся из одного итого же расположения, не относящегося к корпоративной сети. Типичныйудаленный клиент - это сотрудник, работающий из дома и подключающийсяпо VPN. Эти два типа клиентов схожи, и для них применяются аналогичныепроцедуры.

Мобильные и удаленные клиенты подвергаются большему риску, чемклиенты, всегда работающие внутри корпоративной сети. Мобильные иудаленные клиенты не защищены корпоративными средствами обеспечениябезопасности. Управление такими клиентами требует от администраторадополнительных действий по обеспечению безопасности сети и данных.

Мобильные и удаленные клиенты могут работать в сети с разными задачами,и условия их работы также могут быть разными. Например, некоторыевнутренние компьютеры могут время от времени работать внекорпоративной сети. Часть сотрудников, например, занимающихсяпродажами, может никогда не работать внутри сети. Могут быть клиенты,которым необходимо подключиться к сети, но к которым администраторне имеет никакого доступа. Например, ограниченный доступ к сети можнопредоставить заказчикам, партнерам или поставщикам. Некоторыесотрудники могут подключаться к корпоративной сети со своих личныхкомпьютеров.

У некоторых мобильных или удаленных клиентов может быть менееосмотрительное отношение к работе в Интернете, и они в большей степениподвержены риску. Мобильные и удаленные клиенты, которые не связанынапрямую с бизнесом организации, могут иметь слабое представление окомпьютерной безопасности и быть менее подготовлены, чем сотрудникиорганизации. Так, они могут открывать почтовые сообщения или вложенияот неизвестных отправителей, работая в сети. Их пароли могут бытьслабыми. Мобильные и удаленные клиенты также более склонны вноситьнесанкционированные изменения или настраивать свои компьютеры.Например, они могут загружать приложения, запрещенные к использованиювнутри организации. Мобильные и удаленные клиенты могут быть целикомсосредоточены на скорейшем выполнении работы, так что они забывают обезопасности компьютера.

Поскольку процедуры работы и с мобильными, и с удаленными клиентамисхожи, они будут называться удаленными клиентами.

Настройка мобильных и удаленных клиентов и управление имиСведения о мобильных и удаленных клиентах

50

Настройка групп и расположенийОпределив, с какими типами удаленных клиентов требуется работать,выберите для них ограничения безопасности. Должны ли для всехудаленных клиентов применяться одинаковые ограничения? От ответа наэтот вопрос зависит число создаваемых групп и расположений и удобствоуправления ими. Некоторые параметры безопасности Symantec EndpointProtection применяются для группы, а некоторые - для расположений. Дляуправления удаленными клиентами рекомендуется включить функцииопределения расположения.

Структура организации для Symantec Endpoint Protection состоит из групп,пользователей и компьютеров. В группу добавляются расположения, еслинеобходимо применять различные параметры для расположений.

Необходимость создания расположения зависит от ряда критериев, частьиз которых описана ниже:

■ IP-адреса

■ Адреса серверов WINS

■ Адреса серверов DHCP

■ Адреса серверов DNS

■ Сетевые соединения

■ Модули Trusted Platform

■ Прочие критерии

Если расположение определяется по типу сетевого соединения, тонеобходимо знать эти типы. Это может быть соединение по сети с SymantecEndpoint Protection Manager, телефонное подключение или какая-либоразновидность сервера VPN.

При создании расположения его параметры применяются для группы, вкоторой оно создано, и всех подгрупп, наследующих параметры изродительской группы. Рекомендуется создавать расположения, которыеклиент может использовать на глобальном уровне группы. Расположениядля отдельных групп следует создавать на нижележащем уровне.

Чем меньше число групп и расположений, тем проще управлять политикамибезопасностями и параметрами. Число требуемых групп и расположенийзависит от ряда параметров безопасности, параметров журнала, параметровсвязи и политик.

Некоторые параметры конфигурации для удаленных клиентов могут независеть от расположения. Эти параметры наследуются из родительской

51Настройка мобильных и удаленных клиентов и управление имиНастройка групп и расположений

группы или задаются независимо для группы. Если все удаленные клиентывключаются в одну группу, то эти не зависящие от расположения параметрыбудут одинаковыми для всех клиентов.

Ниже перечислены не зависящие от расположения параметры:

■ Настраиваемые сигнатуры предотвращения вторжений

■ Блокировка системы

■ Отслеживание сетевых приложений

■ Политика содержимого LiveUpdate

■ Параметры журнала клиента

■ Параметры связи клиента и сервера

■ Общие настройки безопасности, включая функции определениярасположения и защиту от изменений

Для настройки любых этих параметров, например, обработки журналаклиента, необходимо создавать отдельные группы.

Дополнительная информация о создании групп приведена в книгеРуководство администратора Symantec Endpoint Protection и SymantecNetwork Access Control.

Сами параметры описаны подробно в контекстной справке консоли.

Примечание: Для настройки параметров любой группы, отличной отглобальной, также необходимо выключить наследование.

Некоторые параметры конфигурации для удаленных клиентов, которыетребуется настроить, будут зависеть от расположения.

Ниже перечислены параметры, зависящие от расположения:

■ Режим управления, с которым работает клиент.

■ Список серверов управления для клиентов.

■ Режим загрузки, с которым работает клиент.

■ Необходимость отправки на сервер управления всех приложений,выполняемых в клиенте.

■ Частота загрузки для клиентов.

Рекомендуется не разрешать пользователям отключать следующие типызащиты:

■ Автоматическая защита

Настройка мобильных и удаленных клиентов и управление имиНастройка групп и расположений

52

■ Превентивная защита от угроз TruScan™

■ Защита от изменений

■ Созданные правила брандмауэра

Дополнительная информация о настройке расположений приведена в книгеРуководство администратора Symantec Endpoint Protection и SymantecNetwork Access Control.

Сами параметры для расположений описаны подробно в контекстнойсправке консоли.

Сведения об общих сценариях для мобильных иудаленных клиентов

При наличии удаленных клиентов часто используется простейшаяконфигурация с глобальной группой и тремя расположениями. Это первыйсценарий.

Для обеспечения безопасности клиентов в этом сценарии в глобальнойгруппе создаются следующие расположения:

■ Офисные клиенты, работающие в офисе.

■ Удаленные клиенты, подключающиеся к корпоративной сети по VPN.

■ Удаленные клиенты, подключающиеся к корпоративной сети поИнтернету, но без VPN.

Так как удаленное подключение без VPN является наименее защищенным,именно его следует сделать расположением по умолчанию.

Примечание: Если наследование глобальной группы выключено, то припоследующем добавлении групп они не будут наследовать расположения,заданные для глобальной группы.

Во втором сценарии к двум уже перечисленным удаленным расположениямдобавляются два расположения в офисе, всего четыре. Два расположенияв офисе следующие:

■ Клиенты в офисе, работающие по сети Ethernet.

■ Клиенты в офисе, работающие по беспроводной сети.

Для упрощения управления все клиенты рекомендуется оставить подуправлением сервера. Если опытный администратор хочет предоставитьчасть прав по настройке пользователям, то можно включить смешанный

53Настройка мобильных и удаленных клиентов и управление имиСведения об общих сценариях для мобильных и удаленных клиентов

режим. В смешанном режиме пользователи могут изменять некоторыенастройки безопасности, которые могут быть переопределеныадминистратором при необходимости. Управление клиентом открываетклиентам наиболее широкие возможности по настройке и является наименеебезопасным режимом.

Рекомендуется включать режим управления клиентом только в следующихслучаях:

■ Если пользователи хорошо знакомы с вопросами компьютернойбезопасности.

■ Если есть особые причины для этого.

Критерии для функций определениярасположения

Функции определения расположения помогают защищать сеть. Дляфункций определения расположения можно указать определенные критерии(условия), при выполнении которых происходит переключение на новоерасположение. Рекомендуемые политики безопасности обычно зависят отрасположения, из которого клиент подключается к сети. Функцииопределения расположения позволяют применять наиболее строгиеполитики безопасности для клиента в соответствии с ситуацией. При работес удаленными клиентами настоятельно рекомендуется включить функцииопределения расположения.

В консоли можно настроить условия для расположений групп, позволяющиеавтоматически выбрать правильную политику безопасности для средыпользователя. Эти условия основываются на данных о параметрахкомпьютера, запросившего доступ к сети. В качестве условий могутприменяться IP-адрес, MAC-адрес или адрес сервера каталогов.

Дополнительная информация о работе с функциями определениярасположения приведена в книге Руководство администратора SymantecEndpoint Protection и Symantec Network Access Control.

Настройка условий для функций определения расположения впервом сценарии

Ниже приведены рекомендации при работе с первым сценарием.

Настройка мобильных и удаленных клиентов и управление имиКритерии для функций определения расположения

54

Как настроить расположение офиса для клиентов в офисе

1 На странице "Клиенты" выберите группу, в которую будет добавленорасположение.

2 В разделе "Задачи" выберите пункт Добавить расположение.

3 В мастере добавления расположения нажмите кнопку Далее.

4 Введите имя расположения и необязательное описание и нажмитекнопку Далее.

5 Выберите в списке Клиент может установить соединение с серверомуправления и нажмите кнопку Далее.

6 Нажмите кнопку Готово.

7 В разделе "Задачи" выберите Управлениерасположениями и выберитесозданное расположение.

8 Нажмите кнопку Добавить и выберите КритерийсвзаимосвязьюAND.

9 В окне "Укажите критерий расположения" в списке "Тип" выберите Типсетевого соединения.

10 Нажмите кнопку Если компьютер клиента не использует указанныйниже тип сетевого соединения.

11 В нижнем списке выберите имя клиента VPN, применяемого ворганизации, и нажмите кнопку OK.

12 Для выхода нажмите кнопку OK.

Как настроить удаленное расположение для клиентов, подключающихся поVPN





5 В списке выберите Тип сетевого соединения.

6 В списке "Тип соединения" выберите имя клиента VPN, применяемогов организации, и нажмите кнопку Далее.


8 Нажмите кнопку ОК.

55Настройка мобильных и удаленных клиентов и управление имиКритерии для функций определения расположения

Как настроить удаленное расположение для клиентов, подключающихся безVPN





5 В списке оставьте значение Условиенезадано и нажмите кнопку Далее.

Эти значения будут применяться как политики расположения поумолчанию, так как для этого расположения должны быть заданынаиболее строгие политики.


Настройка условий для функций определения расположения вовтором сценарии

Во втором сценарии применяются те же удаленные расположения и условия,что и в первом сценарии. В офисе будут применяться два расположения,одно для клиентов в сети Ethernet и второе для клиентов беспроводнойсети.

См. "Настройка условий для функций определения расположения в первомсценарии " на стр. 54.

Примечание: Клиенты могут работать в офисе как в сети Ethernet, так и вбеспроводной сети. С учетом этого будет настроено последнее условие длябеспроводных клиентов в офисе. Это условие определяет правилобрандмауэра для сети Ethernet, позволяющее заблокировать весьбеспроводной трафик, если оба соединения используются одновременно.

Какнастроитьрасположениевофиседляклиентов,подключающихсяпосетиEthernet




Настройка мобильных и удаленных клиентов и управление имиКритерии для функций определения расположения

56












15 Нажмите кнопку Есликомпьютерклиентаиспользуетуказанныйнижетип сетевого соединения.

16 В списке внизу выберите пункт Ethernet и нажмите кнопку OK.


Как настроить расположение в офисе для клиентов, подключающихся побеспроводной сети








57Настройка мобильных и удаленных клиентов и управление имиКритерии для функций определения расположения









16 В списке внизу выберите пункт Ethernet и нажмите кнопку OK.



19 Нажмите кнопку Есликомпьютерклиентаиспользуетуказанныйнижетип сетевого соединения.

20 В списке внизу выберите пункт Беспроводная сеть и нажмите кнопкуOK.


Применениеболеестрогихполитикбезопасностидля удаленных клиентов

При работе с удаленными клиентами возможны следующие подходы:

■ Применять политики по умолчанию, которые не препятствуют работеудаленных пользователей на своих компьютерах.

■ Применять более строгие политики безопасности, чтобы усилить защитусети за счет ограничения возможностей удаленных пользователей.

В большистве ситуаций рекомендуется применять более строгие политикибезопасности для удаленных клиентов.

Настройка мобильных и удаленных клиентов и управление имиПрименение более строгих политик безопасности для удаленных клиентов

58

Политики могут создаваться как общие или частные и присваиватьсягруппам или расположениям. Общая политика применяется для любойгруппы или расположения, и ее можно наследовать. Частная политикаприменяется только для заданного расположения в группе. Как правило,рекомендуется создавать общие политики, так как их проще изменятьнескольких для групп и расположений. Тем не менее для особыхрасположений необходимо создавать частные политики илипреобразовывать их в частные политики.

Рекомендуемые параметры для политики брандмауэраДля политики брандмауэра рекомендуется настроить правила,обеспечивающие наиболее строгие параметры политики для удаленныхклиентов, подключающихся без VPN. Ниже приведены рекомендации понастройке политики брандмауэра для клиентов, подключающихся изудаленных расположений без VPN.

■ В параметрах трафика для политики можно включить защиту NetBIOS.

Примечание: Не следует включать защиту NetBIOS для клиентов,подключающихся из удаленных расположений к корпоративной сетипосредством VPN. Это правило применимо только для удаленныхклиентов, подключенных к Интернету, а не к корпоративной сети.

■ Для большей безопасности можно заблокировать также весь локальныйтрафик TCP на порты NetBIOS 135, 139 и 445.

Далее приведены рекомендации по настройке политики брандмауэра дляклиентов, подключающихся из удаленных расположений посредством VPN.

■ Оставьте без изменений все правила, блокирующие трафик на всехадаптерах. Эти правила изменять не следует.

■ Оставьте без изменений все правила, разрешающие трафик VPN на всехадаптерах. Эти правила изменять не следует.

■ Для всех правил с действием Разрешить в столбце "Адаптер" вместозначения "Все адаптеры" укажите имя применяемого адаптера VPN.

■ Включите правило, блокирующее весь прочий трафик.

Примечание: Последние три правила позволяют заблокироватьрасщепленные туннели по VPN.

59Настройка мобильных и удаленных клиентов и управление имиПрименение более строгих политик безопасности для удаленных клиентов

Для клиентов в офисе, подключенных по сети Ethernet или беспроводнойсети, используйте политики брандмауэра по умолчанию. Для беспроводныхсоединений должно быть включено правило, разрешающее EAPOL. В 802.1Xпротокол Extensible Authentication Protocol over LAN (EAPOL) применяетсядля идентификации соединений.

Рекомендуемые параметры для политики защиты от вирусов ипрограмм-шпионов

Ниже приведены рекомендации по настройке политики политики защитыот вирусов и программ-шпионов для клиентов, подключающихся изудаленных расположений без VPN.

■ Укажите для системы превентивного поиска угроз TruScan высокийуровень чувствительности для обнаружения троянских программ ичервей.

■ Настройте действие для обнаруженных троянских программ и червей -"Изолировать" или "Прервать".

■ Выберите высокий уровень чувствительности TruScan для клавиатурныхшпионов.

■ Настройте действие для обнаруженных клавиатурных шпионов -"Изолировать" или "Прервать".

■ Если выбрано действие "Прервать", то в параметрах уведомленийнастройте запрос подтверждения пользователя на остановку процессови служб.

■ Если TruScan не запускается всякий раз при запуске нового приложения,то следует выполнить осмотр для обоих удаленных расположений.

См. "Обзор управления превентивным поиском угроз TruScan" на стр. 75.

Рекомендуемые параметры для политики LiveUpdateДля более жесткого контроля за содержимым и обновлениями продуктовSymantec для клиентов рекомендуется изменить политики LiveUpdate дляудаленных клиентов.

Если пользователь входит в систему из удаленного расположения без VPN,то рекомендуются следующие меры:

■ В параметрах политики LiveUpdate укажите, что должен использоватьсясервер по умолчанию Symantec LiveUpdate. Это позволяет удаленнымклиентам получать обновления всякий раз при подключении кИнтернету.

Настройка мобильных и удаленных клиентов и управление имиПрименение более строгих политик безопасности для удаленных клиентов

60

■ Задать интервал обновления LiveUpdate равным одному часу, чтобыповысить вероятность обновления клиентов при их подключении кИнтернету.

Для всех прочих расположений рекомендуется использовать SymantecEndpoint Protection Manager для распределения обновлений программногообеспечения и содержимого. Консоль управления позволяет распространятьдополняющие пакеты обновлений, а не полные пакеты. Эти пакетыобновлений имеют меньший размер, чем пакеты, получаемые прямо ссервера Symantec LiveUpdate.

Рекомендуемые параметры для политики управленияприложениями

Иногда возникает необходимость создать политику управленияприложениями для блокировки некоторых приложений или для разрешениядоступа только для определенных приложений. Если создана такая политикадоступа, открывающая или закрывающая доступ, то можно точнееуправлять мобильными клиентами.

Сведения об уведомлениях для клиентовДля удаленных клиентов, подключенных не по VPN, рекомендуетсявключить уведомления о следующих ситуациях:

■ Защита от вторженийЭти уведомления можно включить для отдельных расположений. Дляэтого в параметрах управления пользовательским интерфейсом клиентавключается режим управления сервером или смешанный режим.

■ Угрозы, обнаруженные защитой от вирусов и программ-шпионовЭти уведомления можно включить в политике защиты от вирусов ипрограмм-шпионов.

Эти уведомления позволяют предупреждать удаленных пользователей обугрозах безопасности.

Настройка параметров управления журналомклиента

Параметры управления журналами удаленных клиентов можно изменять.Это особенно полезно для клиентов, долгое время не подключавшихся к

61Настройка мобильных и удаленных клиентов и управление имиСведения об уведомлениях для клиентов

сети. Для снижения трафика и нагрузки на серверы управления можновыполнить следующие действия:

■ Изменить параметры журнала клиента, чтобы исключить загрузкужурналов на сервер управления.

■ Изменить параметры журнала клиента, чтобы загружать только журналыбезопасности.

■ Изменить параметры журнала клиента, чтобы дольше сохранятьжурналы.

■ В политике защиты от вирусов и программ-шпионов для расположениянастроить фильтры для событий журнала, чтобы загружать толькозначимые события. Например, можно оставить только информацию обобновлении описаний или о побочных эффектах ошибок лечения.

■ Для того чтобы просматривать данные событий защиты от вирусов ипрограмм-шпионов в журналах клиента, настройте более длительноевремя сохранения журнала.

Примечание: Некоторые параметры журналов клиента относятся к группе,а некоторые настраиваются для защиты от вирусов и программ-шпионови могут применяться для расположения. Если все параметры журналовудаленных клиентов и клиентов в офисе должны отличаться, то используйтегруппы, а не расположения для управления удаленными клиентами.

Управление распределением нагрузки ироумингом

При работе с несколькими сайтами можно использовать DNS вместе снастраиваемым списком серверов управления для удаленных клиентов.

Для настройки сети для роуминга клиентов и распределения нагрузки насерверы можно выполнить следующее:

■ Настроить соответствующим образом серверы DNS для сайтоворганизации. Используйте одно и то же доменное имя для всех серверовDNS. На каждом сервере DNS необходимо настроить IP-адрес ближайшегосервера управления.

■ Используйте Symantec Endpoint Protection Manager для созданиянастраиваемого списка серверов управления для удаленных клиентов.В этом списке должна содержаться единственная запись с полнымдоменным именем серверов DNS. Присвойте этот список группе,содержащей расположения.

Настройка мобильных и удаленных клиентов и управление имиУправление распределением нагрузки и роумингом

62

Дополнительная информация о создании и присвоении списков серверовуправления приведена в книге Руководство администратора SymantecEndpoint Protection и Symantec Network Access Control.

Мониторинг удаленных клиентовВажным компонентом безопасной среды являются уведомления и журналы.Обычно мониторинг удаленных клиентов аналогичен мониторингу всехпрочих клиентов. Всегда необходимо отслеживать обновления защиты итекущие атаки в сети. Если сеть находится под атакой, то требуется выяснитьисточник атаки и ее способы.

Даже если часть данных журнала мобильного клиента не загружается, томожно просмотреть следующие данные:

■ На домашней странице показаны распределение описаний вирусов исигнатуры для предотвращения вторжений. Они должны быть всегдаобновленными.

■ На домашней странице показана Сводка состояния, отображающаясостояние защиты на компьютерах.

■ На домашней странице показаны число угроз в час, число атак в час ичисло заражений в час. Эти сведения позволяют обнаружить атаку.

■ Если сеть находится под атакой, то на вкладке "Мониторы - Сводка"показана информация защиты от угроз из сети, где перечисленыосновные цели и источники атаки.

Данные следующих элементов домашней страницы представляют толькоклиентов, подключавшихся за последние 12 или 24 часа:

■ Распределение описаний вирусов

■ Сигнатуры для предотвращения вторжений

■ Сводка состояния

В параметрах домашней страницы можно настроить время, в течениекоторого Symantec Endpoint Protection Manager показывает данные. Еслиесть много клиентов, которые часто отключаются от сети, то лучшимспособом мониторинга будет обращение к журналам и отчетам. В журналахи отчетах настройте фильтры так, чтобы показывать отключенных клиентов.

63Настройка мобильных и удаленных клиентов и управление имиМониторинг удаленных клиентов

Настройка мобильных и удаленных клиентов и управление имиМониторинг удаленных клиентов

64

Организация SymantecEndpoint Protection:серверы, сайты ипоставщики обновленийгрупп


■ Сведения о топологии управления Symantec Endpoint Protection

■ Учет особенностей организации

■ Принятие решения о создании одного или нескольких сайтов

■ Выбор способа обновления содержимого

■ Сведения о высокой готовности и восстановлении после сбоя

■ Сведения о распределении нагрузки и роуминге

Сведения о топологии управления SymantecEndpoint Protection

Сайт - это основная организационная единица в топологии управленияSymantec Endpoint Protection. Сайт включает в себя одну базу данных, атакже один или несколько серверов управления и клиентов. Информация

5Глава

сайта может быть скопирована на несколько сайтов при помощи серверовуправления.

На сервере управления работает программное обеспечение Symantec EndpointProtection, позволяющее управлять клиентами, работать с политиками,отслеживать безопасность конечных точек и создавать отчеты. Интерфейссервера управления - это консоль Symantec Endpoint Protection Manager.Консоль устанавливается вместе с сервером управления. Она также можетбыть установлена на любом компьютере, имеющим сетевое соединение ссервером управления, и может использоваться удаленно.

Можно установить встроенную базу данных Sybase Symantec EndpointProtection, поддерживающую до 1000 клиентов, или работать с внешнейбазой данных MS-SQL. Внешняя база данных MS-SQL позволяет работать сзначительно большим числом клиентов. Серверы управления и серверыбазы данных могут быть установлены в разных расположениях. Однаконеобходимо понимать, что такая ситуация может снизитьпроизводительность в некоторых ситуациях. В этом сценарии должна бытьобеспечена достаточная пропускная способность сети. Кроме того, серверуправления и база данных должны быть подключены к локальной сети, ане WAN.

Ниже приведены некоторые практические рекомендации:

■ Устанавливайте как можно меньше сайтов, не более 20.

■ Подключайте не более десяти серверов управления к базе данных.

■ Подключайте не более 50000 клиентов к серверу управления.

Рекомендуется придерживаться этих рекомендация в типичных условиях.

Если сервер управления должен обслуживать более 50000 клиентов, ноустановка другого сервера нежелательна, то можно применить следующийподход. Добавьте внутренние серверы LiveUpdate и поставщики обновленийгрупп для обслуживания обновлений содержимого. При этом серверуправления будет способен обслуживать большее число клиентов.

См. "Выбор способа обновления содержимого " на стр. 69.

Примечание: Все эти рекомендации приведены как ориентировочные. Ихследует применять с учетом нужд конкретной организации.

Учет особенностей организацииСамым главным фактором, который необходимо принять во внимание припроектировании структуры управления Symantec Endpoint Protection,

Организация Symantec Endpoint Protection: серверы, сайты и поставщики обновлений группУчет особенностей организации

66

является архитектура сети. Ниже перечислены факторы, влияющие начисло сайтов, серверов управления и серверов или компьютеров обновленийсодержимого:

■ Число клиентов в организации.

■ Число географически разнесенных расположений организации и типыканалов связи между ними.

■ Число функциональных подразделений или административных группв организации.

■ Число центров данных в организации.

■ Частота обновления содержимого для обеспечения безопасности.

■ Объем данных в журналах, длительность и место их хранения.

■ Любые дополнительные факторы, связанные с корпоративнымуправлением и с обеспечением безопасности структуры ИТ в даннойорганизации

Принятие решения о создании одного илинескольких сайтов

Описанные здесь малые предприятия имеют не более 100 клиентов.Средними будут называться предприятия не более чем с 1000 клиентов, абольшими - более чем с 1000 клиентов.

В большинстве малых и средних предприятий достаточно создать одинсайт для централизованного управления безопасностью сети. Все данныебудут расположены в одной центральной базе данных. Даже для большихпредприятий, расположенных компактно и насчитывающих не более45-50000 клиентов, обычно достаточно одного сайта. Если для серверауправления необходимо обеспечить возможность переключения в случаесбоя, то можно установить два или более сервера управления. Такжедополнительные серверы управления необходимы для обслуживаниябольшего числа клиентов.

Функции восстановления после сбоя и высокой готовности для базы данныхдолжны реализовываться с помощью кластеров.

Предприятия со сложной структурой, для которой централизованноеуправление невозможно, должны развертывать распределеннуюархитектуру управления с несколькими сайтами. Создание второго сайтаможет потребоваться по разным причинам. Типичной причиной можетбыть медленный канал WAN между физическими расположениями,

67Организация Symantec Endpoint Protection: серверы, сайты и поставщики обновлений группПринятие решения о создании одного или нескольких сайтов

требующий минимизации трафика по этому каналу. Второй сайт ссобственным сервером управления позволяет исключить трафик междуклиентами и сервером Symantec Endpoint Protection по этому каналу. Другойпричиной создания второго сайта может быть наличие несколькихгеографически разнесенных центров данных организации. Рекомендуетсясоздавать один сайт Symantec Endpoint Protection для каждого центраданных. Кроме того, несколько сайтов позволяют полностью реализоватьфункции высокой готовности для защищенной сети и данных, связанныхс безопасностью.

Рекомендуется создавать не более 20 сайтов Symantec Endpoint Protection.

В среде с несколькими сайтами типичными являются следующиеконфигурации:

■ Распределенная конфигурацияВ такой конфигурации работают два или более сайтов, между которымиосуществляется репликация групп и политик, но не журналов илисодержимого. В такой модели администраторы подключаются из консолик удаленным сайтам и просматривают отчеты на этих сайтах. Этаконфигурация рекомендуется в случаях, когда нет критическойнеобходимости в доступе к удаленным данным.

■ Конфигурация с централизованными журналамиВ этой конфигурации все журналы передаются на центральный сайт совсех прочих сайтов. Центральный сайт работает как хранилище дляжурналов всех прочих сайтов. Эта конфигурация рекомендуется принеобходимости централизованных отчетов.Типичный клиент создает примерно 800 килобайт информации в базеданных, если все журналы ежедневно загружаются на сервер управления.Это означает, что за год один клиент создает 288 мегабайт информации.Для уменьшения этого объема на сервер управления можно загружатьне все журналы, а только связанные с событиями системы безопасности.Полный журнал сохраняется в клиенте, и к нему можно обратиться прианализе неполадок или изучении происшествий. В больших организацияхнеобходимо предусмотреть достаточный объем для хранения данных,прежде чем обрабатывать значительный объем данных с брандмауэровклиента.

■ Конфигурация высокой готовностиЕсли для защищенной сети требуются функции восстановления послесбоя и высокой готовности, то необходимо установить несколько сайтови реализовать базы данных с помощью кластеров.

Организация Symantec Endpoint Protection: серверы, сайты и поставщики обновлений группПринятие решения о создании одного или нескольких сайтов

68

Выбор способа обновления содержимогоПо умолчанию сервер управления получает обновления содержимого ипродукта с сервера Symantec LiveUpdate. После этого сервер управленияпредоставляет эти обновления своим клиентам. Этот способ частоприменяется в небольших или средних организациях.

В больших организациях в качестве способа повышения производительностидля распределения обновлений локальным клиентам могут применятьсявнутренние серверы LiveUpdate.

Примечание: В среднем размер ежедневных обновлений описаний длязащиты от вирусов и программ-шпионов составляет от 70 до 150 Кб. Есликлиенты сайта могут загрузить эти обновления в течение часа, не перегружаяканал, то скорее всего внутренний сервер LiveUpdate не нужен.

При работе с внутренним сервером LiveUpdate имеются следующиепреимущества:

■ Если установлено несколько продуктов Symantec, то внутренний серверLiveUpdate позволяет организовать централизованное обновление всехэтих продуктов Symantec.

■ Улучшается производительность за счет снижения загрузки канала WAN.К серверу Symantec LiveUpdate должен подключаться только один сервер.

■ Возможен строгий контроль за распределяемыми версиями описанийи содержимым.

■ Уменьшается число сайтов, которые необходимо настроить.

■ Возможно сохранение различных версий описаний и содержимого.

В этом способе необходимо установить Администратор LiveUpdate налокальном сервере. Обратите внимание, что Администратор LiveUpdate неустанавливается на одном компьютере с сервером управления или серверомцентральной базы данных.

Сервер Администратора LiveUpdate может непрерывно отслеживать выходновых описаний и содержимого на сервере Symantec LiveUpdate. Серверыуправления в сети могут опрашивать внутренние серверы LiveUpdate сзаданной частотой. Если работает внутренний сервер LiveUpdate, то чемчаще он обновляется, тем меньше нагрузка в ходе одного обновления.

Дополнительные сведения о настройке внутренних серверов LiveUpdateприведены в книге LiveUpdate: Руководство администратора.

69Организация Symantec Endpoint Protection: серверы, сайты и поставщики обновлений группВыбор способа обновления содержимого

Наряду с внутренним сервером LiveUpdate или сервером управления ворганизациях могут быть развернуты поставщики обновлений групп (GUP).GUP - это клиент, который получает обновления содержимого с серверауправления, сохраняет их локально и распределяет их в группе клиентов.GUP может распределять описания для защиты от вирусов ипрограмм-шпионов, сигнатуры IPS и обновления службы осмотра. Он несохраняет обновления пакетов программного обеспечения. В качестве GUPдля группы клиентов может выступать любой клиент, но один GUP недолжен обслуживать более 100 клиентов. Если GUP становитсянедоступным, то клиенты могут автоматически загружать содержимое ссервера управления. Любой ноутбук или настольный компьютер можетработать как GUP. Тем не менее, рекомендуется выделять для этогопостоянно доступный компьютер с фиксированным IP-адресом, например,локальный файловый сервер.

GUP снижает трафик в сети между сервером управления и клиентом. Серверпередает обновления только GUP, который затем распределяет их прочимклиентам в группе.

Применение GUP для распределения обновлений содержимого может бытьоправдано в следующих случаях:

■ В расположении имеется не так много клиентов, чтобы создаватьотдельный сайт с отдельными сервером базы данных и серверомуправления.

■ Архитектура сети настолько сложна, что может потребоваться созданиеболее чем 20 сайтов. В такой ситуации GUP позволяет уменьшить числосайтов в системе.

GUP также имеет следующие ограничения:

■ Обычно GUP обслуживает не более 100 клиентов. Однако еслипроизводительность среды не снижается, то можно разрешить GUPобслуживать более 100 клиентов.

■ GUP обновляет только описания и содержимое, но не загружаетобновления продукта.

■ GUP сохраняет в кэше до 100 файлов. Все файлы, не запрошенныеклиентами в течение недели, могут удаляться. GUP опрашивает файлыв кэше раз в минуту.Если кэш содержит более 100 записей, то GUP загружает дополнительныефайлы только после того, как какие-либо старые файлы будут удалены.В такой ситуации GUP не может предоставлять обновления, и клиентыдолжны получать содержимое прямо с сервера управления.

Организация Symantec Endpoint Protection: серверы, сайты и поставщики обновлений группВыбор способа обновления содержимого

70

Дополнительная информация о работе с поставщиками обновлений группприведена в книге Руководство администратора Symantec EndpointProtection и Symantec Network Access Control.

Сведенияо высокой готовностиивосстановлениипосле сбоя

Для обеспечения высокой готовности Symantec Endpoint Protection должныбыть постоянно доступны и база данных, и сервер управления. При работес внешней базой данных рекомендуется использовать для базы данныхкластер высокой готовности. При работе с встроенной базой данныхобеспечить подлинную высокую готовность для базы данных невозможно.

Однако в Symantec Endpoint Protection поддерживается репликация, какпри работе со встроенной базой данных, так и при работе с Microsoft SQLServer. Конфигурации с репликацией между сайтами обеспечиваютизбыточность. При репликации регулярно создается точная копия всехданных какой-либо базы данных в другой базе данных. Если одна из базданных прекращает работу, то управление клиентами не нарушается, таккак все данные клиента имеются в другой базе данных.

Для репликации можно выбрать журналы и пакеты. Пакеты включаютобновления описаний вирусов, компонентов клиента и программ клиента.Общий объем пакетов и обновлений может достигать нескольких гигабайт,если загружаются обновления на нескольких языках. Поэтому при настройкерепликации необходимо оценить объем данных и нагрузку на сеть. Обычнообъем одного пакета достигает 55-65 мегабайт в сжатом виде.

Для обеспечения восстановления в случае сбоя сервера управлениянеобходимо настроить хотя бы два сервера управления для каждого сайтаи применять списки серверов управления.

Список серверов управления содержит все серверы управления для группыклиентов с указанием их приоритета. Дополнительные серверы управлениямогут устанавливаться для защиты от сбоя какого-либо одного серверауправления.

Восстановление после сбоя также может применяться для обновленийсодержимого, если используются локальные серверы. Все компоненты,работающие с LiveUpdate, также могут содержать список источниковобновления с указанием приоритетов. Серверы управления могутиспользовать локальный сервер LiveUpdate и переключаться в случае сбояна резервные серверы LiveUpdate в других расположениях.

71Организация Symantec Endpoint Protection: серверы, сайты и поставщики обновлений группСведения о высокой готовности и восстановлении после сбоя

Примечание: Применение внутренних серверов LiveUpdate, GUP ирепликации на сайте не обеспечивает полностью все функции высокойготовности, восстановления после сбоя или распределения нагрузки.

Сведения о распределении нагрузки и роумингеНе следует создавать несколько сайтов для распределения нагрузкиклиентов Symantec Endpoint Protection. Рекомендуется добавить на сайтсерверы управления и использовать списки серверов управления дляавтоматического распределения нагрузки между ними. В списке серверовуправления каждому серверу присваивается приоритет. Клиент,подключаясь к сети, случайным образом выбирает один из серверов свысшим приоритетом. Если первый сервер оказывается недоступным, тоон пробует подключаться к другому серверу с тем же приоритетом из списка.Если таковых не обнаруживается, то клиент подключается к серверам сболее низким приоритетом. Этот способ позволяет равномерно распределитьнагрузку на серверы управления при подключении к ним клиентов.

Для распределения нагрузки и роуминга доступны следующие варианты:

■ Для обеспечения и распределения нагрузки, и роуминга включите DNSи в списке серверов управления укажите только одно доменное имя.

■ Для обеспечения и распределения нагрузки, и роуминга включитефункции определения расположения Symantec Endpoint Protection инастройте списки серверов управления для каждого расположения. Длякаждого сайта необходимо создать хотя бы одно расположение.

■ Используйте аппаратное устройство для восстановления после сбоя илираспределения нагрузки. Многие из таких устройств также могутобеспечивать роуминг.

Организация Symantec Endpoint Protection: серверы, сайты и поставщики обновлений группСведения о распределении нагрузки и роуминге

72

Рекомендуемые способыобеспечения безопасности

■ Управление технологией превентивного поиска угроз TruScan

2Раздел

Управление технологиейпревентивного поискаугроз TruScan


■ Обзор управления превентивным поиском угроз TruScan

■ Отслеживание событий осмотра

■ Создание исключений для найденных процессов

■ Регулировка параметров осмотра

Обзор управления превентивным поиском угрозTruScan

В управлении превентивным поиском угроз TruScan применяется дваразличных подхода. В каждом подходе есть свои преимущества, зависящиеот размера сети, компонентов защиты, а также от задач, выполняемыхспециалистами службы поддержки.

Эти подходы следующие:

■ Применение стандартных параметров Symantec.Стандартные параметры Symantec задают высокий уровень защиты,поэтому для них достаточно минимального управления. При первойустановке Symantec Endpoint Protection Manager следует оставитьзначения параметров по умолчанию.

■ Изменение стандартных параметров Symantec.

6Глава

После настройки сервера управления первые 2-4 недели следуетпоработать со стандартными значениями Symantec. По окончании этогоиспытательного срока, в течение которого пользователь имеетвозможность ознакомиться с технологией, степень контроля можноувеличить. При таком подходе пользователь сам регулирует принципобнаружения угроз и уровень чувствительности.

Но при любом подходе может потребоваться управление событиями,позволяющее определить, какие из найденных процессов должнывыполняться на клиентских компьютерах.

Управление исключениямиНезависимо от того, применяются ли стандартные параметры Symantec,необходимо настроить исключения для вредоносных и/или допустимыхприложений. Даже если модуль осмотра работает со стандартнымипараметрами, время от времени он не игнорирует допустимые процессы,а заносит в журнал записи об их обнаружении. Для того чтобы модульосмотра игнорировал допустимые процессы, следует создать для нихисключения. Если стандартные параметры изменялись, то исключениянеобходимы, чтобы модуль осмотра отправлял вредоносные приложенияв Изолятор или прерывал их работу, а допустимые приложения -игнорировал.

В случае работы со стандартными параметрами Symantec выполнитеследующие действия:

■ Просмотрите события осмотра.По журналу превентивной защиты от угроз определите, какие изобнаруженных процессов являются допустимыми.

Примечание: В некоторых окнах журнал превентивной защиты можетназываться журналом TruScan.

См. "Отслеживание событий осмотра" на стр. 77.

■ Создайте исключения для найденных допустимых процессов в политикеглобальных исключений.Выяснив, какие процессы являются допустимыми, добавьте их вполитику глобальных исключений и измените действие при ихобнаружении на Игнорировать. При следующем запуске модуля осмотрауказанные процессы будут проигнорированы.См. "Создание исключений для найденных процессов" на стр. 79.

Управление технологией превентивного поиска угроз TruScanОбзор управления превентивным поиском угроз TruScan

76

В случае работы с измененными параметрами Symantec выполнитеследующие действия:

■ Выберите действие и уровень чувствительности для троянских коней,червей и клавиатурных шпионов.См. "Регулировка параметров осмотра" на стр. 81.

■ Просмотрите события осмотра.По журналу превентивной защиты от угроз определите, какие изобнаруженных процессов являются допустимыми, а какие представляютсобой угрозу безопасности. Изменив параметры модуля осмотра, сновапросмотрите журнал превентивной защиты. В нем можно увидеть, какизменения отразились на количестве обнаруженных допустимых ивредоносных процессов.См. "Отслеживание событий осмотра" на стр. 77.

■ Создайте исключения для найденных допустимых процессов и угрозбезопасности в политике глобальных исключений.Выяснив, какие процессы являются допустимыми, а какие -вредоносными, добавьте их в политику глобальных исключений. Послеформирования политики глобальных исключений со спискомдопустимых процессов доля допустимых процессов, распознаваемыхмодулем осмотра как угрозы безопасности, должна уменьшиться.См. "Создание исключений для найденных процессов" на стр. 79.

Отслеживание событий осмотраКлиент собирает и передает результаты осмотра на сервер управления.Результаты сохраняются в журнале превентивной защиты от угроз. Длятого чтобы определить, какие процессы допустимы, а какие представляютсобой угрозу безопасности, просмотрите в журнале следующие столбцы:

Тип события и действие, которое клиент выполнял надпроцессом - например, очистка или занесение его в журнал.Следует искать следующие типы событий:

■ Возможный допустимый процесс отображается как событиеНайдена потенциальная угроза.

■ Возможная угроза безопасности отображается как событиеНайдена угроза безопасности.

Событие

Имя процесса.Приложение

Тип вредоносной программы, например, троянский конь, червь,клавиатурный шпион или коммерческое приложение.

Тип приложения

77Управление технологией превентивного поиска угроз TruScanОтслеживание событий осмотра

Путь, из которого был вызван процесс.Файл/Путь

Столбец Событие позволяет сразу же увидеть, допустим ли найденныйпроцесс или является угрозой безопасности. Однако учтите, чтообнаруженная потенциальная угроза может быть, а может и не бытьдопустимым процессом, и наоборот, угроза безопасности может быть, аможет и не быть действительно вредоносным процессом. Следовательно,необходимо поискать дополнительные сведения в столбцах Тип приложенияи Файл/Путь. Например, по имени приложения можно определить, чтоприложение - допустимое, просто разработано другой фирмой.

См. "Создание исключений для найденных процессов" на стр. 79.

Примечание: Панель "Журналы превентивной защиты от угроз" можеттакже называться панелью "Журналы TruScan".

Как отслеживать события осмотра

1 В консоли выберите Мониторы > Журналы.

2 На вкладке Журналы, в списке Тип журнала выберите Превентивнаязащита от угроз.

3 В поле Интервал времени укажите примерное время последнегоизменения параметра осмотра.

4 Нажмите Дополнительные параметры.

5 В выпадающем списке Типсобытия выберите одно из указанных нижесобытий:

■ Для просмотра всех найденных процессов выберите Все.

■ Для просмотра процессов, оцененных как угрозы безопасности,выберите Найдена угроза безопасности.

■ Для просмотра процессов, оцененных как возможные угрозыбезопасности, выберите Найдена потенциальная угроза.

Управление технологией превентивного поиска угроз TruScanОтслеживание событий осмотра

78

6 Нажмите Показать журнал.

7 Определив допустимые процессы и угрозы безопасности, можно создатьдля них исключение в политике Глобальных исключений.

Исключение можно создать непосредственно с панели Журналыпревентивной защиты от угроз.

Создание исключений для найденных процессовИсключения TruScan позволяют задать реакцию, отличную от обычнойобработки найденного процесса. Если при осмотре будет найден процесс,подпадающий под исключение, то механизм выполнит действие, указанноев этом исключении. Например, если при осмотре будет найдено допустимоеприложение validprocess.exe, то можно создать исключение, котороепринудит пропускать validprocess.exe.

Созданные исключения для найденных процессов добавляются в политикуглобальных исключений для определенной группы или расположения вэтой группе. Сначала можно создать группу, для которой будет действоватьопределенная политика глобальных исключений. Например, для клиентскихкомпьютеров в группе А, выполняющих пользовательское приложение,которое может попасть в Изолятор, можно создать исключение, по которомуэто приложение будет пропускаться при осмотре. Затем можно присвоить

79Управление технологией превентивного поиска угроз TruScanСоздание исключений для найденных процессов

группе А политику Глобальных исключений, в которую добавлено созданноеисключение. Тогда при каждом запуске этого приложения пользователемслужба осмотра будет его игнорировать.

Если стандартные значения не применяются, можно привязатьопределенные действия к троянским коням, червям и клавиатурнымшпионам и добавить их в политику защиты от вирусов ипрограмм-шпионов. При создании исключений можно воспользоватьсяследующими рекомендациями:

■ Для угроз безопасности действие можно изменить на Изолировать илиПрервать.Также можно задать отправление в Изолятор процесса, не являющегосявредоносным, но нежелательного для выполнения пользователями.

■ Для допустимых процессов можно изменить действие на Игнорировать.Точно так же можно разрешить выполнение конкретного коммерческогоклавиатурного шпиона.

■ Для неизвестных угроз не рекомендуется создавать исключения,поскольку от службы осмотра требуется продолжать занесение событийв журнал. Если невозможно определить, является ли неизвестныйпроцесс вредоносным или допустимым, то можно занести в журналсобытие о его обнаружении и продолжить наблюдение за процессом.При этом можно отследить, как часто процесс обнаруживается наклиентском компьютере. Если в конечном счете выяснится, что процессдопустимый, то для него можно создать исключение и изменить действиена Игнорировать.

Примечание: Исключения можно создать только для процессов, невключенных в общий белый список Symantec известных процессов иприложений.

Дополнительная информация о добавлении процессов в политикуглобальных исключений приведена в документе Руководствоадминистратора Symantec Endpoint Protection и Symantec Network AccessControl.

Как создать исключения для найденных процессов

1 На панели Журналы превентивной защиты от угроз выберите события,для которых требуется создать глобальное исключение.


2 В выпадающем спискеДействиевыберитеДобавитьпроцессвполитикуглобальных исключений.

Управление технологией превентивного поиска угроз TruScanСоздание исключений для найденных процессов

80

3 Нажмите кнопку Начать.

4 В окне Добавить глобальное исключение для процесса, в списке Ответвыберите одно из указанных ниже действий, которое следует выполнятьпри обнаружении процесса.

■ Для допустимого процесса выберите Игнорировать.

■ Для угрозы безопасности выберите Изолировать либо Прервать.

5 Выберите политики глобальных исключений, в которые следуетдобавить новое исключение.


Регулировка параметров осмотраЕсли для управления обнаружением применяются стандартные значенияпараметров Symantec, то программа клиента определяет действие и уровеньчувствительности. Модуль осмотра, работающий на клиентскомкомпьютере, автоматически отправляет угрозы безопасности в Изолятор,а записи о возможных угрозах и неизвестных процессах заносит в журнал.

Если стандартные параметры Symantec не применяются, то для каждогообнаруженного процесса можно задать свое действие в зависимости от того,

81Управление технологией превентивного поиска угроз TruScanРегулировка параметров осмотра

является ли этот процесс угрозой или нет. Например, модуль осмотра можетлибо отправить все найденные процессы в Изолятор, либо занести в журналсведения об их обнаружении. Выполнение обоих этих действийодновременно невозможно. Параметры модуля осмотра можнооткорректировать с помощью политики защиты от вирусов ипрограмм-шпионов.

В Табл. 6-1 приведены инструкции по настройке действия при обнаружениипроцесса, степени чувствительности модуля осмотра и частоты осмотра.

Табл. 6-1 Параметры осмотра

ОписаниеПараметр

Если пользователь собирается управлять модулем осмотрасамостоятельно, то рекомендуется при первом его запуске установитьдействие Занести в журнал. Это значит, что ни для угроз безопасности,ни для допустимых процессов не будет выполняться действие, требуемоев конечном итоге. Требуется, чтобы модуль осмотра отправлял вИзолятор или прерывал угрозы безопасности и игнорировал допустимыепроцессы.

Следовательно, для всех этих случаев нужно создать исключения.Исключение определяет, какое действие следует выполнять с процессом,если его обнаруживает модуль осмотра.


Примечание: При первоначальной настройке Symantec EndpointProtection Manager для коммерческих приложений применяется действиеЗанести в журнал. При таком подходе в журнале превентивной защитыможно увидеть множество записей об обнаружении коммерческихприложений, что может сильно перегрузить пользователей.Следовательно, можно отключить функцию Показывать сообщение приобнаружении процесса на вкладке Уведомления.


Действие

Управление технологией превентивного поиска угроз TruScanРегулировка параметров осмотра

82


Чувстви-тельность



При первой настройке степени чувствительности для троянских конейи червей рекомендуется установить значение 10. Если чувствительностьбудет ниже, то модуль осмотра обнаружит меньшее количествопроцессов. Среди занесенных в журнал возможных угроз безопасностидоля допустимых процессов невелика. Поработав несколько дней состепенью чувствительности 10, и выяснив по журналу, какие изприложений являются допустимыми, можно увеличитьчувствительность до 20. Таким образом за 60 - 90 дней можно постепенно(с шагом 10) поднять уровень чувствительности модуля осмотра до 100.Этот уровень дает максимальную защиту.

При таком постепенном подходе пользователи клиентских компьютеровне будут перегружены огромным количеством уведомлений о найденныхпроцессах сразу же после развертывания клиентского ПО. Наоборот,можно выделить время на отслеживание прироста количествауведомлений при каждом поднятии уровня чувствительности. Принеобходимости отправку этих уведомлений можно выключить совсем.

Для клавиатурных шпионов рекомендуется начать с Низкого уровнячувствительности.

По мере его увеличения будет обнаруживаться большее количество каквредоносных процессов, так и допустимых. Уровень чувствительностине должен значительно повлиять на долю допустимых процессов вжурнале. Чем выше уровень чувствительности, тем больше процессовбудет обнаруживать модуль осмотра. Но соотношение допустимых ивредоносных процессов будет оставаться примерно на одном уровне.Оно не зависит от уровня чувствительности. Более того, уровеньчувствительности не является показателем точности обнаружения.Например, один процесс может обнаружиться при осмотре начувствительности 10, а другой - на чувствительности 90. Но это совсемне означает, что первый процесс опаснее второго.

После изменения уровня чувствительности определите по журналупревентивной защиты, занижен он или завышен. Если на клиентскомкомпьютере слишком много допустимых процессов распознаются какугрозы безопасности, то стоит немного понизить чувствительность, покадля этих процессов не будут созданы исключения в политике глобальныхисключений.


Настроив оптимальный уровень чувствительности, найдите вседопустимые процессы и добавьте их в политику глобальных исключений.Затем можно поднять чувствительность снова.


Примечание: После добавления всех исключений в политику


84


глобальных исключений вполне вероятно, что любой новый найденныйпроцесс окажется именно угрозой безопасности. В целях усилениязащиты можно изменить действие для всех процессов на Изолироватьили Прервать. Если же модуль осмотра по-прежнему находит иотправляет в Изолятор допустимые процессы, продолжайте отслеживатьжурнал превентивной защиты.

По умолчанию осмотр проводится раз в час. Если производительностьклиентского компьютера низкая, то эту частоту следует уменьшить.

Частотаосмотра

Примечание:На странице Политика защиты от вирусов и программ-шпионовПревентивная защита от угроз может называться TruScan.

Как отрегулировать параметры осмотра

1 В консоли выберите Политики > Защита от вирусов ипрограмм-шпионов, затем откройте имеющуюся политику защиты.

2 На странице "Политика защиты от вирусов и программ-шпионов"выберите TruScan.


3 На вкладке "Сведения об осмотре" в разделе "Осмотр" включитепараметры Проверять на наличие троянских коней и червей иПроверять на наличие клавиатурных шпионов

4 Для обоих типов угроз выключите параметр Использовать значенияпо умолчанию.

5 Для обоих типов угроз выберите действие Занести в журнал.

6 Выполните одно из следующих действий:

■ Для клавиатурных шпионов выберите Низкий.

■ Для троянских коней и червей переместите ползунок вправо навторое деление, что соответствует значению 10.

7 При необходимости на вкладке Частота осмотра в поле Частота осмотравыберите Нестандартнаячастотаосмотра и задайте интервал времени.



86

LLiveUpdate

внутренний сервер 69запуск сеанса вручную 45проверка параметров на сервере управления

44проверка политики параметров 45проверка политики содержимого 44просмотр последних загрузок на сервере

управления 43

Ббазы данных

внешняя 66встроенная 66готовность 71

Ввосстановление после сбоя 71

Гглобальные исключения

для превентивного поиска угроз 79готовность

для базы данных и сервера управления 71группы

настройка для удаленных клиентов 51

Жжурналы

IIS 30клиент 61, 68проверка журналов входящих сообщений 30просмотр журнала LiveUpdate 46просмотр журнала отладки в клиенте 31, 47просмотр превентивного поиска угроз 77создание журнала sylink 47

журналы отладки . См. журналыпрограмма DebugView 48

Ззначения

превентивный поиск угроз 81значок состояния 25, 38. См.соединение клиента

Ккэш содержимого 41

Ммобильные клиенты

описание 49

Ннаследование 52–53настройки

зависящие от расположения 52независимые от расположения 52

Ообновления. См. обновления содержимогообновления содержимого

определение способа получения клиентом36

сетевое соединение 37устранение неполадок 34

описанияобновление 69

осмотры. См. TruScan

Пполитики

обновление для удаленных клиентов 58, 60–61

параметры LiveUpdate 45содержимое LiveUpdate 44

поставщик обновлений группы 70поставщик содержимого

обеспечение связи клиента 39

Алфавитный указатель

превентивный поиск угроз. См. превентивныйпоиск угроз TruScan

превентивный поиск угроз TruScanвыбор способа управления 75отслеживание событий просмотра 77регулировка параметров 81управление исключениями 76, 79

Рраспределение нагрузки и роуминг 62, 72репликация 71роуминг и распределение нагрузки 62, 72

Ссайты

определен 66создание одного или нескольких 67

связьнеполадки между клиентом и сервером 24обмен данными между клиентом и

сервером 24обновление политики вручную 28проверка с помощью Telnet 29проверка с помощью браузера 29тестирование с помощью команды ping 28

сервервнутренний сервер LiveUpdate 69

сервер управления 66серийный номер. См. серийный номер политикисерийный номер политики

просмотр в клиенте 27содержимое

определение возможности полученияклиентом 40

определение способа получения клиентом 36сравнение в клиенте и на сервере 40сравнение версий 42типы 35

соединение клиентазначок состояния 25проверка состояния 38

Ттопология

управление 66троянские кони, черви и клавиатурные шпионы

регулировка параметров 81

Ууведомления

превентивный поиск угроз TruScan 84удаленные клиенты 61

удаленные клиентымониторинг 63описание 49

управление превентивным поиском угрозTruScan 75

Ффункции определения расположения

настройка для удаленных клиентов 51, 54

Алфавитный указатель88