Установка принтера symantec endpoint protection. Развертывание клиентов Symantec Endpoint Protection. Технология защиты Insight

Выбор корпоративного антивируса дело не простое и требует тщательного отбора претендентов. Современные решения часто предлагаются в виде комбайна, который содержит дополнительные компоненты вроде брандмауэра и IPS, перекрывая все пути возможного заражения и снижая риски. Именно так устроен Symantec Endpoint Protection 12.

Возможности Symantec Endpoint Protection 12

Компания Symanteс издавна славилась своими продуктами обеспечивающими защиту от всевозможных современных угроз, которыми богат интернет, среди них место особое место занимают антивирусы. Многие наверное еще помнят Norton Antivirus стоявший на большинстве ПК вначале века и успешно отбивавший атаки вирусов, он и сегодня выпускается Symantec не прекратил развитие. Правда называется уже Norton Internet Security и предназначен для защиты отдельных ПК, а возможности на порядок больше. Корпоративный сектор защищает серия Symantec Endpoint Protection состоящая из трех решений:

— Endpoint Protection Small Business Edition — для небольших компаний (не более 100 пользователей), простая установка и настройка, все данные хранятся на локальных системах;
— Endpoint Protection.cloud — реализация в виде SaaS, когда нет необходимости развертывании собственной инфраструктуры управления, обеспечивает защиту Win систем в организациях до 250 ПК;
— Endpoint Protection — наиболее оснащенное решение, обеспечивающее защиту рабочих станций и серверов работающих под управление разных ОС и виртуальных сред, предназначен для организаций с 100+ пользователями.

Решение построено по классической для корпоративных антивирусов клиент-серверной архитектуре. Сервер Endpoint Protection Manager используется для централизованного управления настройками, обновления агентов и баз, сбора данных о состоянии и построении отчетов, управлениям лицензиями. В терминологии Symantec создаваемая при помощи SEPM структура называется сайт. В сети может быть несколько серверов, сайтов и доменов, для равномерного распределения нагрузки с репликацией данных, быстрого восстановления и организации иерархической структуры для удобства управления и делегирования полномочий.
Все настройки производится при помощи локальной или веб-консоли Web Access (9090 порт) построенных с использование Java. Их внешний вид и функциональные возможности схожи.
Консоль может интегрироваться с другими продуктами Symantec, в частности с Protection Center обеспечивая единую среду управления безопасностью, позволяя узнавать данные о новых угрозах и быстрее реагировать. Компонент IT Analytics расширяет функции отчетности Endpoint Protection за счет дополнительных функций анализа и графического представления данных.
Для хранения настроек и информации о клиентах используется СУБД. Для сетей до 5000 систем с одним сервером управления можно использовать встроенную базу данных, которая устанавливается автоматически и не требует дополнительного конфигурирования. Если клиентов больше, или планируется развернуть несколько EP Manager с репликацией данных или балансировкой нагрузки следует установить MS SQL Server.
В агент устанавливаемый на конечные системы, интегрировано нескольких механизмов защиты:

• антивирус, обеспечивающих защиту от вирусов, программ-шпионов, троянцев, ботов и руткитов
• брандмауэр на основе правил и IDS — защищают от сетевых атак и загрузки вредоносных программ, оснащен функцией блокирования общих точек уязвимости (GE) и защитой браузера от направленных атак;
• модуль Application and Device Control – контроль приложений и устройств которые может запускать пользователь или компьютер.

Агент умеет проверять почту приходящую по POP3/SMTP, интегрируется с MS Outlook и IBM Lotus Notes. Кроме этого клиент адаптирован для применения в виртуальной среде, упрощая создания политик, уменьшая нагрузку на VM и количество операций I/O, в том числе, исключая файлы стандартного образа из проверки (Virtual Image Exception). При помощи специального сервера Shared Insight Cache агенты обмениваются результатами сканирования и одинаковые файлы проверяются только один раз, что сокращает нагрузку на систему и уменьшает время сканирования. Также блокируется одновременный запуск проверки на нескольких VM. Поддерживаются продукты от VMWare, MS Virtual Server и Hyper-V, Novell Xen.
Клиент (как это и принято в подобных продуктах) управляется с сервера SEP, но если система работает автономно редко подключаясь к корпоративной сети может использоваться так называемый «неуправляемый клиент». В последнем варианте пользователь самостоятельно управляет настройками антивируса. Обновление программных модулей и антивирусных баз производится при помощи дополнительного компонента LiveUpdate, сам процесс может запускаться во время бездействия клиентов.
Доступны версии агента под разные ОС (Win, Linux и Mac OS X), что позволяет защитить все компьютеры в гетерогенной среде. Интерфейс клиентской части для Windows полностью русифицирован, для остальных ОС — только английская версия. Лицензируется SEP по количеству клиентов, консоль SEPM дополнительной лицензии не требует. После установки дается весьма продолжительный 60-ти дневный тестовый период позволяющий оценить SEP в действии, полностью развернуть и настроить агенты.

Полностью список поддерживаемых клиентских ОС можно найти в документе «Symantec Endpoint Protection 12.1. Спецификация: Защита конечных систем».
Для установки агента потребуется компьютер с процессором класса Intel Pentium III 1 ГГц и выше, 512 МБ ОЗУ (рекомендуется 1 ГБ ОЗУ) и 700 МБ места на харде.
Клиент Symantec Endpoint Protection для Win поддерживает версии 2k, XP, Vista, 7 и серверные 2k3/2k8. Включая Small/Essential Business Server. Клиент для Linux поддерживает установку на: Debian 4/5/6, Ubuntu 8.04-11.04, Fedora 10/12/13/15, SLES/SLED 9/10/11, RHEL, Novell Linux Desktop 9 и Open Enterprise Server.
Клиент Symantec Endpoint Protection для Mac
— Mac на базе PowerPC с Mac OS X 10.4-10.5x;
— Mac на базе Intel с Mac OS X 10.4-10.7 (i86 и x64 редакции).
Сервер управления Endpoint Protection Manager требует компьютер не ниже Pentium III 1 ГГц, с 1 Гб ОЗУ (4 Гб рекомендуется) с 4+4 Гб свободного места (сервер+БД), работающий под управлением Win XP-2k8. В качестве сервера базы данных можно использовать встроенную БД или MS SQL Server 2kSP4/2k5SP2/2k8.

Еще один необязательный компонент — Центральный карантин получает подозрительные файлы от клиентов и передает образец для анализа в службу Symantec Security Response. Если обнаруживается новый вирус, генерируется обновление.
Документация всегда была сильной стороной Symantec, для закачки доступен отдельный пакет с документацией и дополнительными утилитами размером 411 Мб. Часть из руководств переведена на русский язык, что упрощает знакомство с SEP. Для сисадминов предназначено «Руководство по внедрению Symantec Endpoint Protection и Symantec Network Access Control» на 1167 страницах которого можно найти ответы практически на все вопросы.

Установка SEP Manager

Сервер управления SEP Manager можно установить только на ОС Windows. Сам процесс не очень сложен, но требует некоторой внимательности. После запуска setup.exe появится окно приветствия, которое кроме собственно установки SEPM предлагает ссылки позволяющие ознакомиться с предварительной информацией и установить другие инструменты администрирования (LiveUpdate Администратор, сервер или консоль Центрального карантина). Под меню «Установить Symantec Endpoint Protection» скрывается два пункта позволяющие установить собственно Manager или «неуправляемый» клиент. Запускаем мастер установки SEPM, который по началу выведет список всех дальнейших этапов.

Начинаем приема лицензионного соглашения, затем выбираем каталог, в который будет инсталлирован SEPM, и жмем «Установить». По окончанию процесса установки появится мастер настройки сервера управления, на первом экране которого предстоит определиться с конфигурацией. На выбор предлагается три варианта: Default (простая установка с одним SEPM для сети менее чем 100 ПК), Custom (выборочная настройка параметров, сети более 100 ПК) и восстановление настроек при помощи recovery файла.

В продуктах от Symanteс используется ряд механизмов позволяющих обнаруживать и блокировать 0-day вредоносный код: Insight, SONAR и Bloodhound. Технология Insight базируется на “датчиках” расположенных на миллионах компьютеров, сопоставляя обмен данными между системами, производится анализ возраста файла и источника распространения, на основании чего делается вывод о безопасности файла. Ее применение позволяет, в том числе использовать меньше системных ресурсов во время сканирования, за счет проверки только файлов подверженных угрозам. Чтобы уменьшить нагрузку, интеллектуальный сканер проверяет файлы во время простоя системы, поэтому пользователь не замечает работы антивируса. Технология SONAR использует поведенческо-репутационный подход – блокирует 0-day уязвимости и узконаправленные угрозы по результатам анализа и сопоставлением с профилем.
Проактивная технология Bloodhound технологией изолирует некоторые области файлов и в случае попыток проникновения других программ за этот периметр их действия анализируется и и принимается решение о степени опасности.

Выбираем вариант Custom и вводим количество ПК в сети, которыми будет управлять SEPM. Так как сервер у нас пока единственный на следующем шаге создаем новый сайт. Среди альтернативных вариантов — установка дополнительного сервера, подключение к существующему сайту или установка дополнительного сайта. Далее задаем имя сайта и сервера, и проверяем номера портов используемых компонентами SEPM, чтобы не было конфликтов с другими приложениями. На следующем экране необходимо выбрать между встроенной базой данных (по умолчанию) или внешней. Во втором случае далее понадобится либо создать новую базу данных, либо указать параметры подключения к существующей. После этого создаем учетную запись администратора (логин фиксированный admin) указав пароль и email. Для связи клиентов с сервером управления используется пароль, который задаем вручную или генерируем автоматически. Этот же пароль используется при восстановлении работы антивирусной сети. Чтобы SEPM мог отправлять уведомления от имени администратора, на следующем шаге указываем параметры SMTP сервера и адрес админа. Правильность параметров можно проверить, нажав кнопку «Send Test Email». Определяем, будет ли сервер SEPM отправлять информацию о работе антивируса в Symantec, после чего некоторое время ждем пока произойдет инициализация базы данных. На этом установка закончена. Отметив в последнем окне флажки можно сразу запускать консоль управления и/или запустить мастер миграции с Symantec Antivirus.

Консоль SEPM

После регистрации в консоли управления увидим отдельное окно в котором будет выведен список первоначальных задач, ссылки для их выполнения и небольшой гид по продукту. Отсюда можно: проверить статус лицензий, настроить автоматическое обновления LiveUpdate, развернуть агентов и настроить параметры сервера SEPM. Если закрыть окно быстро перейти к названным задачам можно выбрав ее в списке Common Task, который находится в правом верхнем углу.
Консоль визуально разделена на два поля. Элементы основного меню администратора (Номе, Monitors, Reports, Policies, Clients и Admin) расположены слева на вертикальной панели, в большом поле справа производятся все настройки. После выбора определенных пунктов будут также доступны подменю, некоторая их часть находится внизу экрана и не сразу бросается в глаза.
В первом окне (Home) выводится основная информация о глобальном уровне угроз, статусе защиты антивирусной сети и доступ к основным отчетам, что позволяет администратору оценить ситуацию сразу же после регистрации.
Настройки сервера и учетной записи администратора, находятся в меню Admin. Выбрав этот пункт, можно установить новый сертификат сайта (при установки SEPM генерируется самоподписанный сертификат), изменить настройки серверов SEPM подключенных к консоли, добавить/изменить домен (после установки имеем один домен Default), подключить LDAP/Active Directory или сервер репликации, аутентификацию Secure ID и многое другое.

По умолчанию через 1 час администратору необходимо будет перелогиниться, при первых настройках это очень мешает. Поэтому переходим в Admin — Servers — Local Site нажимаем Edit Site Properties и устанавливаем большее значение в General — Console timeout. В остальных подкладках производится настройка подключения к LiveUpdate, оптимизация работы веб-сервера, разрешается сброс пароля администратора (если забыл) и прочие настройки.

Чтобы просмотреть сводки об угрозах, событиях произошедших в антивирусной сети, различные уведомления и информацию о командах которые выполнял администратор, доступны в меню Monitors. В Reports найдем несколько видов отчетов наглядно представляющих информацию, как в графическом, так и текстовом виде.

Развертывание клиентов

Теперь, когда сервер настроен, можно приступать к подключению клиентских ПК, но в начале следует установить агента на удаленных системах. Для этого в консоли SEPM при помощи мастера развертывания клиентов создаем пакет. Этот пакет в дальнейшем можно распространить среди ПК любым удобным способом — встроить в образ, через групповые политики AD или просто запустить вручную на удаленной системе.

Неуправляемый клиент устанавливается из меню развертывания SEPM, на этапе «Тип клиента» можно указать и вариант «Управляемый клиент», но выбор этого пункта приведет лишь к выходу из мастера.

Компоненты SEPM использует несколько портов, которые должны быть открыты правилами файервола — 8014 (подключение клиентов), 8443 (удаленное управление сервером), 9090 (веб-консоль), 8444 (веб-сервис), 8765 (управление сервером), 8445 (отчеты). При развертывании клиентов понадобится открыть еще: 137 — 139, 445, 2967.

Запускаем Client Deployment Wizard и в первом окне выбираем New Package Deployment. Далее основное окно настроек в котором следует выбрать тип установочного пакета (Win 32/64 или Mac), группу к которой будет применена установка, набор компонентов (полная защита для сервера или клиентов, базовая защита сервера), содержимое (все или выборочно) и режим работы (компьютер или пользователь). Определяемся со способом установки клиентов: веб-ссылка и электронная почта, удаленная рассылка (Remote Push) и просто сохранить пакет, для установки/распространения любым другим способом. В первом варианте генерируется ссылка, перейдя по которой пользователь самостоятельно скачивает и устанавливает пакет (при наличии прав локального админа). Во втором — весь процесс происходит автоматически, для этого производится поиск компьютеров в сети, затем администратор отбирает нужные и приступает к установке (будут запрошены данные пользователя с правами админа). После установки агента потребуется перезапуск компьютеров.
Далее всеми настройками можно управлять из консоли SEPM при помощи политик. Для упрощения распространения однотипных установок используется концепция групп, по которым распределяются компьютеры или пользователи.

Выбрав в списке нужную группу в поле, справа получаем возможность редактирования политик и прочих установок. После установки в консоли Clients присутствует группа верхнего уровня My Company с одной группой по умолчанию Default Group. Далее администратор самостоятельно создает группы (поддерживается несколько уровней вложенности), возможно наследование политик групп и копирование групп.

Настройка политик

Общие настройки работы различных компонентов антивируса производятся в разделе Policies . Политики разделены на несколько типов которые соответствуют компонентами антивируса — Virus And Spyware Protection, Firewall, Intrusion Prevension, Application and Device Control, LiveUpdate и Exception. Выбрав любой из пунктов получим доступ к более подробным настройкам. Например, перейдя в настройки политик защиты от вирусов и программ-шпионов найдем три предустановки — рекомендуемая, повышенная и высокая безопасность. При создании новой или редактировании имеющейся политики откроется окно содержащее себя две группы настроек (отдельно для Win и Mac). В них определяются параметры сканирования файлов, использование дополнительных технологий (Insight, SONAR), действия при обнаружении вредоносных файлов, приоритет использования ресурсов, карантин, проверка email и многое другое. Большинство параметров должно быть знакомо тем, кто хоть раз сталкивался с настройками обычного антивируса и файервола. Администратор может разрешить пользователю самостоятельно изменять некоторые установки. Они отмечены значком в форме замка. Если замок закрыт, то локальное изменение блокировано.

Вывод

В целом SEP12 очень простой в работе и надежный продукт, использование которого не должно вызвать каких-либо сложностей у администратора даже с небольшим уровнем подготовки. Наличие качественной документации только упрощает процесс знакомства.

Symantec Endpoint Protection - корпоративный продукт, обеспечивающий антивирусную защиту, защиту от программ-шпионов, защиту от сетевых атак, а также включает в себя систему по предотвращению вторжений и межсетевой экран.

Решение представляет собой управляющий сервер () и клиенты. Клиентами выступают не только сервера и рабочие станции Windows (32-х и 64-х битные), так и рабочие станции на базе Mac OS.

Рассмотрим развертывание защиты на рабочие станции Windows.

1. Открываем консоль Symantec Endpoint Protection Manager . Переходим на вкладку "Clients" и на панели задач нажимаем "Add a client" (Рис.1):

2. Откроется окно "Client Deployment Wizard" . Выбираем "New Package Deployment" и нажимаем "Next" (Рис.2):

3. В поле "Install Packages" выбираем клиент для Windows. В поле "Group" выбираем нужную нам группу (Рис.3):

4. В поле "Install Feature Sets" выбираем один из трех вариантов установки: "Full Protection for Clients" (вариант установки всех модулей защиты на клиентские ПК), "Full Protection for Servers" (вариант установки всех модулей защиты на сервера) и "Basic Protection for Servers" (Базовая защита для файловых серверов). При развертывании клиентской защиты доступны два вида установки: Computer Mode и User Mode . Этим параметром мы определяем, к какой сущности применяются политики защиты, к пользователям или к компьютерам. Выбираем нужный нам вариант и нажимаем Next (Рис.4):

5. На следующей странице нам необходимо выбрать метод установки клиента защиты. Имеем три варианта: "Web Link and Email" - создание пакета установки и отправка ссылки на этот клиент с инструкциями для пользователя по электронной почте; "Remote Push" - передача установочных файлов по сети и дальнейшая установка; "Save Package" - сохранения пакету установки для дальнейшей ручной установки. Выбираем "Remote Push" и нажимаем Next (Рис.5):

6. В окне "Computer Selection" переходим на вкладку "Search Network" и нажимаем кнопку "Find Computers" . Выбираем диапазон IP адресов и жмем Ок. Находим нужный нам компьютер и добавляем его в колонку "Install Protection Client on" и нажимаем Next (Рис.6):

7. В следующем окне нажимаем Next и отправляем пакет установки на клиент (Рис.7).

«Symantec™ Endpoint Protection и Symantec Network Access Control: руководство по работе с клиентом Symantec™ Endpoint Protection и Symantec Network Access Control: руководство по работе...»

-- [ Страница 1 ] --

Symantec™ Endpoint

Protection и Symantec

Network Access Control:

руководство по работе с

клиентом

Symantec™ Endpoint Protection и Symantec Network

Access Control: руководство по работе с клиентом

Программное обеспечение, описанное в этой книге, поставляется с лицензионным

соглашением и может использоваться только при соблюдении условий этого

соглашения.

Версия документации: 11.00.02.01.00

Юридическая информация

© 2008 Symantec Corporation. Все права защищены.

Symantec, эмблема Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton и TruScan являются товарными знаками или зарегистрированными товарными знаками компании Symantec Corporation или ее дочерних компаний в США и других странах. Другие наименования являются товарными знаками соответствующих владельцев.

Этот продукт компании Symantec может содержать программные модули сторонних производителей, авторство которых компания Symantec должна признавать ("Программы сторонних производителей"). Некоторые Программы сторонних производителей распространяются как бесплатное ПО или ПО с открытым кодом (защищено лицензией GPL). Лицензионное соглашение, которое прилагается к этому программному обеспечению, никак не влияет на права и обязательства пользователя, указанные в лицензиях на бесплатное ПО или ПО с открытым кодом. Дополнительные сведения о Программах сторонних производителей см. в приложении "Юридическая информация о сторонних производителях" этой документации или в файле TPIP ReadMe, который прилагается к этому продукту Symantec.

Продукт, описанный в этом документе, распространяется на условиях лицензии, ограничивающей его использование, копирование, распространение и декомпиляцию/получение исходного кода. Запрещается воспроизведение любых фрагментов этого документа без письменного согласия Symantec Corporation и ее лицензиаров (если они есть).

ДОКУМЕНТАЦИЯ ПРЕДОСТАВЛЯЕТСЯ НА УСЛОВИЯХ "КАК ЕСТЬ", БЕЗ КАКИХ-ЛИБО

ЯВНЫХ И ПОДРАЗУМЕВАЕМЫХ УСЛОВИЙ, УТВЕРЖДЕНИЙ И ГАРАНТИЙ, ВКЛЮЧАЯ

ЛЮБЫЕ ГАРАНТИИ ТОВАРНОГО СОСТОЯНИЯ, ПРИГОДНОСТИ ДЛЯ КАКОЙ-ЛИБО

ЦЕЛИ ИЛИ НЕНАРУШЕНИЯ ПРАВ, ПРИ УСЛОВИИ, ЧТО ПОДОБНЫЙ ОТКАЗ НЕ

ПРОТИВОРЕЧИТ ЗАКОНУ. SYMANTEC CORPORATION НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ

ЗА КАКОЙ-ЛИБО СЛУЧАЙНЫЙ ИЛИ ОПОСРЕДОВАННЫЙ УЩЕРБ, СВЯЗАННЫЙ С

КОМПЛЕКТАЦИЕЙ ИЛИ ИСПОЛЬЗОВАНИЕМ ДАННОЙ ДОКУМЕНТАЦИИ.

СОДЕРЖАЩАЯСЯ В ДОКУМЕНТАЦИИ ИНФОРМАЦИЯ МОЖЕТ БЫТЬ ИЗМЕНЕНА БЕЗ

ПРЕДВАРИТЕЛЬНОГО УВЕДОМЛЕНИЯ.

Лицензионное программное обеспечение и Документация считаются коммерческим компьютерным программным обеспечением в соответствии с определением, данным в документе FAR 12.212, в отношении которого действуют ограниченные права, указанные в части 52.227-19 документа FAR, "Commercial Computer Software - Restricted Rights", и в части 227.7202 документа DFARS, "Rights in Commercial Computer Software or Commercial Computer Software Documentation", и последующих предписаниях.

Любое использование, изменение, воспроизводство, выполнение, демонстрация и раскрытие Лицензионного программного обеспечения и Документации должно осуществляться правительством США исключительно на условиях данного Соглашения.

Symantec Corporation 20330 Stevens Creek Blvd.

Cupertino, CA 95014

–  –  –

Глава 2 Ответ на сообщения клиента

Сведения о взаимодействии с клиентом

Действия над зараженным файлом

О вреде вирусов

Сведения об уведомлениях и предупреждениях

Реагирование на уведомления, связанные с приложениями

Действия при получении предупреждения о безопасности

Реагирование на уведомления функции управления доступом к сети

Глава 3 Управление клиентом

Сведения о функции LiveUpdate

Запуск LiveUpdate по расписанию

Запуск LiveUpdate вручную

Проверка защиты компьютера

Сведения о расположениях

Сведения о защите от изменений

Включение, выключение и настройка защиты от изменений

–  –  –

Глава 5 Основные сведения о Symantec Endpoint Protection

–  –  –

Осмотр электронной почты и автоматическая защита............. 67 Отключение автоматической защиты почты при использовании соединений с шифрованием данных

Просмотр статистики осмотра функции автоматической защиты

Просмотр списка угроз

Настройка распознавания типов файлов в функции автоматической защиты

Выключение и включение поиска и блокирования угроз безопасности в функции автоматической защиты............ 72 Настройка параметров осмотра сети

Работа с осмотрами функции защиты от вирусов и программ-шпионов

Обнаружение вирусов и угроз безопасности в клиенте Symantec Endpoint Protection

Сведения о файлах описаний

Сведения об осмотре сжатых файлов

Запуск осмотров по запросу

Настройка осмотра функции защиты от вирусов и программ-шпионов

Создание планового осмотра

Создание осмотров по запросу и осмотров при запуске............ 82 Изменение и удаление осмотров при запуске, пользовательских и плановых осмотров

Интерпретация результатов осмотра

Работа с результатами осмотра или автоматической защиты

Отправка информации об осмотрах на наличие вирусов и программ-шпионов в Symantec Security Response

Настройка действий по обработке вирусов и угроз безопасности

Советы по выбору вторых действий для вирусов

Советы по выбору вторых действий для угроз безопасности

Оценка уровня влияния угроз

Настройка уведомлений для вирусов и угроз безопасности............ 95 Настройка глобальных исключений для осмотров функции защиты от вирусов и программ-шпионов

Сведения об Изоляторе

Сведения о зараженных файлах в Изоляторе

Сведения о работе с зараженными файлами в Изоляторе

–  –  –

Раздел 3 Symantec Network Access Control................. 149 Глава 9 Основные сведения о продукте Symantec Network Access Control

Сведения о Symantec Network Access Control

Как работает программа Symantec Network Access Control

Сведения об обновлении политики целостности хоста........... 153 Выполнение проверки целостности хоста

Исправление компьютера

Просмотр журналов Symantec Network Access

Сведения о проверке

Настройка клиента для выполнения идентификации

Повторная идентификация компьютера

Раздел 4 Мониторинг и ведение журнала

Глава 10 Работа с журналами и управление ими

Общая информация о журналах

Просмотр журналов и сведений из журналов

Фильтрация событий в журналах

–  –  –

Сведения о клиенте Компания Symantec предоставляет два продукта для защиты конечных точек, которые могут использоваться совместно или по отдельности:

Symantec Endpoint Protection и Symantec Network Access Control.

Администратор установил один из этих продуктов Symantec или оба продукта на данный компьютер. Если клиент был установлен администратором, то администратор указал, какие продукты должны быть включены.

Примечание: Если администратор установил на компьютер только один из этих продуктов, то его название будет показано с строке заголовка. Если установлены оба продукта, в строке заголовка будет показано "Symantec Endpoint Protection".

Программа Symantec Endpoint Protection защищает компьютер от угроз из Интернета и угроз безопасности.

Она может выполнять следующие операции:

14 Общая информация о клиенте Symantec Сведения о клиенте

–  –  –

Сведения о значке в области уведомлений

Значок клиента в области уведомлений показывает состояние клиента:

подключен к сети или выключен, а также уровень защиты компьютера клиента. Щелкните на нем правой кнопкой, чтобы открыть список часто используемых команд. Значок находится в правом нижнем углу рабочего стола.

Примечание: На управляемых клиентах этот значок не будет показан, если администратор выключил его отображение.

Значки состояния клиента Symantec Endpoint Protection показаны в Табл. 1-1.

–  –  –

Скрытие и отображение значка в области уведомлений При необходимости значок в области уведомлений можно скрыть.

Например, это можно сделать, если в панели задач Windows недостаточно места.

Примечание: На управляемых клиентах значок в области уведомлений нельзя скрыть, если это запрещено администратором.

Как скрыть значок в области уведомлений 1 На боковой панели главного окна выберите Изменить параметры.

3 В окне "Параметры управления клиентами" на вкладке "Общие" в разделе "Параметры отображения" либо выключите "Показыватьзначок защиты Symantec в области уведомления".

4 Нажмите кнопку ОК.

Как показать значок в области уведомлений 1 На боковой панели главного окна выберите Изменить параметры.

2 На странице "Изменить параметры" в группе "Управление клиентами" выберите Настроить параметры.

3 В окне "Параметры управления клиентами" на вкладке "Общие" в разделе "Параметры отображения" включите переключатель "Показывать значок защиты Symantec в области уведомления".

4 Нажмите кнопку ОК.

Как обновляются средства защиты компьютера Сотрудники фирмы Symantec отслеживают эпидемии компьютерных вирусов для идентификации новых типов вирусов. Они также следят за комплексными угрозами, программами-шпионами и уязвимостями, которые могут быть использованы, когда компьютер подключен к Интернету.

Обнаружив угрозу, сотрудники Symantec создают сигнатуру (набор сведений об угрозе) и сохраняют ее в файле описаний. Файл описаний необходим для поиска, устранения и исправления угроз и побочных эффектов. Во время осмотра Symantec Endpoint Protection выполняет поиск известных сигнатур.

Помимо описаний, клиент должен обновлять списки разрешенных и запрещенных процессов и сигнатур атак. Список процессов помогает 18 Общая информация о клиенте Symantec Как обновляются средства защиты компьютера

–  –  –

удалении угроз. Энциклопедия расположена на веб-сайте Symantec Security

Response по адресу:

http://securityresponse.symantec.com Как обновляется защита управляемых клиентов Способ обновления описаний вирусов и угроз безопасности выбирается администратором. Обычно пользователю не нужно выполнять никаких действий для получения новых описаний.

Администратор может настроить в Symantec Endpoint Protection функцию LiveUpdate, обеспечивающую своевременное обновление средств защиты от вирусов и угроз безопасности. Программа LiveUpdate подключается к компьютеру, содержащему обновления, проверяет, требуется ли обновление клиента, и загружает необходимые файлы. Обновления могут храниться на сервере Symantec Endpoint Protection Manager во внутренней сети организации. Это также может быть сервер Symantec LiveUpdate, доступный через Интернет.

Как обновляется защита неуправляемых клиентов Администраторы не обновляют систему защиты на неуправляемых клиентах. Функция LiveUpdate позволяет обновить программы и файлы описаний. Если на неуправляемом клиенте применяются параметры LiveUpdate по умолчанию, клиент проверяет наличие обновлений на сервере Symantec один раз в неделю.

Пользователь может изменить частоту проверки обновлений с помощью LiveUpdate. Кроме того, программу LiveUpdate можно запустить вручную при эпидемии вирусов или других угроз.

См. "Сведения о функции LiveUpdate" на стр. 33.

Сведения о политиках безопасности Политика безопасности - это набор параметров безопасности, которые администратор управляемого клиента настраивает и развертывает на клиентах. Политики безопасности задают свойства клиента, включая набор параметров, которые пользователю разрешено просматривать и изменять.

Управляемые клиенты подключаются к серверу управления и автоматически получают обновленные политики безопасности. Если с доступом к сети 20 Общая информация о клиенте Symantec Источники дополнительной информации

–  –  –

Сведения о взаимодействии с клиентом Клиент работает в фоновом режиме, защищая компьютер от вредоносных действий. Иногда клиенту требуется уведомить пользователя о каких-либо действиях или получить ответ на вопрос.

Если в клиенте включена функция Symantec Endpoint Protection, возможны следующие виды взаимодействия с клиентом:

24 Ответ на сообщения клиента Действия над зараженным файлом

–  –  –

автоматической защиты показывает окно результатов при обнаружении угрозы. В процессе выполнения осмотра на экране показано окно с его результатами. На управляемых клиентах администратор может выключить эти типы уведомлений.

Если эти типы уведомлений отправляются, то в ряде случаев может потребоваться выполнить действие над зараженным файлом.

По умолчанию функция автоматической защиты и другие виды осмотров при обнаружении зараженного файла пытаются удалить из него вирус.

Если клиенту не удается исправить файл, то он регистрирует ошибку в журнале и перемещает зараженный файл в Изолятор. Локальный изолятор - это особое расположение, предназначенное для хранения зараженных файлов и системных объектов, измененных за счет побочных эффектов.

При обнаружении угроз безопасности клиент изолирует зараженные файлы и удаляет или устраняет их побочные эффекты. Если файл не удается исправить, то клиент регистрирует угрозу в журнале.

Примечание: В Изоляторе вирус теряет способность к распространению.

Файл, помещенный в Изолятор, недоступен пользователям.

Если Symantec Endpoint Protection удалось исправить зараженный вирусом файл, то пользователю не требуется выполнять дополнительные действия.

Если после изоляции зараженного угрозой файла клиенту удается удалить угрозу и исправить файл, то пользователю также не требуется выполнять никаких действий.

Однако даже в тех случаях, когда файл не требуется обрабатывать вручную, для него можно выполнить ряд дополнительных действий. Например, очищенный от вируса файл можно удалить, если у вас есть его копия.

Уведомления позволяют немедленно обрабатывать файлы. В журнале и Изоляторе можно выполнить отложенную обработку файла.

См. "Интерпретация результатов осмотра" на стр. 85.

См. "Изоляция рисков и угроз из журнала рисков и журнала угроз" на стр. 175.

См. "Сведения об Изоляторе" на стр. 100.

Как обработать зараженный файл 1 Выполните одно из следующих действий:

В окне диалога с информацией о состоянии осмотра выберите нужные файлы после завершения осмотра.

В окне результатов осмотра выберите необходимые файлы.

26 Ответ на сообщения клиента Сведения об уведомлениях и предупреждениях

–  –  –

Реагирование на уведомления, связанные с приложениями Клиент может показать уведомление с вопросом о том, следует ли разрешить запуск приложения или службы.

Такие уведомления появляются по одной из следующих причин:

Приложение запросило доступ к сетевому соединению.

–  –  –

При попытке приложения или службы обратиться к сети с локального компьютера может появиться сообщение следующего содержания:

Internet Explorer (IEXPLORE.EXE) пытается подключиться к www.symantec.ru через удаленный порт 80 (HTTP - World Wide Web).

Разрешить этой программе доступ к сети?

–  –  –

В Табл. 2-1 показаны варианты ответа на вопрос о том, следует ли разрешить или заблокировать приложение.

28 Ответ на сообщения клиента Сведения об уведомлениях и предупреждениях

–  –  –

"Программе Symantec Endpoint Protection не удалось открыть пользовательский интерфейс. Если применяется функция быстрого переключения пользователей Windows XP, убедитесь, что остальные пользователи вышли из Windows, затем выйдите из системы и войдите заново. При работе через службы терминала пользовательский интерфейс не поддерживается."

или “Программа Symantec Endpoint Protection не работала, но будет запущена.

Однако программе Symantec Endpoint Protection не удается открыть пользовательский интерфейс. Если применяется функция быстрого переключения пользователей Windows XP, убедитесь, что остальные пользователи вышли из Windows, затем выйдите из системы и войдите заново. При работе через службы терминала пользовательский интерфейс не поддерживается."

Быстрое переключение пользователей - это функция Windows, позволяющая быстро переключаться между учетными записями, не завершая сеанс работы с компьютером. С компьютером могут одновременно работать несколько пользователей и переключать сеансы, не закрывая запущенные приложения.

При переключении пользователей с помощью этой функции появляется одно из описанных выше сообщений.

Для ответа на сообщение следуйте показанным в нем инструкциям.

Реагирование на уведомления об автоматическом обновлении После автоматического обновления программы-клиента может появиться следующее уведомление:

Symantec Endpoint Protection обнаружил новую версию программы Symantec Endpoint Protection Manager.

Загрузить ее сейчас?

Как ответить на уведомление об автоматическом обновлении 1 Выполните одно из следующих действий:

Для того чтобы немедленно загрузить программу, нажмите кнопку Загрузить сейчас.

Если об обновлении необходимо напомнить через некоторое время, нажмите кнопку Напомнить позже.

2 Если после начала установки обновленной программы появится сообщение, нажмите ОК.

30 Ответ на сообщения клиента Сведения об уведомлениях и предупреждениях

–  –  –

Как реагировать на уведомления функции управления доступом к сети 1 Следуйте указаниям, показанным в окне сообщения.

2 В окне сообщения нажмите кнопку OK.

32 Ответ на сообщения клиента Сведения об уведомлениях и предупреждениях

–  –  –

Сведения о функции LiveUpdate Функция LiveUpdate загружает обновления программ и средств защиты по соединению с Интернетом.

Обновления программ служат для внесения небольших изменений и улучшений в установленные продукты. Не следует путать обновление с установкой новой версии продукта. Обычно обновления программ применяются для улучшения совместимости с операционной системой и оборудованием, повышения производительности или исправления ошибок.

Обновления программ создаются по мере необходимости.

Примечание: После установки некоторых обновлений программ требуется перезагрузить компьютер.

34 Управление клиентом Запуск LiveUpdate по расписанию

–  –  –

Запуск LiveUpdate вручную Функция LiveUpdate позволяет обновить программы и файлы описаний.

Она автоматически находит новые файлы описаний на сайте компании Symantec, а затем заменяет ими старые файлы. Для того чтобы продукты Symantec обеспечивали защиту компьютера от всех новых типов атак, им необходимо регулярно предоставлять свежую информацию. Компания Symantec предоставляет эту информацию с помощью функции LiveUpdate.

Как получить обновления с помощью функции LiveUpdate На боковой панели клиента выберите LiveUpdate.

Программа LiveUpdate подключается к серверу Symantec, проверяет наличие обновлений, а затем автоматически загружает и устанавливает их.

Проверка защиты компьютера Проверить эффективность защиты компьютера от внешних угроз можно путем осмотра компьютера. Осмотр - это важный этап, позволяющий гарантировать, что компьютер надежно защищен от возможного вторжения.

Результаты осмотра помогают правильно настроить параметры защиты клиента от атак.

Как проверить защиту компьютера 1 На боковой панели клиента выберите Состояние.

2 В разделе "Защита от угроз из сети" выберите Параметры Показать сетевые операции.

3 Выберите Сервис Проверить защиту в сети.

4 На веб-сайте Symantec Security Check выполните одно из следующих действий:

Чтобы проверить защиту компьютера от угроз из Интернета, выберите Security Scan (Осмотр системы защиты).

36 Управление клиентом Сведения о расположениях

–  –  –

Примечание: В зависимости от настроенных политик безопасности пользователю может быть предоставлен доступ к нескольким расположениям. В некоторых случаях при щелчке на расположении не происходит переход к этому расположению. Это означает, что текущая конфигурация сети не соответствует этому расположению. Например, расположение "Офис" может быть доступно только когда компьютер подключен к локальной сети (LAN). Если клиент не находится в этой сети, то переключится на расположение "Офис" нельзя.

Как изменить расположение 1 На боковой панели клиента выберите Изменить параметры.

2 На странице "Изменить параметры" в группе "Управление клиентами" выберите Настроить параметры.

3 На вкладке "Общие" в разделе "Параметры расположения" выберите расположение, на которое необходимо переключиться.

4 Нажмите кнопку OK.

Сведения о защите от изменений Функция защиты от изменений обеспечивает постоянную защиту приложений Symantec. Она пресекает атаки таких вредоносных программ, как черви, троянские компоненты, вирусы и угрозы безопасности.

Защиту от изменений можно настроить так, чтобы она выполняла одно из следующих действий:

Блокировала попытки изменения и регистрировала события в журнале

Регистрировала попытки изменения в журнале, но не блокировала их

По умолчанию защита от изменений включена как на управляемых, так и на неуправляемых клиентах (если администратор не менял параметры по умолчанию). По умолчанию при обнаружении попытки изменения функция защиты от изменений регистрирует событие в своем журнале. Ее можно настроить так, чтобы она показывала уведомление об этом событии.

Отображаемое сообщение можно задать самостоятельно. Функция защиты от изменений не уведомляет о попытках изменения, пока эта функция не будет включена вручную.

На неуправляемом клиенте можно изменить параметры защиты от изменений. На управляемом клиенте параметры можно изменить лишь в том случае, если это разрешено администратором.

38 Управление клиентом Включение, выключение и настройка защиты от изменений

–  –  –

Как настроить защиту от изменений 1 На боковой панели главного окна выберите Изменить параметры.

2 В разделе "Управление клиентом" нажмите кнопку Изменить параметры.

3 На вкладке "Защита от изменений" в списке "Действие при попытке приложения изменить или закрыть программу обеспечения безопасности Symantec" выберите Блокировать и занести событие в журнал или Только занести событие в журнал.

4 Для получения уведомлений о подозрительных действиях, обнаруженных функцией защиты от изменений, включите переключатель Показывать сообщение при обнаружении изменения.

Когда включена отправка уведомлений, будут отображаться как сообщения о процессах Windows, так и сообщения о процессах Symantec.

5 Для настройки показываемого сообщения обновите текст в поле сообщения.

6 Нажмите кнопку ОК.

40 Управление клиентом Включение, выключение и настройка защиты от изменений

–  –  –

О программе Symantec Endpoint Protection Symantec Endpoint Protection может работать как автономная программа или под управлением администратора. Работой автономной программы Symantec Endpoint Protection не управляет администратор, то есть она работает как автономный клиент.

Если вы управляете собственным компьютером, это должен быть компьютер одного из следующих типов:

Автономный компьютер, не подключенный к сети, например домашний или портативный компьютер. На компьютере должен быть установлен продукт Symantec Endpoint Protection с параметрами по умолчанию или параметрами, заранее заданными администратором.

Удаленный компьютер, применяемый для подключения к корпоративной сети. Подключение будет разрешено, если компьютер соответствует требованиям к безопасности.

Параметры Symantec Endpoint Protection по умолчанию обеспечивают защиту от угроз из сети, превентивную защиту и защиту от вирусов и программ-шпионов.. Эти параметры можно изменить в соответствии с требованиями своей организации, для повышения производительности системы или для отключения ненужных параметров.

44 Symantec Endpoint Protection – Введение Как Symantec Endpoint Protection обеспечивает защиту компьютера

–  –  –

Сведения о защите от угроз из сети В состав клиента Symantec Endpoint Protection входит настраиваемый брандмауэр, обеспечивающий защиту компьютера от вторжений и несанкционированного использования (как случайного, так и злонамеренного). Он выявляет многие известные типы атак, в том числе сканирование портов. Брандмауэр выборочно разрешает и блокирует различные сетевые службы, приложения, порты и компоненты. Для защиты компьютеров клиентов от опасного сетевого трафика предусмотрено несколько типов правил брандмауэра и настроек безопасности.

Для блокирования вторжений и вредоносных данных функция защиты от угроз из сети предоставляет брандмауэр и сигнатуры системы предотвращения вторжений. Брандмауэр блокирует или разрешает трафик, оценивая его по различным критериям.

Решение о блокировании или разрешении входящих или исходящих приложений и служб, пытающихся подключиться к компьютеру по сетевому соединению, принимается исходя из правил брандмауэра. Правила брандмауэра разрешают или блокируют входящие или исходящие приложения и трафик с определенными исходными и целевыми IP-адресами и портами. Настройки безопасности позволяют выявлять стандартные типы атак, отправлять уведомления об атаках по электронной почте, показывать настраиваемое сообщение и выполнять другие задачи для обеспечения безопасности.

Общие сведения о превентивной защите от угроз В системе превентивного поиска угроз применяется технология осмотра TruScan, которая обеспечивает своевременную защиту компьютера от угроз неизвестных типов. Используя эвристические методы осмотра, она анализирует структуру программы, ее поведение и другие характеристики, сравнивая их с характеристиками вирусов. Эта функция блокирует большинство таких угроз, как черви массовой рассылки и макровирусы.

46 Symantec Endpoint Protection – Введение Как Symantec Endpoint Protection обеспечивает защиту компьютера

–  –  –

Сведения о вирусах и угрозах безопасности Клиент Symantec Endpoint Protection способен находить как вирусы, так и другие угрозы безопасности, такие как программы-шпионы и программы показа рекламы. Такие угрозы могут подвергать риску не только компьютер, но и всю сеть. При осмотрах антивирусной защиты и защиты от программ-шпионов также выявляются угрозы типа rootkit на уровне ядра ОС. Rootkit - это программа, которая пытается скрыть себя от операционной системы компьютера и может выполнять вредоносные действия.

По умолчанию все типы операций осмотра для защиты от вирусов и программ-шпионов, в том числе осмотры в рамках автоматической защиты, 48 Основные сведения о Symantec Endpoint Protection Сведения о вирусах и угрозах безопасности

–  –  –

Программы показа Отдельные или прикрепленные программы, которые втайне собирают через рекламы Интернет информацию о пользователе и отправляют ее на другой компьютер.

Такие программы могут отслеживать привычки пользователя при работе в Интернете в целях выбора наиболее подходящей рекламы. Кроме того, они используются для рассылки рекламы.

–  –  –

Программы набора Программы, без ведома и разрешения пользователя использующие компьютер номера для набора платных номеров и регистрации на FTP-серверах. Как правило, такие программы пользуются платными услугами.

–  –  –

Другие Любые другие угрозы безопасности, не соответствующие точному определению вируса, троянского коня, червя и прочих категорий угроз.

Программы Программы, которые обеспечивают доступ через Интернет с других компьютеров, удаленного доступа что позволяет им собирать информацию, атаковать или изменять ваш компьютер.

Некоторые программы удаленного доступа могут быть нужны для работы. Процесс может установить такую программу без вашего ведома. Программа может наносить вред, в частности, изменяя исходную программу удаленного доступа.

50 Основные сведения о Symantec Endpoint Protection Сведения о вирусах и угрозах безопасности

–  –  –

Каким образом клиент реагирует на обнаружение вирусов и угроз безопасности Клиент защищает компьютер от вирусов и угроз безопасности, поступающих из любых источников. В число таких источников входят жесткие диски, дискеты, а также сети. Обеспечивается защита компьютеров от вирусов и других угроз, распространяющихся с помощью вложений электронной почты и некоторыми другими способами. Например, угроза безопасности может быть установлена на компьютере без вашего ведома во время работы в Интернете.

52 Основные сведения о Symantec Endpoint Protection Включение и выключение компонентов защиты

–  –  –

Включение и выключение защиты от вирусов и программ-шпионов По умолчанию автоматическая защита от вирусов и других угроз безопасности загружается при запуске системы. Функция автоматической защиты проверяет программы на наличие вирусов и угроз безопасности при их запуске. Кроме того, она регистрирует все операции, которые могут указывать на наличие вируса или угрозы безопасности. При обнаружении вируса, вирусоподобных действий (событий, которые могут быть результатом наличия вируса) или угрозы безопасности функция автоматической защиты предупреждает об этом пользователя.

Функцию автоматической защиты файлов и процессов можно включать и выключать по своему усмотрению. Кроме того, можно независимо включать и выключать автоматическую защиту почты Интернета и почтовых программ для рабочих групп. В управляемой среде соответствующие параметры могут быть заблокированы администратором.

Когда может потребоваться выключить автоматическую защиту В некоторых случаях функция автоматической защиты может предупреждать о действиях, указывающих на наличие вируса, хотя известно, что эти действия не являются следствием работы вируса. Например, при установке новых программ может появиться предупреждение. Для того чтобы избежать вывода предупреждений, можно временно отключить автоматическую защиту перед установкой других программ. Обязательно включите автоматическую защиту сразу после завершения задачи, чтобы компьютер оставался защищенным от вирусов.

Даже если автоматическая защита выключена, все другие запланированные вами или администратором типы осмотров (плановые или при запуске) будут выполняться как обычно.

Администратор может запретить выключение автоматической защиты. Он также может указать, что после временного выключения автоматическая защита должна автоматически восстанавливаться через указанный период времени.

Сведения о состоянии автоматической защиты и защиты от вирусов и программ-шпионов Параметры автоматической защиты влияют на состояние защиты от вирусов и программ-шпионов, показанное в интерфейсе клиента и в области уведомлений Windows.

54 Основные сведения о Symantec Endpoint Protection Включение и выключение компонентов защиты

–  –  –

Если защиту разрешено выключать, то ее можно повторно включать в любое время. Администратору дано право в любой момент включать и выключать защиту, в том числе переопределять состояние защиты, установленное пользователем.

См. "Сведения об управлении защитой от угроз из сети" на стр. 121.

56 Основные сведения о Symantec Endpoint Protection Применение клиента вместе с Центром обеспечения безопасности Windows

–  –  –

Продукт Symantec Endpoint Protection установлен с полным Включена (отмечено набором компонентов защиты зеленым цветом) Продукт Symantec Endpoint Protection установлен, но Устарела (отмечено описания вирусов и угроз устарели красным цветом) Продукт Symantec Endpoint Protection установлен, но Выключена (отмечено автоматическая защита файловой системы выключена красным цветом) Продукт Symantec Endpoint Protection установлен, но Выключена (отмечено автоматическая защита файловой системы выключена, а красным цветом) описания вирусов и угроз устарели Продукт Symantec Endpoint Protection установлен, но Выключена (отмечено функция Rtvscan была вручную выключена красным цветом) В Табл. 5-3 указано состояние брандмауэра Symantec Endpoint Protection, которое может быть показано в WSC.

–  –  –

Брандмауэр Symantec не установлен или выключен, либо Включена (отмечено установлен и включен другой брандмауэр зеленым цветом) Примечание: Symantec Endpoint Protection по умолчанию выключает брандмауэр Windows.

58 Основные сведения о Symantec Endpoint Protection Приостановка и задержка осмотра

–  –  –

Как приостановить осмотр 1 Во время выполнения осмотра щелкните на значке «Приостановить»

в окне осмотра.

Осмотр, запущенный пользователем, будет остановлен немедленно, а окно осмотра останется открытым для повторного запуска.

Если осмотр был запущен администратором, появится окно «Приостановка планового осмотра».

2 В окне «Приостановка планового осмотра» выберите Приостановить.

Осмотры, запланированные администратором, останавливаются немедленно; окно осмотра остается открытым для повторного запуска осмотра.

3 Для продолжения осмотра щелкните на значке «Запустить» в окне осмотра.

60 Основные сведения о Symantec Endpoint Protection Приостановка и задержка осмотра

–  –  –

Работа с осмотрами функции защиты от вирусов и программ-шпионов Настройка осмотра функции защиты от вирусов и программ-шпионов

–  –  –

Отправка информации об осмотрах на наличие вирусов и программ-шпионов в Symantec Security Response Настройка действий по обработке вирусов и угроз безопасности Настройка уведомлений для вирусов и угроз безопасности Настройка глобальных исключений для осмотров функции защиты от вирусов и программ-шпионов

–  –  –

Обычно Symantec не рекомендует исключать файлы из осмотра. Однако в случае исключения файла "Входящие" клиент сохраняет возможность выявлять любые вирусы при открытии почтовых сообщений. В случае обнаружения вируса при открытии почтового сообщения клиент безопасно изолирует или удаляет сообщение.

Для исключения файла настройте глобальное исключение.

Сведения об осмотре файлов с определенными расширениями Клиент может осматривать на компьютере только файлы с определенными расширениями.

Можно выбрать один из следующих типов расширений файлов:

–  –  –

Программы Включают динамически компонуемые библиотеки (.dll), командные файлы (.com), исполняемые файлы (.exe) и другие программные файлы. Клиент проверяет программные файлы на наличие программных вирусов.

Как добавить исключения файлов в список осматриваемых файлов функции автоматической защиты 1 На боковой панели клиента выберите Изменить параметры.

3 В окне Параметры защиты от вирусов и программ-шпионов откройте вкладку Автоматическая защита файловой системы, затем найдите раздел Типы файлов и выберите Выбрано.

4 Нажмите кнопку Расширения.

5 Введите расширение в текстовом поле и нажмите кнопку Добавить.

6 Повторите шаг 5 необходимое количество раз и нажмите OK.

7 Нажмите кнопку ОК.

64 Управление защитой от вирусов и программ-шпионов Общие сведения о защите от вирусов и программ-шпионов

–  –  –

Корпоративная политика безопасности может допускать использование программы, которая распознается клиентом как угроза. В этом случае исключите папки данной программы.

Для исключения объектов из осмотров настраиваются глобальные исключения. Эти исключения действуют во всех операциях осмотра функции защиты от вирусов и программ-шпионов. Некоторые исключения могут быть настроены администратором. Такие исключения имеют более высокий приоритет, чем исключения, настроенные пользователем.

См. "Настройка глобальных исключений для осмотров функции защиты от вирусов и программ-шпионов" на стр. 98.

Предупреждение! Исключения следует выбирать аккуратно. Если исключить файл из осмотра, то его заражение вирусом останется незамеченным для клиента. Это создаст угрозу безопасности системы.

–  –  –

Действия клиента Symantec Endpoint Protection при обнаружении вируса или угрозы безопасности Действия клиента при обнаружении зараженного файла зависят от типа угрозы. Вначале клиент пытается выполнить первое действие, настроенное для соответствующего типа угрозы, а в случае неудачи - второе действие.

66 Управление защитой от вирусов и программ-шпионов Сведения об автоматической защите

–  –  –

Осмотр на наличие угроз безопасности можно выключить в настройках автоматической защиты.

См. "Выключение и включение поиска и блокирования угроз безопасности в функции автоматической защиты " на стр. 72.

В случае обнаружения процесса, постоянно загружающего угрозу безопасности на компьютер, функция автоматической защиты показывает уведомление и заносит в журнал сведения о найденной угрозе. (В функции автоматической защиты должна быть настроена отправка уведомлений.) Если процесс продолжает загружать ту же угрозу безопасности, то будет создано несколько одинаковых уведомлений и записей журнала. Для того чтобы избежать излишнего числа повторных уведомлений и записей журнала, функция автоматической защиты отправляет максимум три уведомления об одной угрозе. Аналогично, функция автоматической защиты заносит максимум три записи журнала об одной угрозе.

В ряде случаев функция автоматической защиты не прекращает отправку уведомлений и запись событий в журнал.

Это происходит в следующих случаях:

На компьютерах клиентов пользователь или администратор выключил блокирование установки угроз безопасности (по умолчанию этот параметр включен).

Для угрозы безопасности, которую загружает процесс, настроено действие "Не исправлять".

–  –  –

Отключение автоматической защиты почты при использовании соединений с шифрованием данных Электронная почта может передаваться по безопасному соединению. По умолчанию функция автоматической защиты почты Интернета поддерживает работу с зашифрованными паролями и почтовыми сообщениями, передаваемыми по соединениям POP3 и SMTP. Если POP3 или SMTP применяется совместно с SSL, то клиент распознает безопасные соединения, но не осматривает зашифрованные сообщения.

Хотя функция автоматической защиты не осматривает почтовые сообщения, передаваемые по безопасным соединениям, она продолжает защищать компьютер от угроз из вложений. Она осматривает почтовые вложения при их сохранении на жестком диске.

Примечание: Из-за возможного снижения производительности функция автоматической защиты почты Интернета не поддерживается для POP3 в операционных системах сервера.

При необходимости можно выключить поддержку зашифрованных почтовых сообщений. В этом случае функция автоматической защиты осматривает входящие и исходящие незашифрованные сообщения и блокирует всю зашифрованную почту. Для того чтобы снова получить возможность отправлять зашифрованную почту, необходимо не только активировать соответствующие параметры автоматической защиты, но и перезапустить почтовый клиент.

Примечание: Отключение поддержки соединений с шифрованием в параметрах автоматической защиты вступает в силу только после повторного входа в Windows. Для того чтобы изменение вступило в силу немедленно, заново войдите в систему.

70 Управление защитой от вирусов и программ-шпионов Сведения об автоматической защите

–  –  –

Обычно вирусы заражают только определенные типы файлов. Однако выбор только некоторых расширений для осмотра в рамках автоматической защиты ослабляет защиту компьютера. В список расширений по умолчанию включены файлы, вероятность заражения которых вирусами наиболее велика.

Функция автоматической защиты осматривает все исполняемые файлы, а также все файлы.exe и.doc. Она правильно определяет тип файла даже в том случае, если расширение файла было изменено вирусом. Например, она будет осматривать файлы.doc, даже если их расширение было изменено вирусом.

Для обеспечения максимально надежной защиты компьютера от вирусов и угроз безопасности функция автоматической защиты должна осматривать все типы файлов.

Как настроить распознавание типов файлов в функции автоматической защиты 1 На боковой панели клиента выберите Изменить параметры.

2 В разделе "Защита от вирусов и программ-шпионов" нажмите кнопку Изменить параметры.

3 Откройте вкладку "Автоматическая защита" и выполните одно из следующих действий в разделе "Типы файлов":

Выберите Все типы, чтобы осматривались все файлы.

–  –  –

4 Если был отмечен пункт "Выбранные", то выберите или отмените выбор параметра Определять типы файлов по содержимому.

5 Нажмите кнопку OK.

72 Управление защитой от вирусов и программ-шпионов Сведения об автоматической защите

–  –  –

Настройка параметров осмотра сети

В конфигурации осмотра сети можно задать следующие параметры:

Следует ли хранить информацию о сетевых файлах, проверенных функцией автоматической защиты, в кэше.

По умолчанию функция автоматической защиты осматривает файлы при записи файла на удаленный компьютер. Кроме того, она осматривает файлы, загружаемые на локальный компьютер с удаленных компьютеров.

Однако функция автоматической защиты не всегда выполняет осмотр при чтении файла на удаленном компьютере. По умолчанию функция автоматической защиты доверяет удаленным функциям автоматической защиты. Если параметр доверия включен на обоих компьютерах, то локальная функция автоматической защиты проверяет параметры функции автоматической защиты на удаленном компьютере. Если эти параметры обеспечивают уровень безопасности не ниже, чем локальные параметры, то локальная функция автоматической защиты доверяет удаленной функции автоматической защиты. В этом случае локальная функция автоматической защиты не осматривает файлы, считываемые с удаленного компьютера. Она полагает, что удаленная функция автоматической защиты уже осмотрела файлы.

Примечание: Локальная функция автоматической защиты всегда осматривает файлы, копируемые с удаленного компьютера.

По умолчанию параметр доверия включен. Выключение этой функции может привести к снижению скорости работы сети.

Как отказать в доверии удаленным версиям функции автоматической защиты 1 На боковой панели клиента выберите Изменить параметры.

2 В разделе "Защита от вирусов и программ-шпионов" нажмите кнопку Изменить параметры.

3 На вкладке "Автоматическая защита файловой системы" нажмите кнопку Дополнительно.

74 Управление защитой от вирусов и программ-шпионов Сведения об автоматической защите

–  –  –

Работа с осмотрами функции защиты от вирусов и программ-шпионов Функция автоматической защиты является самым мощным оружием против вирусов и угроз безопасности. Однако помимо автоматической защиты в функции защиты от вирусов и программ-шпионов предусмотрен ряд других типов осмотров, позволяющих еще больше обезопасить компьютер.

Доступные типы осмотров описаны в Табл. 6-1

–  –  –

Пользовательский Осмотр указанного набора файлов в произвольное время.

Если включена автоматическая защита, то для обеспечения высокого уровня безопасности достаточно ежедневно выполнять активный осмотр и еженедельно выполнять плановый осмотр всех файлов. Если компьютер часто атакуется вирусами, то рекомендуется добавить полный осмотр при запуске или ежедневный плановый осмотр.

Дополнительно можно настроить периодичность выполнения осмотра, который выполняет поиск подозрительных действий, а не известных угроз.

См. "Настройка частоты запуска превентивного поиска угроз TruScan" на стр. 112.

76 Управление защитой от вирусов и программ-шпионов Работа с осмотрами функции защиты от вирусов и программ-шпионов

–  –  –

Сведения о файлах описаний Вирусы содержат фрагменты кода, которые, будучи выделенными, могут использоваться в качестве шаблонов. Соответствие этим шаблонам может прослеживаться в зараженных файлах. Шаблоны иногда называются сигнатурами. Аналогичные сигнатуры распознаются в угрозах безопасности, таких как программы показа рекламы и программы-шпионы.

Файлы описаний содержат список известных сигнатур вирусов, не включающих в себя вредоносный код, и известных сигнатур угроз безопасности. Модуль осмотра выполняет поиск известных сигнатур из файлов описаний в хранящихся на компьютере файлах. Файл считается зараженным, если было обнаружено совпадение с шаблоном вируса. С помощью файлов описаний клиент определяет вирус, заразивший файл, и способ устранения его побочных эффектов. При обнаружении угрозы безопасности клиент использует файлы описаний для изоляции угрозы и устранения ее побочных эффектов.

В компьютерной среде регулярно появляются новые вирусы и угрозы. В связи с этим очень важно, чтобы на компьютере были установлены текущие файлы описаний. Это позволит клиенту находить и удалять даже те вирусы и угрозы, которые появились совсем недавно.

78 Управление защитой от вирусов и программ-шпионов Работа с осмотрами функции защиты от вирусов и программ-шпионов

–  –  –

Настройка осмотра функции защиты от вирусов и программ-шпионов Для защиты компьютера от вирусов и угроз безопасности можно настроить различные типы осмотров.

Создание планового осмотра Плановые осмотры - это важный компонент защиты от угроз безопасности.

Для того чтобы компьютер был надежно защищен от вирусов и угроз безопасности, плановый осмотр должен выполняться не реже раза в неделю.

Созданные осмотры показаны в окне "Осмотреть на наличие угроз".

Примечание: Если плановый осмотр был создан администратором, то он будет показан в списке осмотров в окне "Осмотреть на наличие угроз".

–  –  –

Выборочный Проверяет отдельные области компьютера на наличие вирусов и угроз безопасности.

80 Управление защитой от вирусов и программ-шпионов Настройка осмотра функции защиты от вирусов и программ-шпионов

–  –  –

Параметры производительности Параметры миграции между разными типами памяти 11 В разделе "Окно диалога" разверните выпадающий список, выберите пункт Показывать ход выполнения осмотра и нажмите кнопку OK.

12 В окне параметров осмотра можно дополнительно изменить следующие параметры:

–  –  –

14 В окне "Когда выполнять осмотр" выберите пункт В указанное время и нажмите кнопку Далее.

15 В окне планирования укажите периодичность и время выполнения осмотра.

16 Нажмите кнопку Дополнительно.

17 В окне дополнительных параметров расписания выполните следующие действия:

Выберите Повторить пропущенные осмотры, затем укажите значение в поле Максимальное количество дней ожидания перед повторением осмотра.

Например, можно разрешить запуск еженедельного осмотра в течение трех дней после запланированного времени.

Включите или выключите переключатель Выполнять осмотр, даже если ни один пользователь не вошел в систему.

Если в то время, на которое запланирован осмотр, пользователь работает в системе, то осмотр выполняется в любом случае, независимо от значения этого параметра.

Похожие работы:

«Социальная помощь несовершеннолетним, пострадавшим в ходе вооруженных конфликтов: в рамках целевой программы Дети России подпрограммы Профилактика безнадзорности и правонарушений несовершеннолетних: информационно-аналитические материалы по результатам опытно-экспериментального проекта, 2005, 5902079403, 9785902079408, СевероКавказский соц. ин-т, 2005 Опубликовано: 7th August 2010 Социальная помощь несовершеннолетним, пострадавшим в ходе вооруженных конфликтов: в рамках целевой программы Дети...»

«Ярославский филиал Образовательного учреждения профсоюзов высшего образования «Академия труда и социальных отношений» УТВЕРЖДЕНО Ученым советом протокол № 8 от 26 марта 2015г. Председатель Ученого совета Тюрин С. Б. 01 апреля 2015 г. ОТЧЕТ О САМООБСЛЕДОВАНИИ Ярославского филиала Образовательного учреждения профсоюзов высшего образования «Академия труда и социальных отношений» Ярославль 2015 г. СОДЕРЖАНИЕ I. АНАЛИТИЧЕСКАЯ ЧАСТЬ. Введение.. 1. Организационно-правовое обеспечение деятельности...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Ярославский государственный университет им. П.Г. Демидова Юридический факультет УТВЕРЖДАЮ Проректор по развитию образования _Е.В. Сапир _2012 г. Рабочая программа дисциплины послевузовского профессионального образования (аспирантура) Теория и история права и государства; история учений о праве и государстве по специальности научных работников 12.00.01 Теория и история права и государства; история учений о праве и государстве Ярославль 2012...»

«Государственное автономное образовательное учреждение высшего профессионального образования «Московский городской университет управления Правительства Москвы» Институт высшего профессионального образования Кафедра юриспруденции УТВЕРЖДАЮ Проректор по учебной и научной работе А.А. Александров «_»_ 2015 г. Рабочая программа учебной дисциплины «Семейное право» для студентов направления подготовки 40.03.01 «Юриспруденция» профиль «Правовое обеспечение государственного и муниципального управления в...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Кемеровский государственный университет» Новокузнецкий институт (филиал) Факультет юридический УТВЕРЖДАЮ Декан факультета А.Б. Диваев «16» марта 2015 г. РАБОЧАЯ ПРОГРАММА ДИСЦИПЛИНЫ Б3.В.ОД.8 Криминология Направление 40.03.01 «Юриспруденция» Направленность (профиль) подготовки Государственно-правовой, гражданско-правовой, уголовно-правовой...»

«1. Цели освоения дисциплины Научить студента ориентироваться в вузовской библиотеке, познакомить его с системой справочной и научной литературы, обучить методике поиска документов по интересующей теме с помощью информационно-библиографических пособий, каталогов, картотек и баз данных, привить культуру чтения значит не только помочь ему обучаться в вузе сегодня, но и подготовить будущего специалиста к самостоятельной работе завтра 2.Место дисциплины в структуре ООП бакалавриата Курс относится к...»

«Федеральное государственное бюджетное образовательное учреждение высшего образования «Российская правовая академия Министерства юстиции Российской Федерации» Северный (г. Петрозаводск) филиал (СФ РПА Минюста России) Юридический факультет УТВЕРЖДАЮ Директор филиала Е.Е. Петров Рабочая программа учебной дисциплины Правовые и организационные основы деятельности службы судебных приставов НАПРАВЛЕНИЕ ПОДГОТОВКИ 40.05.02 – ПРАВООХРАНИТЕЛЬНАЯ ДЕЯТЕЛЬНОСТЬ КВАЛИФИКАЦИЯ (степень) – специалист КАФЕДРА...»

« ДИСЦИПЛИНЫ АДВОКАТУРА Направление подготовки 030900.62 «Юриспруденция» Квалификация (степень) выпускника – бакалавр Форма обучения – очная, заочная Санкт-Петербург Разработчик: Кандидат юридических наук, доцент Шадрина Е. Г. Рабочая программа по дисциплине «Адвокатура» составлена в соответствии с требованиями федеральных государственных...»

«АССОЦИИРОВАННАЯ ШКОЛА Ю Н Е С К О ОАНО ГИМНАЗИЯ «ЭЛЛАДА» во имя святых Кирилла и Мефодия городская инновационная площадка по учебно-исследовательской деятельности Согласовано Согласовано на заседании ЛДНО и ПП Утверждено Зам директора по УВР Директор ОАНО Гимназии «Эллада» _ Савченко И.А. «» августа 2014 Сидоров В.А. РАБОЧАЯ ПРОГРАММА Название предмета Основы православной веры Класс 1 «А» Срок реализации программы 2015-2016 учебный год Ф.И.О. учителя, категория Плешинец Инора Машрабовна...»

« института на 2013-2018 годы и Плана мероприятий («дорожная карта») «Изменения в системе подготовки кадров МВД России, направленные на повышение эффективности образования и науки» Реализация мероприятий, предусмотренных Посланием Президента России Федеральному Собранию Российской Федерации, Директивой МВД России от 12.11.2013 № 2дсп «О...»

«Введение 1. В целях самообследования и в соответствии с Приказами Министерства образования и науки Российской Федерации от 14 июня 2013 года № 462 в Муниципальном автономном дошкольном образовательном учреждении «Центр развития ребенка «Умка» проведен анализ деятельности образовательного учреждения в период с 19.01.2015 по 31.05.2015.Самоанализ осуществлялся в три этапа: I этап. Ознакомление сотрудников и родителей с целями самоанализа. II этап. Сбор информации о работе дошкольной организации....»

«СОДЕРЖАНИЕ ОБЩИЕ ПОЛОЖЕНИЯ ОБЛАСТЬ ПРИМЕНЕНИЯ И СФЕРА ДЕЙСТВИЯ ПРОГРАММЫ НОРМАТИВНЫЕ ДОКУМЕНТЫ ТРЕБОВАНИЯ К УРОВНЮ ЗНАНИЙ ЛИЦ, ПОСТУПАЮЩИХ В МАГИСТРАТУРУ ИНСТИТУТА ЗАКОНОДАТЕЛЬСТВА И СРАВНИТЕЛЬНОГО ПРАВОВОЕДЕНИЯ ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ ПОРЯДОК ПРОВЕДЕНИЯ ПИСЬМЕННОГО КОМПЛЕКСНОГО МЕЖДИСЦИПЛИНАРНОГО ВСТУПИТЕЛЬНОГО ЭКЗАМЕНА 1.1. О КРИТЕРИЯХ ОЦЕНКИ РЕЗУЛЬТАТОВ СДАЧИ ПИСЬМЕННОГО КОМПЛЕКСНОГО МЕЖДИСЦИПЛИНАРНОГО ВСТУПИТЕЛЬНОГО ЭКЗАМЕНА 1.2. ЦЕЛЬ ПРОГРАММЫ 1.3. РАЗДЕЛ 1. ТЕОРИЯ...»

« Зав. кафедрой Д.ю.н., проф. Коломытцев Н.А. «_»_20_г. КОНСТИТУЦИОННОЕ (государственное) ПРАВО РОССИИ РАБОЧАЯ ПРОГРАММА Направление подготовки 030900.62 «Юриспруденция» Квалификация (степень) выпускника – бакалавр Форма обучения – очная, заочная Санкт-Петербург Разработчики: доктор юридических наук, профессор ВИНОКУРОВ Владимир Анатольевич,...»

« Н.В.Микляева В современной науке и практике для описания образовательного процесса, в котором дети с условной нормой развития и дети с особыми образовательными потребностями и ограниченными возможностями здоровья обучаются и воспитываются вместе, используются такие термины, как интеграция, мэйнстриминг, инклюзия. Термин «интеграция»...»

«Михаил Поздняков Практическая реализация принципа открытости правосудия в Российской Федерации Санкт-Петербург Проблемы практической реализации принципа открытости правосудия в Российской Федерации. - СПб: Институт проблем правоприменения при Европейском университете в Санкт-Петербурге, 2013. - 49 стр. Автор: Михаил Львович Поздняков – научный сотрудник Института проблем правоприменения. Институт проблем правоприменения (The Institute for the Rule of Law) создан в 2009 году в составе...»

«СОДЕРЖАНИЕ Общие сведения об образовательном учреждении 4 1. Общая характеристика образовательного учреждения. 1.1 Организационно-правовое обеспечение образовательной деятельности колледжа. 1.2 Особые цели и отличительные черты образовательного учреждения, ожидаемые 1.3 результаты деятельности. Структура Колледжа и система его управления 2. Структура и содержание подготовки специалистов 9 3. Направления подготовки и формирование контингента, динамика численности. 3.1 Организация и содержание...»

«МИНОБРНАУКИ РОССИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ» (ФГБОУ ВПО «ВГУ») УТВЕРЖДАЮ Заведующий кафедрой финансового права _ Сенцова М. В. 02.09.2013 г. РАБОЧАЯ ПРОГРАММА УЧЕБНОЙ ДИСЦИПЛИНЫ Б.3.Б.14 ФИНАНСОВОЕ ПРАВО 1. Шифр и наименование направления подготовки / специальности: 030900 Юриспруденция 2. Профиль подготовки: Государственное право 3. Квалификация (степень) выпускника: бакалавр...»

«ГОСУДАРСТВЕННОЕ И МУНИЦИПАЛЬНОЕ УПРАВЛЕНИЕ В СФЕРЕ ТУРИЗМА Под общей редакцией доктора юридических наук Е.Л. Писаревского Рекомендовано Федеральным агентством по туризму в качестве учебника для обучения студентов вузов по направлению подготовки «Туризм» Рекомендовано УМО учебных заведений Российской Федерации по образованию в области сервиса и туризма в качестве учебника для обучения студентов высших учебных заведений по направлению подготовки «Туризм» МОСКВА УДК 351/379.85(075.8) ББК 65.43я73...»

«ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «РОССИЙСКАЯ ПРАВОВАЯ АКАДЕМИЯ МИНИСТЕРСТВА ЮСТИЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ» (РПА Минюста России) ПРОГРАММА ВСТУПИТЕЛЬНОГО ЭКЗАМЕНА ПО ДИСЦИПЛИНЕ «ИСТОРИЯ» ДЛЯ АБИТУРИЕНТОВ, ПОСТУПАЮЩИХ НА ОБУЧЕНИЕ ПО НАПРАВЛЕНИЮ ПОДГОТОВКИ 40.03.01 «ЮРИСПРУДЕНЦИЯ», СПЕЦИАЛЬНОСТЯМ 40.05.01 «ПРАВОВОЕ ОБЕСПЕЧЕНИЕ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ», 40.05.02 «ПРАВООХРАНИТЕЛЬНАЯ ДЕЯТЕЛЬНОСТЬ» Москва Содержание экзамена...»
Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам , мы в течении 1-2 рабочих дней удалим его.

В этой статье описана установка продукта Symantec Endpoint Protection 11.0 в сети, в которой не было установлено старых версий Symantec AntiVirus.

Первая установка программного обеспечения для управления выполняется в два этапа. На первом этапе устанавливается Symantec Endpoint Protection Manager. На втором этапе устанавливается и настраивается база данных Symantec Endpoint Protection Manager. На первом этапе оставьте без изменения значения по умолчанию. На втором этапе пользователь должен ввести по крайней мере одно значение - пароль.

Примечание:

• Программное обеспечение для управления не включает программу Symantec Endpoint Protection или какой-либо другой управляемый клиент.
• Перед установкой Symantec Endpoint Protection Manager необходимо установить Internet Information Services (IIS).

Как установить Symantec Endpoint Protection Manager (SEPM)

Загрузите установочный компакт-диск и запустите процедуру установки.

На панели установки выберите вариант Установить Symantec Endpoint Protection Manager.

В окне "Лицензионное соглашение" выберите Я согласен с условиями лицензионного соглашения. Нажмите кнопку Далее.

В окне "Целевая папка" измените или оставьте значение по умолчанию для папки установки.

Выполните одно из следующих действий:

• Для настройки веб-сервера Symantec Endpoint Protection Manager IIS (Internet Information Service) в качестве единственного веб-сервера на этом компьютере выберите вариант Создать отдельный веб-сайт и нажмите кнопку Далее.

  Для настройки веб-сервера Symantec Endpoint Protection Manager IIS для работы с другими веб-серверами на этом компьютере выберите Использовать веб-сайт по умолчанию и нажмите кнопку Далее.

  Если установка производится на сервер под управлением Windows 2003 SB, то для настройки web-сервера необходимо выбирать вариант Использовать веб-сайт по умолчанию.

В окне, подтверждающем готовность к установке, нажмите кнопку Установить.

По завершении установки откроется окно "Работа мастера установки завершена". Нажмите Готово. Мастер настройки сервера управления запустится спустя примерно 15 секунд.

Как настроить Symantec Endpoint Protection Manager

На панели "Мастер настройки сервера управления" выберите тип конфигурации.

Примечание: Если выбрана Простая конфигурация, то пароль администратора SEPM применяется в качестве пароля шифрования. Если впоследствии пароль администратора изменяется, пароль шифрования остается без изменения.

В окне "Тип сайта" выберите Установить первый сайт и нажмите Далее.

В окне "Сведения о сервере" измените или оставьте значения по умолчанию для следующих полей и нажмите Далее:

• Имя сервера

  Порт сервера

  Папка данных сервера

В поле "Имя сайта" измените или оставьте имя по умолчанию и нажмите Далее.

В окне "Пароль шифрования" укажите пароль в обоих полях и нажмите Далее.

Сохраните этот пароль во время установки Symantec Endpoint Protection в рабочей среде. Он указывается при восстановлении после аварии и добавлении аппаратных компонентов Enforcer.

В окне "Выбор сервера базы данных" выберите Встроенная база данных и нажмите Далее.

На панели настройки пользователя укажите пароль, который должен вводиться при входе на консоль от имени пользователя "Admin". Нажмите кнопку Далее. Или создайте пользователя который является администратором домена.

По окончании установки вы сможете развернуть клиент с помощью мастера переноса и развертывания. Войдите на консоль с указанными ранее именем пользователя и паролем.

Настройка и развертывание программного обеспечения клиента

Мастер переноса и развертывания позволяет настроить пакет программного обеспечения клиента. Затем для развертывания пакета программного обеспечения клиента можно запустить мастер развертывания методом рассылки. Если пользователь откажется от запуска мастера развертывания методом рассылки, то в дальнейшем его можно будет запустить вручную. Для этого необходимо запустить программу ClientRemote.exe из папки \tomcat\bin.
Примечание: Далее описана процедура установки клиента на 32-разрядных компьютерах (не на 64-разрядных). В ходе установки потребуется указать папку для копирования установочных файлов. Рекомендуется создать эту папку перед началом процедуры. Установку должен выполнять администратор домена или рабочей группы Windows.

При развертывании клиента на компьютерах, защищенных брандмауэром и работающих под управлением Windows XP или Windows Vista, необходимо учитывать дополнительные факторы. Брандмауэр должен разрешать удаленное развертывания через порт TCP 139. На компьютерах рабочих групп, работающих под управлением Windows XP, необходимо выключить простой общий доступ к файлам. Для подготовки компьютеров с операционной системой Windows Vista ознакомьтесь с документом "Подготовка компьютеров, работающих под управлением Windows, к удаленному развертыванию клиента." (по-английски) :

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007091021513648

Как настроить клиент

В окне "Работа мастера настройки сервера управления завершена" выберите Да и нажмите Готово.

В окне "Вас приветствует мастер переноса и развертывания" нажмите кнопку Далее.

В окне "Выберите нужное действие" выберите Развернуть клиент и нажмите кнопку Далее.

В следующем окне выберите пункт Укажите имя новой группы, в которую следует добавить клиенты, введите имя группы и нажмите кнопку Далее.

В следующем окне отмените выбор программ клиента, которые не следует устанавливать, и нажмите Далее.

В следующем окне укажите параметры для пакетов, файлов и взаимодействия с пользователем.

Нажмите кнопку "Обзор", выберите папку для установочных файлов и нажмите кнопку Открыть.

В следующем окне выберите Да и нажмите Готово.

Не включайте параметр запуска консоли администратора. Создание и экспорт пакета установки для группы может занять до 5 минут. Потом откроется мастер развертывания методом рассылки.

Как развернуть клиент с помощью мастера развертывания методом рассылки

В окне мастера развертывания методом рассылки в списке "Доступные компьютеры" выберите компьютеры, на которых следует установить клиент, и нажмите кнопку Добавить.

Если клиент разворачивается на локальном компьютере, и брандмауэр Windows не настроен для обработки Java, то он может блокировать эту функцию, показав сообщение о необходимости ее настройки. Это окно может быть показано под окном мастера развертывания методом рассылки, то есть не будет видно пользователю. Если мастер развертывания методом рассылки перестал отвечать, переместите его окно вбок и проверьте, не скрыто ли под ним окно с сообщением брандмауэра Windows.

В окне "Идентификация удаленного клиента" введите имя пользователя и пароль для входа в домен или рабочую группу Windows этих компьютеров и нажмите кнопку OK.

После того как все компьютеры будут выбраны и показаны на правой панели, нажмите кнопку Готово.

После завершения установки нажмите кнопку Готово.

Вход на консоль и поиск своей группы в консоли

Прежде всего необходимо войти на консоль и найти свою группу.

Вход на консоль управления

Консоль управления предназначена для управления клиентами.

Как войти на консоль управления

Выберите Пуск> Программы> Symantec Endpoint Protection Manager> Консоль Symantec Endpoint Protection Manager.

В окне входа в систему Symantec Endpoint Protection Manager введите имя пользователя admin.

В поле пароля введите пароль учетной записи администратора, заданный во время установки. Нажмите кнопку Вход в систему.

Поиск своей группы в консоли

После входа на консоль необходимо найти группу, созданную в ходе установки. Затем следует убедиться, что в эту группу входят компьютеры, на которых было установлено программное обеспечение.

Активация Symantec Network Access Control

Если продукт Symantec Endpoint Protection был приобретен вместе с продуктом Symantec Network Access Control, то выполните ряд дополнительных действий для активации Symantec Network Access Control.

Как активировать Symantec Network Access Control

Закройте консоль Symantec Endpoint Protection Manager, если она открыта.

Вставьте компакт-диск продукта Symantec Network Access Control.

На панели установки выберите пункт Установить Symantec Network Access Control.

Нажмите Установить Symantec Endpoint Protection Manager.

В окне "Обновление сервера управления" нажмите кнопку Далее.

Нажмите Продолжить.

Когда в окне "Состояние обновления сервера" будет показано сообщение об успешном завершении обновления, нажмите кнопку Далее.

Нажмите кнопку Готово.

Войдите на консоль Symantec Endpoint Protection Manager.

На вкладке "Политики" выберите Целостность хоста.

На правой панели выберите Политика целостности хоста.

В разделе "Задачи" выберите Присвоить политику.

В окне "Присвоить политику целостности хоста" выберите группу, которой следует присвоить политику.

Нажмите кнопку Присвоить, а затем нажмите Да, чтобы подтвердить изменение.

Теперь функция Symantec Network Access Control активирована в Symantec Endpoint Protection Manager и на клиентах из созданной группы.

Решение Symantec Endpoint Protection 12 предназначено для защиты рабочих станций и серверов, работающих под управлением ОС Windows, Mac OS X и Linux (как 32-битных редакций, так и 64-битных). Компьютеры, работающие под управлением этих операционных систем, составляют подавляющее большинство технического парка находящегося в локальных сетях предприятий.

Основная документация по Symantec Endpoint Protection 12 переведена на русский язык и выполнена достаточно качественно. Основной документ «Руководство по внедрению Symantec Endpoint Protection и Symantec Network Access Control» имеет объём 1167 страниц. Тем не менее, это достаточно структурированный документ, в котором администратор антивирусной сети может найти ответы на большинство вопросов, возникающие в процессе развёртывания и эксплуатации Symantec Endpoint Protection 12. Для начинающих администраторов Symantec Endpoint Protection 12 предлагается документ «Руководство по началу работы с Symantec Endpoint Protection», который имеет объём 32 страницы и содержит необходимую базовую информацию по началу работы с Symantec Endpoint Protection 12. Некоторые документы, относящиеся к описанию работы с клиентами Symantec Endpoint Protection 12, предлагаются только на английском языке. Например, это касается документации на антивирусный пакет для Linux-систем.

Интерфейс клиентов для Windows полностью русифицирован. Инсталляционный пакет для Mac OS X русифицирован частично (имеются англоязычные окна), а интерфейс самого клиента доступен сугубо на английском языке. Клиент для защиты компьютеров, работающих под управлением Linux-систем, доступен только на английском языке, что, в общем-то, не должно быть препятствием для администраторов Linux-систем.

В настоящем обзоре клиентской части Symantec Endpoint Protection 12 приводится вариант установки локальных клиентов, не подключенных к антивирусному серверу (т.н. «неуправляемые клиенты»). В этом случае пользователь имеет возможность полноценно управлять антивирусной защитой на своём компьютере. Это позволяет описать все возможности по управлению защитой клиентов Symantec Endpoint Protection 12. Управление клиентами из консоли администратора будет описано во второй части обзора.

Размер дистрибутивов Symantec Endpoint Protection 12 также близок к рекордным показателям – русскоязычный дистрибутив Symantec Endpoint Protection 12.1 имеет размер 1,45 ГБ, также к этому дистрибутиву предлагается пакет с документацией и утилитами общим размером 397 МБ. Тем не менее, такие размеры дистрибутивов корпоративных программных продуктов уже не удивляют, и их загрузка вряд ли вызовет неудобство при использовании среднестатистического интернет-канала предприятия. Так что этот параметр вряд ли можно считать недостатком в современных условиях.

Системные требования

Системные требования для клиентов Symantec Endpoint Protection 12 приведены в соответствии с документом «Symantec Endpoint Protection 12.1. Спецификация: Защита конечных систем».

Клиент Symantec Endpoint Protection для Windows

Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008, Windows Small Business Server 2003, Windows Small Business Server 2008, Windows Essential Business Server 2008 или Windows Small Business Server 2011 (поддерживаются 32-битные и 64-битные редакции Windows);

32-разрядный процессор: Intel Pentium III 1 ГГц или аналогичный (рекомендуется Intel Pentium 4 или аналогичный процессор);

64-разрядный процессор: Pentium 4 2 ГГц или аналогичный (процессоры Itanium не поддерживаются);

700 МБ дискового пространства.

Клиент Symantec Endpoint Protection для Mac

Mac на базе PowerPC с Mac OS X 10.4-10.5x;

Mac на базе Intel с Mac OS X 10.4-10.6 (поддерживаются 32-битные и 64-битные редакции Mac OS X);

500 МБ свободного дискового пространства для установки;

Примечание. Поддержка актуальной версии Mac OS X 10.7 Lion была добавлена в версии SEP 12.1.1000 (RU1 - Release Update 1). Версия SEP 12.1 RU1 стала доступна 16 ноября.

Клиент Symantec AntiVirus для Linux

Debian 6.0 Squeeze, 5.0 Lenny, 4.0 Etch;

Fedora 15, 13, 12, 10;

Novell - Linux Desktop 9 (NLD9);

OES2 SP1, SP2, SP3 / OES11;

Red Hat версии 6.0 ES, 5.0 ES, 4.0 ES, 3.0 ES;

Red Hat версии 5.0 AS, 4.0 AS;

Red Hat версии 4.0 Desktop;

Red Hat Enterprise Linux 4.0 ES, 3.0 ES;

Red Hat Linux AS 3;

SuSE Linux Enterprise Desktop 11, 10;

SuSE Linux Enterprise Server 11, 10, 9;

Ubuntu 11.04, 10.04, 9.10, 8.04.

Установка клиента Symantec Endpoint Protection 12 для Windows

Опишем установку клиентов Symantec Endpoint Protection 12 для Windows на примере Windows 7 SP1 (32-битная редакция). Для Windows-серверов предлагается устанавливать такие же клиенты Symantec Endpoint Protection 12, как и для рабочих станций Windows, но, при этом, предлагается не устанавливать компоненты, использование которых на конкретном сервере не имеет смысла. Например, имеется возможность не устанавливать компонент, отвечающий за проверку почтового трафика. Для написания обзора также тестировалась установка клиента Symantec Endpoint Protection 12 на Windows Server 2008 R2, которая также прошла успешно и выглядела идентично установке на Windows 7.

Установка традиционно начинается с экрана приветствия, которое сменяет окно с текстом лицензионного соглашения, которое необходимо принять. После этого необходимо выбрать режим работы клиента. В нашем случае это будет неуправляемый клиент.

Рисунок 1: Выбор типа клиента в Symantec Endpoint Protection 12

После этого необходимо выбрать между обычной и выборочной установкой. По умолчанию не устанавливаются такие компоненты как «Сканер Outlook» и «Сканер Notes». При выборочной установке можно их активировать в случае необходимости более тесной интеграции защиты с почтовым клиентом Microsoft Outlook или при необходимости проверять трафик, генерируемый клиентом IBM Lotus Notes.

Рисунок 2: Устанавливаемые компоненты клиента Symantec Endpoint Protection 12

На следующем экране инсталляционный пакет клиента для Windows предлагает включить автоматическую (постоянную) защиту, автоматическое обновление LiveUpdate, а также, во избежание конфликтов с клиентом Symantec Endpoint Protection 12, отключить компонент Windows Defender.

Рисунок 3: Компоненты обеспечения безопасности клиента Symantec Endpoint Protection 12

Следующие два экрана установки посвящены запросу разрешения у пользователя на отправку в компанию Symantec сведений о репутации файлов, а также информации о ходе установки клиента Symantec Endpoint Protection 12 для Windows.

Рисунок 4: Завершение установки клиента Symantec Endpoint Protection 12

После нажатия кнопки «Установить» программа установки производит необходимые манипуляции, не требующие вмешательства пользователя, по окончанию которых необходимо будет лишь нажать кнопку «Готово» для завершения установки. Если установка производилась с настройками по умолчанию, то по её завершению автоматически запускается компонент LiveUpdate, который обновляет компоненты клиента Symantec Endpoint Protection 12 для Windows и определения вирусов до актуального состояния.

Рисунок 5: Компонент обновления Symantec Endpoint Protection 12 – LiveUpdate

Для того чтобы все установленные компоненты заработали в штатном режиме, необходима перезагрузка компьютера. До момента перезагрузки компоненты сетевой защиты не активны, остальные компоненты работают в полном объеме.

Компоненты клиента Symantec Endpoint Protection 12 для Windows

В главном окне интерфейса клиента Symantec Endpoint Protection 12 для Windows показана актуальная информация о состоянии защиты. Также для каждого компонента с помощью кнопки Параметры можно перейти в соответствующие настройки либо в журналы их работы.

Рисунок 6: Главное окно интерфейса в клиенте Symantec Endpoint Protection 12 для Windows

Если перейти в пункт меню «Сканировать» главного окна интерфейса, то отобразятся задания на периодическое сканирование. Также доступны ссылки на запуск активного сканирования, либо сканирования всей системы. При активном сканировании производится проверка только некоторых объектов файловой системы Windows, в которых чаще всего обнаруживаются вредоносные программы. С помощью перехода по соответствующей ссылке можно произвести глобальные настройки сканирования.

Рисунок 7: Пункт меню «Сканировать» в интерфейсе Symantec Endpoint Protection 12 для Windows

При запуске сканирования по требованию открывается окно сканера, в котором отображаются ход и результаты сканирования, а также действия, производимые с вредоносными объектами, степень риска и тип обнаруженных угроз.

Рисунок 8: Интерфейс сканера в клиенте Symantec Endpoint Protection 12 для Windows

В пункте меню «Изменить параметры» главного окна клиента сосредоточены настройки всех компонентов защиты Symantec Endpoint Protection 12 для Windows. Получить к ним доступ можно с помощью кнопки «Настроить параметры», которая отображается справа от названия каждого компонента защиты.

Рисунок 9: Меню «Изменить параметры» в интерфейсе Symantec Endpoint Protection 12 для Windows

Окно с параметрами работы компонента «Защита от вирусов и программ-шпионов» разбито на четыре вкладки:

Глобальные настройки;

Автоматическая защита;

Download Insight;

Автоматическая защита интернет-почты.

На вкладке «Глобальные настройки» можно включить или отключить использование технологий Insight и Bloodhound. При этом для технологии Insight есть возможность выбрать, какая именно информация будет использоваться для её работы – только та, которая проверена специалистами Symantec или же будет учитываться информация, поступающая от сообщества пользователей продукта. Варианты отличаются друг от друга уровнем уверенности в репутации файлов. В первом случае уровень уверенности максимальный, но информация существует о меньшем количестве файлов. Во втором случае есть совсем небольшая доля вероятности ошибки, но количество файлов, о которых есть информация, максимальное.

Рисунок 10: Вкладка «Глобальные настройки» параметров работы компонента «Защита от вирусов и программ-шпионов»

Репутационная технология Insight позволяет пропускать при сканировании известные безопасные файлы.

Технология Bloodhound является проактивной технологией, которая изолирует некоторые области файлов с целью обнаружения значительного числа неизвестных вредоносных программ. В случае попыток проникновения программ за изолируемый периметр производится анализ их действий и принимается решение о степени опасности этих программ.

Вкладка «Автоматическая защита» посвящена включению и выключению сканирования на наличие различных типов угроз. Также на этой вкладке можно настроить действия, которые применяются к обнаруженным вредоносным файлам, настроить уведомления, настроить параметры проверки дискет, а также задать настройки сканирования, собранные в окне «Дополнительные параметры автоматической защиты».

Рисунок 11: Дополнительные параметры автоматической защиты в Symantec Endpoint Protection 12 для Windows

На вкладке Download Insight можно настроить работу технологии Insight при загрузке файлов из Интернета. В частности, можно задать чувствительность работы данной технологии по 9-балльной шкале, а также минимальное количество пользователей или минимальный период «известности» файла для технологии Insight перед принятием решения.

На вкладке «Автоматическая защита интернет-почты» можно, соответственно, настроить параметры проверки почтового трафика на защищаемом компьютере. В частности, можно настроить действия с письмами, содержащими вредоносные объекты и настроить соответствующие уведомления. Опытные пользователи могут настроить работу данного компонента более тонко. Но в настройках есть и ограничения. В частности, некоторые хостинг-провайдеры часто предлагают клиентам использовать нестандартный SMTP-порт, тогда как при отправке с других ящиков пользователя может использовать стандартный SMTP-порт. В настройках же для проверяемого почтового трафика в Symantec Endpoint Protection 12 можно указать лишь один SMTP-порт. При этом следует учесть, что для клиентов корпоративного антивирусного продукта это не столь критично, как для домашних пользователей.

Рисунок 12: Дополнительные параметры почты Интернета в Symantec Endpoint Protection 12 для Windows

Параметры «Превентивной защиты от угроз» разбиты на 3 вкладки:

Обнаружение подозрительного поведения;

Обнаружение изменения системы.

Первая вкладка посвящена настройкам технологии SONAR 3. Эта технология поведенческого анализа работает в режиме реального времени и обнаруживает потенциально вредоносные приложения при их запуске или во время работы. При этом, для их определения используются как классические эвристические технологии, так и репутационные, для реализации которых функционирует глобальное облако.

Данная облачная репутационная технология, называемая Insight, призвана обнаруживать новые и неизвестные угрозы, которые невозможно выявить другими способами, и одновременно экономить вычислительные ресурсы системы (использование этой технологии, по информации вендора, позволяет на 70% снизить нагрузку на систему во время её сканирования). На данный момент система содержит анонимные данные о распространении более 3 миллиардов файлов более чем на 175 миллионах компьютерах клиентов.

Рисунок 13: Параметры превентивной защиты в Symantec Endpoint Protection 12 для Windows

Две последующие вкладки также предназначены для настроек работы технологии SONAR. Первая отвечает за реакцию на угрозы высокого и низкого уровней, а вторая отвечает за настройку реакции SONAR на изменение системных настроек, таких как изменение DNS и файла hosts.

Настройки для компонента «Защита от угроз из сети» разбиты на пять вкладок. Вкладка «Брандмауэр» содержит множество параметров, которые позволяют произвести базовую настройку сетевого экрана.

Рисунок 14: Настройки работы брандмауэра Symantec Endpoint Protection 12 для Windows

На вкладке «Предотвращение вторжений» можно включить или отключить защиту сети и защиту браузера от вторжений. На вкладке «Сеть Microsoft Windows» можно указать конкретный адаптер, либо выбрать все имеющиеся адаптеры для контроля трафика, а также заблокировать доступ к некоторым системным или пользовательским сетевым ресурсам извне. На вкладке «Уведомления» можно включить отображение уведомлений, а также звукового оповещения. Наконец, вкладка «Журналы» определяет для каждого типа журналов его максимальный размер и время хранения записей в нём.

Параметры исключений реализованы в виде единого окна, в котором можно указать известные угрозы по имени детектирования, файлов, папок, расширений, веб-доменов, а также исключения объектов из проверки технологией SONAR. Также можно исключить приложения из проверки целиком.

Рисунок 15: Настройки исключений в Symantec Endpoint Protection 12 для Windows

Последняя группа настроек объединена заголовком «Управление клиентами», и эти настройки разбиты на 4 вкладки. Вкладка «Общие» посвящена параметрам отображения интерфейса клиента Symantec Endpoint Protection 12, параметрам прокси-сервера, параметрам перезагрузки для различных ситуаций, а также управлению приложениями и устройствами. Вкладка «Защита от изменений», по сути, посвящена настройкам работы самозащиты антивируса. Вкладка LiveUpdate содержит настройки, определяющие параметры автоматического обновления продукта. Заключительная вкладка «Отправка» содержит флажки, отвечающие за необходимость отправки того или иного типа информации в облако Symantec для помощи противодействию злоумышленникам и помощи в разработке последующих версий SEP.

Рисунок 16: Параметры управления клиентами в Symantec Endpoint Protection 12 для Windows

Пункт меню «Карантин» в главном окне интерфейса Symantec Endpoint Protection 12 для Windows имеет достаточно стандартный интерфейс. Файлы, находящиеся в нём, можно восстановить, удалить, повторно просканировать и экспортировать. Также в карантин можно добавить любой подозрительный файл, либо отправить его на анализ в компанию Symantec. Параметры очистки разбиты на три вкладки: «Объекты в карантине», «Копии заражённых файлов» и «Исправленные файлы». Для каждого из типов объектов можно настроить время их хранения в карантине, а также максимальный размер хранилища.

Рисунок 17: Интерфейс карантина в клиенте Symantec Endpoint Protection 12 для Windows

Пункт меню «Показать журналы» главного окна интерфейса клиента Symantec Endpoint Protection 12 для Windows содержит кнопки, с помощью которых можно отобразить журналы, соответствующие каждому компоненту антивирусной защиты.

Рисунок 18: Список компонентов с возможностью отображения журналов их работы в Symantec Endpoint Protection 12 для Windows

В данных журналах можно найти подробную информацию о работе каждого компонента Symantec Endpoint Protection 12 для Windows и, в случае возникновения проблем в работе антивирусного клиента, достаточно быстро их локализовать. В качестве примера приведём изображение «Системного журнала».

Рисунок 19: Системный журнал в клиенте Symantec Endpoint Protection 12 для Windows

В главном окне клиента Symantec Endpoint Protection 12 для Windows также доступна кнопка Справка, щёлкнув по которой можно выбрать, помимо прочей информации, пункт «Устранение неполадок». При этом отображается окно с подробной информацией о настройках системы и антивирусного клиента. Эта информация может быть весьма полезной, например, при обращении в техническую поддержку.

Рисунок 20: Окно « Устранение неполадок» в клиенте Symantec Endpoint Protection 12 для Windows

В целом клиент Symantec Endpoint Protection 12 для Windows по функциональности можно сравнить с аналогичными домашними комплексными антивирусными продуктами для Windows от этой компании. К сожалению, не все производители могут похвастаться присутствием репутационных и HIPS-технологий в продуктах, предназначенных для использования на производстве. Часто такому применению мешает излишняя «разговорчивость» или ненадёжность таких компонентов, не позволяющая использовать их в «молчаливом» режиме или в производствах, где важна стабильность работы используемого ПО. Поэтому следует отдать антивирусному клиенту для Windows от Symantec должное – это один из лучших продуктов в своём классе.

Но не Windows единым живы современные локальные сети предприятий. Давайте же рассмотрим клиенты антивирусной защиты Symantec Endpoint Protection для стремительно набирающих в корпоративном сегменте операционных систем от компании Apple и Unix-систем.

Клиент Symantec Endpoint Protection 12 для Mac OS X

Для данного обзора производилась установка и настройка клиента в системе Mac OS X 10.6 Snow Leopard, старшей из поддерживаемых версий Mac OS X.

Установка клиента Symantec Endpoint Protection 12 для Mac OS X начинается традиционно с приветственного окна, за которым следует текст лицензионного соглашения. Согласившись с ним, мы должны ответить на вопрос, будет ли клиент управляемым или неуправляемым. В первой части обзора Symantec Endpoint Protection 12 мы условились устанавливать все клиенты в неуправляемом режиме. После этого необходимо выбрать диск для установки Symantec Endpoint Protection 12 для Mac OS X.

Рисунок 21: Выбор места установки во время установки Symantec Endpoint Protection 12 для Mac OS X

На следующем окне можно уточнить расположение файлов установки, после чего начинается, собственно, сам процесс установки, который не требует от пользователя дополнительных действий. Завершает процесс инсталляции окно об успешном её окончании.

После этого автоматически запускается компонент LiveUpdate и обновляет компоненты и вирусные базы клиента Symantec Endpoint Protection 12 для Mac OS X до актуального состояния.

Рисунок 22: LiveUpdate в составе клиента Symantec Endpoint Protection 12 для Mac OS X

Главное окно клиента Symantec Endpoint Protection 12 для Mac OS X весьма лаконичное и содержит информацию о точной версии клиента, дате последних определений вредоносных программ, кнопки «Live Update», которая запускает вручную процесс обновления, а также кнопка «Scan…», которая запускает сканер по требованию.

Рисунок 23: Главное окно клиента Symantec Endpoint Protection 12 для Mac OS X

Интерфейс сканера для Mac OS X достаточно стандартен и содержит текущую информацию о сканируемом файле, а также общую информацию обо всей сессии сканирования.

Рисунок 24: Интерфейс сканера Symantec Endpoint Protection 12 для Mac OS X

Основное окно LiveUpdate содержит три кнопки. Кнопка «Customize this Update Session» позволяет выбрать те компоненты из доступных в данный момент для обновления, которые пользователь хочет обновить. Кнопка «Update Everything Now» сразу запускает сканирование всех доступных для обновления компонентов.

Рисунок 25: Основной интерфейс LiveUpdate для Mac OS X

Последняя кнопка «Symantec Scheduler» запускает планировщик, позволяющий задать период выполнения задач обновлений и сеансов сканирования.

Рисунок 26: Интерфейс планировщика Symantec Endpoint Protection 12 для Mac OS X

На следующем рисунке показан интерфейс настройки нового задания на периодическое сканирование.

Рисунок 27: Настройка параметров задания на периодическое сканирование в Symantec Endpoint Protection 12 для Mac OS X

Окно настроек активной (постоянной) защиты Symantec Endpoint Protection 12 для Mac OS X разбиты на три вкладки. На вкладке General собраны настройки автоматического восстановления, отправки файлов в карантин и сканирования архивов. Вкладка SafeZones содержит список зон для мониторинга, либо список зон, которые будут исключены из проверки. Наконец, вкладка Mount Scan служит для выбора настроек сканирования подключаемых съёмных дисков (музыкальные/видеодиски, диски с данными, устройства iPod и другие типы дисков).

Рисунок 28: Настройки автоматической защиты в Symantec Endpoint Protection 12 для Mac OS X

В заключение описания антивирусного клиента для Mac OS X стоит сказать, что на сегодняшний момент этот компонент способен отразить существующие угрозы для этих систем. Единственное, что не хватает этому компоненту – так это такого же частого обновления вирусных баз, как и в клиенте для Windows, т.к. количество угроз в единицу времени для Mac OS X постоянно возрастает в геометрической прогрессии.

Клиент Symantec AntiVirus для Linux

Дистрибутив клиента Symantec AntiVirus (SAV) для Linux для данного обзора устанавливался на систему SUSE Linux Enterpise Server 9 (32-битная редакция).

Полноценного клиента SEP для Linux-систем нет. Для этих систем предлагается использовать обычный антивирус. Но, при этом, пользователь имеет возможность настроить получение обновления с локально установленного сервера обновлений, тем самым снизив нагрузку на интернет-канал предприятия.

Установочные пакеты для SAV Linux представлены как в rpm-, так и в deb-формате, с поддержкой 32-битных и 64-битных версий Linux.

Для использования компонентов, в состав которых входит графический интерфейс, необходимо предварительно установить ПО Java JRE версии 1.4 или выше.

В нашем случае для установки SAV на SLES 9 мы последовательно установили сначала rpm-пакет, sav-*.rpm, а затем остальные пакеты.

Клиент Symantec Endpoint Protection 12 для Linux, также как и клиент для Mac OS X, содержит в себе файловый монитор, модуль обновления и сканер по требованию. Правда, в отличие от описанных выше типов клиентов, клиент Symantec Endpoint Protection 12 для Linux не имеет сканера с графическим интерфейсом, т.е. запускать его необходимо соответствующей командой из терминала.

Все настройки клиента для Linux необходимо вносить непосредственно в конфигурационный файл. Правда, для упрощения этой задачи существует утилита SAVCorp Configuration Editor, которая предназначена для работы на Windows.

Рисунок 29: Утилита для редактирования конфигурационного файла Symantec Endpoint Protection 12 для Linux

Основное окно клиента Symantec Endpoint Protection 12 для Linux содержит лишь информацию о текущей версии клиента и поискового модуля, а также кнопку, вызывающую утилиту обновления LiveUpate.

Рисунок 30: Основное окно клиента Symantec Endpoint Protection 12 для Linux

Интерфейс утилиты обновления LiveUpdate для Linux также имеет достаточно стандартный интерфейс. В первом окне отображается список компонентов, которые требуют обновления, а в последующих – ход обновления и его результат.

Рисунок 31: Интерфейс утилиты обновления LiveUpdate в клиенте Symantec Endpoint Protection 12 для Linux

Выводы

В первой части обзора Symantec Endpoint Protection 12 мы подробно рассмотрели клиенты этого антивирусного продукта, предназначенные для работы в OS Windows, Mac OS X и Linux.

Больше всего положительных слов можно сказать о клиенте для Windows-систем. В составе актуальной версии данного корпоративного продукта присутствуют такие современные технологии как Insight, Bloodhound и SONAR, что выводит защиту данной линейки ОС на качественно новый уровень. При этом каждый из компонентов защиты можно настраивать достаточно точно для нахождения наилучшего баланса между качеством защиты, требуемыми аппаратными ресурсами, а также количеством ложных срабатываний.

Технология SONAR заслуживает более подробного упоминания. В состав 12-ой версии корпоративного антивирусного продукта от Symantec входит третье поколение данной технологии гибридного типа, которая использует как элементы репутационной оценки сканируемых объектов, так и элементы поведенческого анализа. В современных условиях, когда количество новых вредоносных объектов составляет десятки и сотни тысяч в сутки, такие технологии, как SONAR, позволяют сохранять высокое качество защиты Windows-систем.

Плюс к антивирусной составляющей клиенты Symantec Endpoint Protection 12 для Windows оснащены компонентами, позволяющими контролировать запускаемые пользователем приложения и подключаемые сменные устройства. Работа этого клиента оптимизирована для использования в виртуальных средах. Также в состав этого продукта входит функция предотвращения эксплуатации уязвимости браузеров. Ведь браузеры сегодня участвуют в подавляющем большинстве схем заражения системы. И все эти технологии вместе превращают Symantec Endpoint Protection 12 в надёжный слаженный механизм защиты от современных угроз.

Клиенты для Mac OS X и Linux не настолько развиты в настоящее время. Набор компонентов в них фактически ограничивается файловым монитором, сканером и модулем обновления.

В настоящее время Symantec Endpoint Protection 12 не поддерживает в качестве клиентской ОС Mac OS X 10.7 Lion. Но при этом поддержка данной версии Mac OS появится в ближайшие недели. В настоящее время разработка данной версии находится на стадии релиз-кандидата.

Вирусные базы в Symantec Endpoint Protection 12 для Mac OS X и для Linux-систем обновляются раз в день в отличие от клиента для Windows. Также в данных клиентах не используются механизмы определения репутации сканируемых объектов. Это было бы полезным для определения на этих платформах вредоносных программ для Windows.

В целом, Symantec Endpoint Protection 12, после анализа набора имеющихся антивирусных клиентов, можно рекомендовать к использованию в локальных сетях предприятий, основная часть компьютеров в которых работает под управлением Windows, а также имеется несколько Linux-серверов и рабочих станций под управлением Mac OS X.

Отдельно стоит сказать о лицензировании Symantec Endpoint Protection 12. Тогда как многие производители предлагают защиту серверных вариантов ОС по отдельной, завышенной цене (и при этом количество компонентов защиты в серверном варианте антивирусных агентов может быть меньше, чем в клиенте для рабочих станций), компания Symantec предлагает защиту серверных систем по той же цене, что и защиту рабочих станций. При этом на серверных вариантах систем доступен весь функционал, предназначенный для рабочих станций.

На этом мы заканчиваем обзор клиентской части Symantec Endpoint Protection 12. Во второй части обзора будет рассмотрен компонент управления Symantec Endpoint Protection Manager и компонент управления клиентами Symantec Network Access Control. В ходе освещения функциональных возможностей этих компонентов будут рассмотрены различные способы автоматического развёртывания антивирусной сети, а также возможности централизованного управления защищаемыми объектами в локальной сети предприятия.