Instalación, configuración y administración de Symantec EndPoint Protection

En este documento se describe cual es el último producto a fecha de Enero ’08 de Symantec sobre un antivirus corporativo. Es el sustituto de la versión 10.2, suponiendo que es la versión de Symantec Corporate Edition 11. Aquí veremos cómo se instala el componente de servidor, cómo desplegaremos los antivirus en los clientes, cómo los configuraremos con directivas y cómo haremos copias de seguridad de todo el estado del servidor de AV.

Instalación del servidor antivirus Symantec Endpoint – AKI
Configuración y uso del Symantec Endpoint Protection Manager – AKI
Uso del Asistente para la migración y distribución del cliente Antivirus – AKI
Copia de seguridad de la Base de datos y su restauración – AKI

Instalación del servidor antivirus Symantec Endpoint,

Se detalla la instalación de un único servidor Endpoint en la organización.

Symantec EndPoint Protection

Si metemos el CD de Symantec Endpoint Protection, debemos seleccionar “Install Symantec Endpoint Protection” para instalar el cliente de Antivirus de forma manual. O directamente para lo que nos interesa, para instalar el servidor de anti virus. Antes tenemos que instalar sus prerequisitos: IIS.

Symantec EndPoint Protection

Seleccionamos la primera opción, “Install Symantec Endpoint Protection Manager” para instalar el servidor y la consola de administración,

Symantec EndPoint Protection

Nos sale un asistente de instalación para el Symantec Endpoint Protection Manager, pulsamos en “Next”,

Symantec EndPoint Protection

Aceptamos el acuerto de licencia & “Next”,

Symantec EndPoint Protection

Seleccionamos el directorio de instalación del servidor de Antivirus, el path por defecto es: “C:Archivos de programaSymantecSymantec Endpoint Protection Manager” & “Next”,

Symantec EndPoint Protection

Nos pregunta qué sitio web de IIS usar, si el sitio predeterminado que tengamos o si crear un sitio para tal efecto. Si tenemos una web ya alojada y queremos seguir manteniéndola habrá que crear un sitio en IIS para Endpoint. Lo recomendado es marcar “Use the default Web site”, continuamos “Next”,

Symantec EndPoint Protection

Preparados para instalar ya el servidor de AV, “Install”,

Symantec EndPoint Protection

… esperamos mientras instala…

Symantec EndPoint Protection

Instalación simple, ahora pulsamos “Finish” para comenzar un asistente de configuración del servidor.

Symantec EndPoint Protection

Bien, si es el primero servidor de nuestra red, seleccionaremos “Install my first site” para instalar el primer servidor. Si ya tenemos un servidor en la red, podemos instalar un segundo servidor de Antivirus en la red para que se hagan un balanceo de las peticiones entre ambos desde “Install a management server to an exisiting site”. Marcamos la primera opción y “Next”,

Symantec EndPoint Protection

Ponemos el nombre del servidor que queremos instalarle los componentes de servidor, en mi caso estoy haciendo la instalación en local, seleccionamos el puerto, por defecto será el 8443tcp y el path de instalación para los datos. “Next”,

Symantec EndPoint Protection

Indicamos el nombre del sitio para la organización del AV, algo descriptivo para cuando lo veamos sepamos de qué se trata. “Next”,

Symantec EndPoint Protection

Necesitamos crear una contraseña para cuando necesitemos recuperar datos o para que la conexión entre el servidor y los clientes vaya cifrada, “Next”,

Symantec EndPoint Protection

Necesitamos almacenar los datos en una base de datos, tenemos dos posibilidades: La primera, si nuestra organización es pequeña podemos usar una base de datos que trae Endpoint “Embedded database” y nos la instalará el asistente. O podemos usar un servidor SQL que tengamos en la red para almacenarla en él, es la opción más fiable si podemos disponer de uno, marcando “Microsoft SQL Server”. En este caso optare por la primera opción, “Next”,

Symantec EndPoint Protection

Tenemos que indicar una contraseña para el usuario ‘admin’ para poder conectarnos a la consola de administración. “Next”,

Symantec EndPoint Protection

… esperamos mientras se crea la base de datos…

Symantec EndPoint Protection

Bien, ya nos confirma que se ha configurado perfectamente el servidor de administración. Ahora nos pregunta si queremos ejecutar el asistente de migración y distribución ahora, yo diré que “No” ya que primero prefiero configurar bien el servidor, migrar y distribuir más tarde. “Finish”.

Configuración y uso del Symantec Endpoint Protection Manager,

En esta parte se explica cómo configurar y usar la consola de administración del antivirus corporativo de Symantec, así cómo la configuración mediante directivas y visualización de informes.

Symantec EndPoint Protection

Bien, lo primero de todo es abrir la consola de administración del Symantec Endpoint Protection Manager con su consola: “Symantec Endpoint Protection Manager Console”, nos pedirá un usuario, será ‘admin’ con la contraseña que le hayamos establecido durante la instalación. Nos conectaremos al servidor AV mediante el puerto 8443 pulsando en “Log On”.

Symantec EndPoint Protection

Este es el aspecto principal de la consola desde la pestaña “Home”, desde aquí veremos el estado de varios aspectos, cómo nuestras infecciones en puestos y la tarea que se ha realizado en ellos, los riesgos que hemos tenido, si tenemos equipos sin antivirus o con problemas…

Symantec EndPoint Protection

Lo primero que hay que hacer es crear un grupo para organizar nuestros puestos, desde la pestaña “Clients” pulsamos en “Add Group…”

Symantec EndPoint Protection

Indicamos un nombre para el grupo donde meteremos los puestos de mi organización para posteriormente aplicarles unas directivas/políticas de antivirus, antispyware, firewall… “OK”

Symantec EndPoint Protection

Si vamos a “Clients” y a nuestro grupo en “Install Packages” podemos agregar un tipo de instalación para nuestros clientes, botón derecho y “Add…”

Symantec EndPoint Protection

Aquí podemos seleccionar el paquete que les vamos a instalar, y qué características instalaremos de él, si instalación completa…

Symantec EndPoint Protection

Y a parte podemos notificarles la instalación con un mensaje a los usuarios, desde “Notify”,

Symantec EndPoint Protection

En la pestaña “Admin” del panel izquierdo, en “Administrators” tenemos los que son los administradores de la consola del Endpoint, podemos crear algún administrador más para dar a otras personas de nuestra organización para que nos ayuden a gestionar la herramienta.

Symantec EndPoint Protection

En la pestaña “Admin” en el panel de “Domains”, tenemos los dominios para los que está configurado este Endpoint.

Symantec EndPoint Protection

Seguimos en la pestaña “Admin” en la parte de “Servers” es donde veremos los servidores de nuestro sitio u organización, donde podremos configurar opciones del sitio o agregar otro servidor de replicación para repartirse la carga.

Symantec EndPoint Protection

En “Admin” > “Install Packages” > “Client Install Packages” es donde veremos todos los paquetes que podemos distribuir a nuestros clientes, actualmente tengo dos que son los que vienen por defecto, pero podemos agregar paquetes nuevos o directamente actualizados aquí para posteriormente distribuirlos.

Symantec EndPoint Protection

En “Admin” > “Install Packages” > “Client Install Settings” es donde configuraremos varias opciones a los clientes del antivirus, tenemos una configuración predeterminada llamada “Default Client Installation Settings”, pero yo crearé una nueva para ver todas las opciones y seleccionaré las que más me interesen para mi organización desde “Add Client Install Settings…”

Symantec EndPoint Protection

Le indicamos un nombre y posteriormente se la aplicaremos al grupo BUJARRA. Seleccionamos el tipo de instalación, para que los usuarios no se percaten será una instalación silenciosa. Podemos marcar que se reinicie el puesto una vez finalizada la instalación. Podemos seleccionar el directorio de instalación, lo dejaré en el predeterminado. Si queremos habilitar el LOG de instalación y si eso en qué fichero, y sobre todo si nos interesa crear accesos directos del programa en el menú inicio. “OK”.

Symantec EndPoint Protection

En “Admin” > “Install packages” tenemos “Client Install Feature Sets” que es qué cosas se instalarán en los PC’s clientes cuando distribuyamos el cliente del antivirus, en mi caso crearé un tipo nuevo desde “Add Client Install Feature Set…”

Symantec EndPoint Protection

Desde aquí seleccionaré el tipo de instalación para mis clientes, le indicamos un nombre y posteriormente se lo aplicaremos a nuestro grupo creado anteriormente, en mi caso llamado BUJARRA. Indicamos qué queremos que tenga, en mi caso “Antivirus and Antispyware Protection”, “Antivirus Email Protection” y sólo del cliente que usamos que es “Microsoft Outlook Scanner”, como no usamos los demás clientes de correo no los instalaré. Además marco el “Proactive Threat Protection” > “Proactive Threat Scan” o también llamado Análisis proactivo de amenazas, lo que hace es mostrar puntuaciones en base a comportamientos buenos y malos de las aplicaciones ‘desconocidas’, vamos que es capaz de analizar el sólo la conducta de las aplicaciones y las comunicaciones para de detectar y bloquear los ataques antes de que ocurran sin necesidad de emplear ficheros de firmas. Pero no marcaré “Network Threat Protection” por que principalmente no me interesa en mi caso, similar a lo anterior pero para recursos de red, navegadores, buscando amenazas en la red, un nivel más de protección, “OK”.

Symantec EndPoint Protection

Bien, ahora veremos una parte bastante interesante que trae, que es la configuración mediante políticas, podremos crear tantas queramos y del tipo que nos interese, después las aplicaremos a los grupos de equipos que nos interese, yo voy a crear una de cada tipo para ver todas sus posibilitades y después las asginaré a mi grupo BUJARRA. Así que primero nos vamos a “Policies” > “Antivirus and Spyware” y creamos una nueva en “Add and Antivirus and Antispyware Policy…”

Symantec EndPoint Protection

Tenemos varios apartados que configurar, en el primero “Overview” indicaremos el nombre y descripción de la directiva y si queremos habilitarla o no, y a qué grupo la asignaremos, así que podemos indicar ya nuestro grupo a Global (todos) o a ninguno.

Symantec EndPoint Protection

En “Administrator-defined Scans” podemos programar escaneos programados en los puestos a quien se le aplique está política.

Symantec EndPoint Protection

En “File System Auto-Protect” es el analisis en tiempo real de los ficheros, si queremos que esté habilitado en todo momento, podemos bloquearlo con el candado, configurar qué tipo de ficheros se analizarán y cuales se excluirán.

Symantec EndPoint Protection

En “Internet Email Auto-Protect” habilitaremos el escaneos del correo electrónico genérico, indicando si está habilitado o no y que tipo de ficheros.

Symantec EndPoint Protection

En “Microsoft Outlook Auto-Protect” habilitaremos a quien tenga este componente instalado si queremos forzarle a usarlo, desde aquí configuraremos las opciones de su escaneo, si está habilitado o no, si analiza todos los ficheros, incluso los comprimidos y hasta qué nivel…

Symantec EndPoint Protection

En “Lotus Notes Auto-Protect” idem que el anterior pero para otro cliente de correo electrónico y para configurar este o el anterior que quede claro que el componente debe de estar instalado, si no esto no sirve.

Symantec EndPoint Protection

En “Proactive Threat Scan” si hemos instalado este componente en los clientes si queremos habilitarlo para la búsqueda de gusanos/troyanos en los equipos, así como keyloggers y demás.

Symantec EndPoint Protection

En “Quarantine” es donde configuraremos cuando se detecte un virus que haremos con él, si llevarlo a la carpeta local de quarentena del usuario o qué hacer, arriba tenemos las posibilidades.

Symantec EndPoint Protection

En “Submissions” es donde habilitaremos o no que se mande información de lo que suceda en los puestos al servidor.

Symantec EndPoint Protection

En “Miscellaneous” tenemos configuraciones varias sobre el Centro de seguridad de Windows y su integración para que de notificaciones o no, entre otras opciones, así como habilitar los logs o notificaciones. Damos a “OK” para guardarla.

Symantec EndPoint Protection

Ahora nos preguntará si nos interesa asignar la politica que acabamos de crear, si no la asignamos a ningún grupo lo podremos hacer después, pero si no, no se nos aplicarán los cambios que aquí hemos configurado a nadie, en mi caso diré “Sí”.

Symantec EndPoint Protection

Bien, a la hora de asignar una política, tenemos que indicar a qué grupo la asignaremos, así que seleccionamos uno, marcamos el check de su lado y “Assign”.

Symantec EndPoint Protection

Tenemos más directivas, en este caso las de tipo “Firewall”, creamos una nueva desde “Add a Firewall Policy”,

Symantec EndPoint Protection

Le indicamos un nombre en “Policy Name” y una descripción. Por supuesto la habilitamos marcando “Enable this policy”,

Symantec EndPoint Protection

En la parte “Rules” es donde podemos crear reglas para el firewall que queramos configurarles. Primero veremos si están o no habilitadas, después su nombre, la severidad, la aplicación si es que le afectaría a alguna en concreto. O lo mismo para el Host, podemos configurarla para que sea en un rango de timpo, así cómo los servicios/puertos que nos interesa aplicar a la regla, si queremos prohibir que nos entren con cierto puerto en el PC, a qué adaptador se le aplicaría, si queremos habilitarlo con el salvapantallas, si la regla lo que hace es bloquear o permitir y por supuesto si queremos logear.

Symantec EndPoint Protection

En “Smart Traffic Filtering” podemos habilitar tráfico habitual en una red cómo es el de consultas DNS (“Enable SmartDNS”) / WINS(“Enable Smart WINS”), o tráfico DHCP(“Enable Smart DHCP”).

Symantec EndPoint Protection

En la pestaña de “Traffic and Stealth Settings” podemos configurar otras opciones del filtrado del tráfico, cómo habilitar el trafico de NetBIOS, o el DNS inverso, antiMAC spoofing… Damos a “OK” para guardarla.

Symantec EndPoint Protection

“Sí” para asignarla ya a un grupo de servidores existente.

Symantec EndPoint Protection

Marcamos el grupo al que le queremos aplicar la politica del FW y “Assign”,

Symantec EndPoint Protection

Creamos una política de prevención de intrusiones desde “Intrusion Prevention” > “Add an Intrusion Prevention Policy…”

Symantec EndPoint Protection

En “Overview” le indicamos un nombre & descripción, la habilitamos,

Symantec EndPoint Protection

En “Settings” es donde habilitaremos que detecte y bloqueé automáticamente los ataques en la red (“Enable Intrusion Prevention”). Así cómo ataques DoS (“Enable denial of service detection”) o escaneos de puertos (“Enable port scan detection”). Podremos excluir si nos interesan ciertos equipos para que no se le aplique está directiva. E incluso si nos interesa podemos bloquear la IP desde la que se nos está realizando el ataque, marcando “Automatically block an attacker’s IP address” e indicando la cantidad de segundos que le queremos bloquear.

Symantec EndPoint Protection

En “Exceptions” podemos personalizar alguna que nosotros pensamos que no deba ser, desde “Add…”, grabamos la directiva desde “OK”.

Symantec EndPoint Protection

Aplicamos la politica si nos interesa ya, desde “Sí”

Symantec EndPoint Protection

Marcamos el grupo de equipos a quienes le queremos aplicar esta directiva de prevención de intrusiones (IPS) y “Asign”,

Symantec EndPoint Protection

También con políticas podemos controlar el uso de aplicaciones y dispositivos, desde “Application and Device Control” > “Add an Application and Device Control Policy…”

Symantec EndPoint Protection

Igual que en las anteriores indicamos el nombre de la política…

Symantec EndPoint Protection

Bien aquí (“Application Control”) podremos bloquear las aplicaciones que nos interesen, o directamente editar algunas existente, cómo bloquear y que todas las unidades externas sean sólo de lectura, o que no se ejecuta software de unidades externas… o podemos agregar nosotros una aplicación e indicar el tipo que queramos que sea, si sólo de pruebas (Test) o directamente para producción, además de generar un LOG.

Symantec EndPoint Protection

En “Device Control” podemos personalizar diferentes dispositivos hardware para crearles algunas reglas, cómo prohibir directamente los dispositivos USB… “OK” para guardarla.

Symantec EndPoint Protection

Asiganmos la directiva, “Sí”

Symantec EndPoint Protection

Indicamos el grupo donde tenemos que aplicar la directiva… y “Asign”,

Symantec EndPoint Protection

Más, podemos configurar una política para personalizar las actualizaciones del Live Update, pulsando en “LiveUpdate” y creando una nueva directiva en “Add a LiveUpdate Settings Policy…”

Symantec EndPoint Protection

Igual que todas las anteriores, indicamos un nombre, descripción y la habilitamos,

Symantec EndPoint Protection

En “Server Settings” podemos configurar aquí quien es el servidor de LiveUpdate, si es que tenemos uno en la red nuestra o nuestro poveedor nos indica cual usar.

Symantec EndPoint Protection

En “Schedule” es donde programaremos el horario con el que queremos que se actualicen los puestos a quien se le aplique está directiva.

Symantec EndPoint Protection

En “Advanced Settings” podemos personalizar si queremos que los usuarios se actualicen independientemente del servidor sus actualizaciones de firmas en los puestos. “OK”

Symantec EndPoint Protection

Aplicamos la política de actualizaciones de LiveUpdate… “Sí”,

Symantec EndPoint Protection

Indicamos el grupo de equipos que nos interesa que se le aplique y “Assign”,

Symantec EndPoint Protection

Y el último tipo de directivas que podemos configurar es el de las excepciones, desde “Centralized Exceptions” en “Add a Centralized Exception”. Desde aquí podremos habilitar diferentes excepciones a directorios o archivos.

Symantec EndPoint Protection

Igual que todas las anteriores, indicamos un nombre, una descripción y habilitamos la política para poder usarla.

Symantec EndPoint Protection

En “Centralized Exceptions” podremos agregar diferentes tipos de archivos o directorios para que se excluyan de ser inspeccionados por el Antivirus, así cómo indicar variables de ficheros o directorios.

Symantec EndPoint Protection

En “Client Restrictions” podemos personalizar si queremos que los usuarios puedan agregarse sus propias exclusiones y de ser así cuales podrían excluirse. “OK” para guardarla.

Symantec EndPoint Protection

Indicamos que “Sí” para asignar la directiva.

Symantec EndPoint Protection

Asignamos la política de exclusiones al grupo que nos interese, en mi caso “BUJARRA” & “Assign”

Hasta aquí finalizada la explicación del uso de la consola del Symantec Endpoint.

Uso del Asistente para la migración y distribución del cliente Antivirus,

En esta parte veremos cómo migrar nuestros clientes de antivirus de una versión antigua a está, o directamente la distribución del cliente del antivirus en equipos de nuestra red.

Symantec EndPoint Protection

Para todo esto, existe el “Migration and Deployment Wizard”, lo abrimos,

Symantec EndPoint Protection

Nos salta un asistente indicándonos de las posibilidades de este, lo comentado anteriormente o migrar las versiones de los clientes o instalaciones nuevas en ellos. “Next”,

Symantec EndPoint Protection

Seleccionamos lo que nos interesa, si distribuir el cliente antivirus en nuestra red “Deploy the client” mediante una instalación limpia y nueva. O migrar versiones antiguas desde “Migrate from a previous version of Symantec Antivirus”. “Next”,

Symantec EndPoint Protection

Si queremos migrarlos a un grupo nuevo en concreto. Yo marco que los instale mediante un cliente ya existente de un grupo (“Select and existing client install package to deploy”) ya que en BUJARRA hemos creado un paquete de AV antes y lo hemos configurado. “Finish”,

Symantec EndPoint Protection

Seleccionamos nuestro cliente AV a instalar, el paquete AV y la cantidad máxima de instalaciones simultáneas, “Siguiente”,

Symantec EndPoint Protection

Examina nuestro dominio y nos muestra todos los equipos en él, pulsamdo en “Add >” para los que nos interese instalar el cliente AV & “Finalizar”,

Symantec EndPoint Protection

… esperamos mientras copia e instala…

Symantec EndPoint Protection

Bien, pulsamos en “Close”, ya están instalados.

Symantec EndPoint Protection

Podemos ver un LOG de instalación si nos interesa de la instalación.

Symantec EndPoint Protection

De todas formas tenemos otra manera de poder distribuir los clientes de antivirus en nuestra organización, desde la consola, si vamos a “Clients” > “Find Unmanaged Computers” nos buscará los equipos en un rango IP que no tengan el cliente del AV instalado.

Symantec EndPoint Protection

Seleccionamos un rango IP para que busque equipos en él sin el cliente del antivirus e introducimos un usuario con permisos de instalarlo en ellos, pulsamos en “Search Now” para buscar equipos…

Symantec EndPoint Protection

… esperamos mientra busca dispositivos sin el AV…

Symantec EndPoint Protection

Nos mostrará un listado de los equipos sin el cliente del antivirus, ahora podemos seleccionar el paquete que le instalaremos, las configuraciones de instalación y las características que hayamos configurado antes, así cómo a qué grupo meterles para que se les apliquen las políticas, pulsamos en “Start Installation” para instalo en los seleccionados.

Symantec EndPoint Protection

Y ahora no queda más que esperar a que se instale el cliente del antivirus en los equipos sin él.

Copia de seguridad de la Base de datos y su restauración,

Y finalmente veremos cómo podemos hacer backups de la base de datos de Symantec Endpoint por si en algún momento dado se nos corrompe la base de datos o directamente se cae el servidor.

Symantec EndPoint Protection

Para esto, tenemos una consola llamada: “Database Back Up and Restore”,

Symantec EndPoint Protection

Si habrimos está herramienta, ya en esté menú veremos directamente las operaciones que podemos hacer, hagamos una copia de seguridad, pulsamos en “Back Up”.

Symantec EndPoint Protection

Estamos seguros que vamos a hacer una copia: “Sí”,

Symantec EndPoint Protection

… esperamos mientras exporta los datos…

Symantec EndPoint Protection

“OK”, nos confirma que la BD ya está copiada.

Con esto hemos visto las principales novedades de este antivirus totalmente nuevo que trae Symantec, cómo instalar el servidor, configurarlo, realizar copias de seguridad, actualizarlo, tenerlo bien administrado y cómo mantener nuestros puestos de la organización con el cliente del antivirus.

www.bujarra.com – Héctor Herrero – nheobug@bujarra.com – v 1.0


Héctor Herrero

Autor del blog Bujarra.com
Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir 😉 . Disfrutar de los documentos!!!

Últimos Posts de: Héctor Herrero (ver todos)