En este documento se describe cual es el último producto a fecha de Enero ’08 de Symantec sobre un antivirus corporativo. Es el sustituto de la versión 10.2, suponiendo que es la versión de Symantec Corporate Edition 11. Aquí veremos cómo se instala el componente de servidor, cómo desplegaremos los antivirus en los clientes, cómo los configuraremos con directivas y cómo haremos copias de seguridad de todo el estado del servidor de AV.

Instalación del servidor antivirus Symantec Endpoint – AKI
Configuración y uso del Symantec Endpoint Protection Manager – AKI
Uso del Asistente para la migración y distribución del cliente Antivirus – AKI
Copia de seguridad de la Base de datos y su restauración – AKI

Instalación del servidor antivirus Symantec Endpoint,

Se detalla la instalación de un único servidor Endpoint en la organización.

Si metemos el CD de Symantec Endpoint Protection, debemos seleccionar “Install Symantec Endpoint Protection” para instalar el cliente de Antivirus de forma manual. O directamente para lo que nos interesa, para instalar el servidor de anti virus. Antes tenemos que instalar sus prerequisitos: IIS.

Seleccionamos la primera opción, “Install Symantec Endpoint Protection Manager” para instalar el servidor y la consola de administración,

Nos sale un asistente de instalación para el Symantec Endpoint Protection Manager, pulsamos en “Next”,

Aceptamos el acuerto de licencia & “Next”,

Seleccionamos el directorio de instalación del servidor de Antivirus, el path por defecto es: “C:Archivos de programaSymantecSymantec Endpoint Protection Manager” & “Next”,

Nos pregunta qué sitio web de IIS usar, si el sitio predeterminado que tengamos o si crear un sitio para tal efecto. Si tenemos una web ya alojada y queremos seguir manteniéndola habrá que crear un sitio en IIS para Endpoint. Lo recomendado es marcar “Use the default Web site”, continuamos “Next”,

Preparados para instalar ya el servidor de AV, “Install”,

… esperamos mientras instala…

Instalación simple, ahora pulsamos “Finish” para comenzar un asistente de configuración del servidor.

Bien, si es el primero servidor de nuestra red, seleccionaremos “Install my first site” para instalar el primer servidor. Si ya tenemos un servidor en la red, podemos instalar un segundo servidor de Antivirus en la red para que se hagan un balanceo de las peticiones entre ambos desde “Install a management server to an exisiting site”. Marcamos la primera opción y “Next”,

Ponemos el nombre del servidor que queremos instalarle los componentes de servidor, en mi caso estoy haciendo la instalación en local, seleccionamos el puerto, por defecto será el 8443tcp y el path de instalación para los datos. “Next”,

Indicamos el nombre del sitio para la organización del AV, algo descriptivo para cuando lo veamos sepamos de qué se trata. “Next”,

Necesitamos crear una contraseña para cuando necesitemos recuperar datos o para que la conexión entre el servidor y los clientes vaya cifrada, “Next”,

Necesitamos almacenar los datos en una base de datos, tenemos dos posibilidades: La primera, si nuestra organización es pequeña podemos usar una base de datos que trae Endpoint “Embedded database” y nos la instalará el asistente. O podemos usar un servidor SQL que tengamos en la red para almacenarla en él, es la opción más fiable si podemos disponer de uno, marcando “Microsoft SQL Server”. En este caso optare por la primera opción, “Next”,

Tenemos que indicar una contraseña para el usuario ‘admin’ para poder conectarnos a la consola de administración. “Next”,

… esperamos mientras se crea la base de datos…

Bien, ya nos confirma que se ha configurado perfectamente el servidor de administración. Ahora nos pregunta si queremos ejecutar el asistente de migración y distribución ahora, yo diré que “No” ya que primero prefiero configurar bien el servidor, migrar y distribuir más tarde. “Finish”.

Configuración y uso del Symantec Endpoint Protection Manager,

En esta parte se explica cómo configurar y usar la consola de administración del antivirus corporativo de Symantec, así cómo la configuración mediante directivas y visualización de informes.

Bien, lo primero de todo es abrir la consola de administración del Symantec Endpoint Protection Manager con su consola: “Symantec Endpoint Protection Manager Console”, nos pedirá un usuario, será ‘admin’ con la contraseña que le hayamos establecido durante la instalación. Nos conectaremos al servidor AV mediante el puerto 8443 pulsando en “Log On”.

Este es el aspecto principal de la consola desde la pestaña “Home”, desde aquí veremos el estado de varios aspectos, cómo nuestras infecciones en puestos y la tarea que se ha realizado en ellos, los riesgos que hemos tenido, si tenemos equipos sin antivirus o con problemas…

Lo primero que hay que hacer es crear un grupo para organizar nuestros puestos, desde la pestaña “Clients” pulsamos en “Add Group…”

Indicamos un nombre para el grupo donde meteremos los puestos de mi organización para posteriormente aplicarles unas directivas/políticas de antivirus, antispyware, firewall… “OK”

Si vamos a “Clients” y a nuestro grupo en “Install Packages” podemos agregar un tipo de instalación para nuestros clientes, botón derecho y “Add…”

Aquí podemos seleccionar el paquete que les vamos a instalar, y qué características instalaremos de él, si instalación completa…

Y a parte podemos notificarles la instalación con un mensaje a los usuarios, desde “Notify”,

En la pestaña “Admin” del panel izquierdo, en “Administrators” tenemos los que son los administradores de la consola del Endpoint, podemos crear algún administrador más para dar a otras personas de nuestra organización para que nos ayuden a gestionar la herramienta.

En la pestaña “Admin” en el panel de “Domains”, tenemos los dominios para los que está configurado este Endpoint.

Seguimos en la pestaña “Admin” en la parte de “Servers” es donde veremos los servidores de nuestro sitio u organización, donde podremos configurar opciones del sitio o agregar otro servidor de replicación para repartirse la carga.

En “Admin” > “Install Packages” > “Client Install Packages” es donde veremos todos los paquetes que podemos distribuir a nuestros clientes, actualmente tengo dos que son los que vienen por defecto, pero podemos agregar paquetes nuevos o directamente actualizados aquí para posteriormente distribuirlos.

En “Admin” > “Install Packages” > “Client Install Settings” es donde configuraremos varias opciones a los clientes del antivirus, tenemos una configuración predeterminada llamada “Default Client Installation Settings”, pero yo crearé una nueva para ver todas las opciones y seleccionaré las que más me interesen para mi organización desde “Add Client Install Settings…”

Le indicamos un nombre y posteriormente se la aplicaremos al grupo BUJARRA. Seleccionamos el tipo de instalación, para que los usuarios no se percaten será una instalación silenciosa. Podemos marcar que se reinicie el puesto una vez finalizada la instalación. Podemos seleccionar el directorio de instalación, lo dejaré en el predeterminado. Si queremos habilitar el LOG de instalación y si eso en qué fichero, y sobre todo si nos interesa crear accesos directos del programa en el menú inicio. “OK”.

En “Admin” > “Install packages” tenemos “Client Install Feature Sets” que es qué cosas se instalarán en los PC’s clientes cuando distribuyamos el cliente del antivirus, en mi caso crearé un tipo nuevo desde “Add Client Install Feature Set…”

Desde aquí seleccionaré el tipo de instalación para mis clientes, le indicamos un nombre y posteriormente se lo aplicaremos a nuestro grupo creado anteriormente, en mi caso llamado BUJARRA. Indicamos qué queremos que tenga, en mi caso “Antivirus and Antispyware Protection”, “Antivirus Email Protection” y sólo del cliente que usamos que es “Microsoft Outlook Scanner”, como no usamos los demás clientes de correo no los instalaré. Además marco el “Proactive Threat Protection” > “Proactive Threat Scan” o también llamado Análisis proactivo de amenazas, lo que hace es mostrar puntuaciones en base a comportamientos buenos y malos de las aplicaciones ‘desconocidas’, vamos que es capaz de analizar el sólo la conducta de las aplicaciones y las comunicaciones para de detectar y bloquear los ataques antes de que ocurran sin necesidad de emplear ficheros de firmas. Pero no marcaré “Network Threat Protection” por que principalmente no me interesa en mi caso, similar a lo anterior pero para recursos de red, navegadores, buscando amenazas en la red, un nivel más de protección, “OK”.

Bien, ahora veremos una parte bastante interesante que trae, que es la configuración mediante políticas, podremos crear tantas queramos y del tipo que nos interese, después las aplicaremos a los grupos de equipos que nos interese, yo voy a crear una de cada tipo para ver todas sus posibilitades y después las asginaré a mi grupo BUJARRA. Así que primero nos vamos a “Policies” > “Antivirus and Spyware” y creamos una nueva en “Add and Antivirus and Antispyware Policy…”

Tenemos varios apartados que configurar, en el primero “Overview” indicaremos el nombre y descripción de la directiva y si queremos habilitarla o no, y a qué grupo la asignaremos, así que podemos indicar ya nuestro grupo a Global (todos) o a ninguno.

En “Administrator-defined Scans” podemos programar escaneos programados en los puestos a quien se le aplique está política.

En “File System Auto-Protect” es el analisis en tiempo real de los ficheros, si queremos que esté habilitado en todo momento, podemos bloquearlo con el candado, configurar qué tipo de ficheros se analizarán y cuales se excluirán.

En “Internet Email Auto-Protect” habilitaremos el escaneos del correo electrónico genérico, indicando si está habilitado o no y que tipo de ficheros.

En “Microsoft Outlook Auto-Protect” habilitaremos a quien tenga este componente instalado si queremos forzarle a usarlo, desde aquí configuraremos las opciones de su escaneo, si está habilitado o no, si analiza todos los ficheros, incluso los comprimidos y hasta qué nivel…

En “Lotus Notes Auto-Protect” idem que el anterior pero para otro cliente de correo electrónico y para configurar este o el anterior que quede claro que el componente debe de estar instalado, si no esto no sirve.

En “Proactive Threat Scan” si hemos instalado este componente en los clientes si queremos habilitarlo para la búsqueda de gusanos/troyanos en los equipos, así como keyloggers y demás.

En “Quarantine” es donde configuraremos cuando se detecte un virus que haremos con él, si llevarlo a la carpeta local de quarentena del usuario o qué hacer, arriba tenemos las posibilidades.

En “Submissions” es donde habilitaremos o no que se mande información de lo que suceda en los puestos al servidor.

En “Miscellaneous” tenemos configuraciones varias sobre el Centro de seguridad de Windows y su integración para que de notificaciones o no, entre otras opciones, así como habilitar los logs o notificaciones. Damos a “OK” para guardarla.

Ahora nos preguntará si nos interesa asignar la politica que acabamos de crear, si no la asignamos a ningún grupo lo podremos hacer después, pero si no, no se nos aplicarán los cambios que aquí hemos configurado a nadie, en mi caso diré “Sí”.

Bien, a la hora de asignar una política, tenemos que indicar a qué grupo la asignaremos, así que seleccionamos uno, marcamos el check de su lado y “Assign”.

Tenemos más directivas, en este caso las de tipo “Firewall”, creamos una nueva desde “Add a Firewall Policy”,

Le indicamos un nombre en “Policy Name” y una descripción. Por supuesto la habilitamos marcando “Enable this policy”,

En la parte “Rules” es donde podemos crear reglas para el firewall que queramos configurarles. Primero veremos si están o no habilitadas, después su nombre, la severidad, la aplicación si es que le afectaría a alguna en concreto. O lo mismo para el Host, podemos configurarla para que sea en un rango de timpo, así cómo los servicios/puertos que nos interesa aplicar a la regla, si queremos prohibir que nos entren con cierto puerto en el PC, a qué adaptador se le aplicaría, si queremos habilitarlo con el salvapantallas, si la regla lo que hace es bloquear o permitir y por supuesto si queremos logear.

En “Smart Traffic Filtering” podemos habilitar tráfico habitual en una red cómo es el de consultas DNS (“Enable SmartDNS”) / WINS(“Enable Smart WINS”), o tráfico DHCP(“Enable Smart DHCP”).

En la pestaña de “Traffic and Stealth Settings” podemos configurar otras opciones del filtrado del tráfico, cómo habilitar el trafico de NetBIOS, o el DNS inverso, antiMAC spoofing… Damos a “OK” para guardarla.

“Sí” para asignarla ya a un grupo de servidores existente.

Marcamos el grupo al que le queremos aplicar la politica del FW y “Assign”,

Creamos una política de prevención de intrusiones desde “Intrusion Prevention” > “Add an Intrusion Prevention Policy…”

En “Overview” le indicamos un nombre & descripción, la habilitamos,

En “Settings” es donde habilitaremos que detecte y bloqueé automáticamente los ataques en la red (“Enable Intrusion Prevention”). Así cómo ataques DoS (“Enable denial of service detection”) o escaneos de puertos (“Enable port scan detection”). Podremos excluir si nos interesan ciertos equipos para que no se le aplique está directiva. E incluso si nos interesa podemos bloquear la IP desde la que se nos está realizando el ataque, marcando “Automatically block an attacker’s IP address” e indicando la cantidad de segundos que le queremos bloquear.

En “Exceptions” podemos personalizar alguna que nosotros pensamos que no deba ser, desde “Add…”, grabamos la directiva desde “OK”.

Aplicamos la politica si nos interesa ya, desde “Sí”

Marcamos el grupo de equipos a quienes le queremos aplicar esta directiva de prevención de intrusiones (IPS) y “Asign”,

También con políticas podemos controlar el uso de aplicaciones y dispositivos, desde “Application and Device Control” > “Add an Application and Device Control Policy…”

Igual que en las anteriores indicamos el nombre de la política…

Bien aquí (“Application Control”) podremos bloquear las aplicaciones que nos interesen, o directamente editar algunas existente, cómo bloquear y que todas las unidades externas sean sólo de lectura, o que no se ejecuta software de unidades externas… o podemos agregar nosotros una aplicación e indicar el tipo que queramos que sea, si sólo de pruebas (Test) o directamente para producción, además de generar un LOG.

En “Device Control” podemos personalizar diferentes dispositivos hardware para crearles algunas reglas, cómo prohibir directamente los dispositivos USB… “OK” para guardarla.

Asiganmos la directiva, “Sí”

Indicamos el grupo donde tenemos que aplicar la directiva… y “Asign”,

Más, podemos configurar una política para personalizar las actualizaciones del Live Update, pulsando en “LiveUpdate” y creando una nueva directiva en “Add a LiveUpdate Settings Policy…”

Igual que todas las anteriores, indicamos un nombre, descripción y la habilitamos,

En “Server Settings” podemos configurar aquí quien es el servidor de LiveUpdate, si es que tenemos uno en la red nuestra o nuestro poveedor nos indica cual usar.

En “Schedule” es donde programaremos el horario con el que queremos que se actualicen los puestos a quien se le aplique está directiva.

En “Advanced Settings” podemos personalizar si queremos que los usuarios se actualicen independientemente del servidor sus actualizaciones de firmas en los puestos. “OK”

Aplicamos la política de actualizaciones de LiveUpdate… “Sí”,

Indicamos el grupo de equipos que nos interesa que se le aplique y “Assign”,

Y el último tipo de directivas que podemos configurar es el de las excepciones, desde “Centralized Exceptions” en “Add a Centralized Exception”. Desde aquí podremos habilitar diferentes excepciones a directorios o archivos.

Igual que todas las anteriores, indicamos un nombre, una descripción y habilitamos la política para poder usarla.

En “Centralized Exceptions” podremos agregar diferentes tipos de archivos o directorios para que se excluyan de ser inspeccionados por el Antivirus, así cómo indicar variables de ficheros o directorios.

En “Client Restrictions” podemos personalizar si queremos que los usuarios puedan agregarse sus propias exclusiones y de ser así cuales podrían excluirse. “OK” para guardarla.

Indicamos que “Sí” para asignar la directiva.

Asignamos la política de exclusiones al grupo que nos interese, en mi caso “BUJARRA” & “Assign”

Hasta aquí finalizada la explicación del uso de la consola del Symantec Endpoint.

Uso del Asistente para la migración y distribución del cliente Antivirus,

En esta parte veremos cómo migrar nuestros clientes de antivirus de una versión antigua a está, o directamente la distribución del cliente del antivirus en equipos de nuestra red.

Para todo esto, existe el “Migration and Deployment Wizard”, lo abrimos,

Nos salta un asistente indicándonos de las posibilidades de este, lo comentado anteriormente o migrar las versiones de los clientes o instalaciones nuevas en ellos. “Next”,

Seleccionamos lo que nos interesa, si distribuir el cliente antivirus en nuestra red “Deploy the client” mediante una instalación limpia y nueva. O migrar versiones antiguas desde “Migrate from a previous version of Symantec Antivirus”. “Next”,

Si queremos migrarlos a un grupo nuevo en concreto. Yo marco que los instale mediante un cliente ya existente de un grupo (“Select and existing client install package to deploy”) ya que en BUJARRA hemos creado un paquete de AV antes y lo hemos configurado. “Finish”,

Seleccionamos nuestro cliente AV a instalar, el paquete AV y la cantidad máxima de instalaciones simultáneas, “Siguiente”,

Examina nuestro dominio y nos muestra todos los equipos en él, pulsamdo en “Add >” para los que nos interese instalar el cliente AV & “Finalizar”,

… esperamos mientras copia e instala…

Bien, pulsamos en “Close”, ya están instalados.

Podemos ver un LOG de instalación si nos interesa de la instalación.

De todas formas tenemos otra manera de poder distribuir los clientes de antivirus en nuestra organización, desde la consola, si vamos a “Clients” > “Find Unmanaged Computers” nos buscará los equipos en un rango IP que no tengan el cliente del AV instalado.

Seleccionamos un rango IP para que busque equipos en él sin el cliente del antivirus e introducimos un usuario con permisos de instalarlo en ellos, pulsamos en “Search Now” para buscar equipos…

… esperamos mientra busca dispositivos sin el AV…

Nos mostrará un listado de los equipos sin el cliente del antivirus, ahora podemos seleccionar el paquete que le instalaremos, las configuraciones de instalación y las características que hayamos configurado antes, así cómo a qué grupo meterles para que se les apliquen las políticas, pulsamos en “Start Installation” para instalo en los seleccionados.

Y ahora no queda más que esperar a que se instale el cliente del antivirus en los equipos sin él.

Copia de seguridad de la Base de datos y su restauración,

Y finalmente veremos cómo podemos hacer backups de la base de datos de Symantec Endpoint por si en algún momento dado se nos corrompe la base de datos o directamente se cae el servidor.

Para esto, tenemos una consola llamada: “Database Back Up and Restore”,

Si habrimos está herramienta, ya en esté menú veremos directamente las operaciones que podemos hacer, hagamos una copia de seguridad, pulsamos en “Back Up”.

Estamos seguros que vamos a hacer una copia: “Sí”,

… esperamos mientras exporta los datos…

“OK”, nos confirma que la BD ya está copiada.

Con esto hemos visto las principales novedades de este antivirus totalmente nuevo que trae Symantec, cómo instalar el servidor, configurarlo, realizar copias de seguridad, actualizarlo, tenerlo bien administrado y cómo mantener nuestros puestos de la organización con el cliente del antivirus.

www.bujarra.com – Héctor Herrero – nh*****@bu*****.com – v 1.0