En aquest document es descriu quin és l' últim producte a data de gener ’08 de Symantec sobre un antivirus corporatiu. És el substitut de la versió 10.2, suposant que és la versió de Symantec Corporate Edition 11. Aquí veurem com s'instal·la el component de servidor, com desplegarem els antivirus en els clients, com els configurarem amb directives i com farem còpies de seguretat de tot l'estat del servidor d'AV.

Instalación del servidor antivirus Symantec Endpoint – AKI
Configuración y uso del Symantec Endpoint Protection Manager – AKI
Uso del Asistente para la migración y distribución del client Antivirus – AKI
Copia de seguridad de la Base de datos y su restauración – AKI

Instalación del servidor antivirus Symantec Endpoint,

Se detalla la instalación de un único servidor Endpoint en la organización.

Si metemos el CD de Symantec Endpoint Protection, hem de seleccionar “Install Symantec Endpoint Protection” para instalar el client de Antivirus de forma manual. O directament para lo que nos interessa, para instalar el servidor de anti virus. Antes tenemos que instalar sus prerequisitos: IIS.

Seleccionem la primera opció, “Install Symantec Endpoint Protection Manager” para instalar el servidor y la consola de administración,

Nos sale un asistente de instalación para el Symantec Endpoint Protection Manager, posem en “Next”,

Aceptamos el acuerto de licencia & “Next”,

Seleccionamos el directorio de instalación del servidor de Antivirus, el path por defecto es: “C:Archivos de programaSymantecSymantec Endpoint Protection Manager” & “Next”,

Nos pregunta qué sitio web de IIS usar, si el sitio predeterminado que tengamos o si crear un sitio para tal efecto. Si tenemos una web ya alojada y queremos seguir manteniéndola habrá que crear un sitio en IIS para Endpoint. Lo recomendado es marcar “Use the default Web site”, continuem “Next”,

Preparados para instalar ya el servidor de AV, “Install”,

… esperem mentre instal·la…

Instalación simple, ahora pulsamos “Finish” para comenzar un asistente de configuración del servidor.

Bé, si es el primero servidor de nuestra red, seleccionarem “Install my first site” para instalar el primer servidor. Si ya tenemos un servidor en la red, podemos instalar un segundo servidor de Antivirus en la red para que se hagan un balanceo de las peticiones entre ambos desde “Install a management server to an exisiting site”. Marcamos la primera opción y “Next”,

Ponemos el nombre del servidor que queremos instalarle los componentes de servidor, en mi caso estoy haciendo la instalación en local, seleccionamos el puerto, por defecto será el 8443tcp y el path de instalación para los datos. “Next”,

Indicamos el nombre del sitio para la organización del AV, algo descriptivo para cuando lo veamos sepamos de qué se trata. “Next”,

Necesitamos crear una contraseña para cuando necesitemos recuperar datos o para que la conexión entre el servidor y los clientes vaya cifrada, “Next”,

Necesitamos almacenar los datos en una base de datos, tenemos dos posibilidades: La primera, si nuestra organización es pequeña podemos usar una base de datos que trae Endpoint “Embedded database” y nos la instalará el asistente. O podemos usar un servidor SQL que tengamos en la red para almacenarla en él, es la opción más fiable si podemos disponer de uno, marcant “Microsoft SQL Server”. En este caso optare por la primera opción, “Next”,

Tenemos que indicar una contraseña para el usuario ‘admin’ para poder conectarnos a la consola de administración. “Next”,

… esperamos mientras se crea la base de datos…

Bé, ya nos confirma que se ha configurado perfectamente el servidor de administración. Ahora nos pregunta si queremos ejecutar el asistente de migración y distribución ahora, yo diré que “No” ya que primero prefiero configurar bien el servidor, migrar y distribuir más tarde. “Finish”.

Configuración y uso del Symantec Endpoint Protection Manager,

En esta parte se explica cómo configurar y usar la consola de administración del antivirus corporativo de Symantec, así cómo la configuración mediante directivas y visualización de informes.

Bé, lo primero de todo es abrir la consola de administración del Symantec Endpoint Protection Manager con su consola: “Symantec Endpoint Protection Manager Console”, nos pedirá un usuario, será ‘admin’ con la contraseña que le hayamos establecido durante la instalación. Nos conectaremos al servidor AV mediante el puerto 8443 polsant en “Iniciar sessió”.

Este es el aspecto principal de la consola desde la pestaña “Home”, desde aquí veremos el estado de varios aspectos, com com les nostres infeccions en els equips i la tasca que s'ha realitzat en ells, els riscos que hem tingut, si tenim equips sense antivirus o amb problemes…

El primer que cal fer és crear un grup per organitzar els nostres equips, des de la pestanya “Clients” posem en “Afegeix Grup…”

Indiquem un nom per al grup on posarem els equips de la meva organització per posteriorment aplicar-hi unes directrius/polítiques d'antivirus, antispyware, firewall… “OK”

Si anem a “Clients” i al nostre grup a “Instal·la Paquets” podem afegir un tipus d'instal·lació per als nostres clients, botó dret i “Add…”

Aquí podem seleccionar el paquet que els instal·larem, i quines característiques instal·larem d'ell, si instal·lació completa…

I a més podem notificar-los la instal·lació amb un missatge als usuaris, des de “Notifica”,

A la pestanya “Admin” del panell esquerre, en “Administrators” tenemos los que son los administradores de la consola del Endpoint, podem crear algún administrador más para dar a altres persones de la nostra organització para que ens ayuden a gestionar la herramienta.

A la pestanya “Admin” en el panel de “Domains”, tenemos los dominios para los que está configurat este Endpoint.

Seguimos en la pestaña “Admin” en la part de “Servers” és donde veremos los servidors del nostre lloc o organització, donde podremos configurar opcions del sitio o agregar otro servidor de replicación para repartirse la carga.

En “Admin” > “Instal·la Paquets” > “Client Install Packages” es donde veremos todos los paquets que podem distribuir a nostres clients, actualment tengo dos que son los que vienen por defecto, pero podem agregar paquetes nuevos o directament actualizados aquí para posteriormente distribuirlos.

En “Admin” > “Instal·la Paquets” > “Client Install Settings” es donde configuraremos varias opciones a los clientes del antivirus, tenemos una configuración predeterminada llamada “Default Client Installation Settings”, pero yo crearé una nueva para ver todas las opciones y seleccionaré las que más me interesen para mi organización desde “Add Client Install Settings…”

Le indicamos un nombre y posteriormente se la aplicaremos al grupo BUJARRA. Seleccionamos el tipo de instalación, para que los usuarios no se percaten será una instalación silenciosa. Podemos marcar que se reinicie el puesto una vez finalizada la instalación. Podemos seleccionar el directorio de instalación, lo dejaré en el predeterminado. Si queremos habilitar el LOG de instalación y si eso en qué fichero, i sobre tot si ens interessa crear accessos directes del programa en el menú inicio. “OK”.

En “Admin” > “Paquets d'instal·lació” tenim “Conjunts de funcions d'instal·lació del client” que és què coses se installaran en els clients del PC quan distribuyamos el client del antivirus, en el meu cas crearé un tipo nou desde “Afegeix conjunt de funcions d'instal·lació del client…”

des d'aquí seleccionaré el tipus d'instal·lació per als meus clients, Indiquem un nombre i posteriorment s'aplicarem al nostre grup creat anteriorment, en el meu cas anomenat BUJARRA. Indiquem què volem que tenga, en el meu cas “Protecció antivirus i antiespia”, “Protecció antivirus per correu electrònic” i només del client que usàvem que es “Microsoft Outlook Scanner”, com no usàvem els altres clients de correu no els instal·lats. A més, marco el “Protecció Proactiva contra Amenaces” > “Escaneig proactiu de amenaces” o també anomenat Anàlisi proactiu d'amenaces, el que fa és mostrar puntuacions basades en comportaments bons i dolents de les aplicacions 'desconegudes', anem, que és capaç d'analitzar tot sol la conducta de les aplicacions i les comunicacions per detectar i bloquejar els atacs abans que passin sense necessitat d'emprar fitxers de signatures. Però no marcaré “Protecció de Amenaces de Xarxa” perquè principalment no m'interessa en el meu cas, similar al anterior però per a recursos de xarxa, navegadors, buscant amenaces a la xarxa, un nivell més de protecció, “OK”.

Bé, ara veurem una part força interessant que porta, que és la configuració mitjançant polítiques, podrem crear tantes com vulguem i del tipus que ens interessi, després les aplicarem a els grups d'equips que ens interessen, jo voy a crear una de cada tipus per veure totes les seves possibilitats i després les asginaré a mi grup BUJARRA. Així que primer ens vam a “Policies” > “Antivirus i Spyware” i creem una nova en “Afegir una política d'antivirus i antispyware…”

Tenim diversos apartats que configurar, en el primer “Visió general” indicaremos el nombre i descripció de la directiva i si volem habilitarla o no, y a qué grupo la assignaremos, així que podem indicar el nostre grup a Global (tots) o a ningú.

En “Escanejos definits per administradors” podem programar escanejos programats en els llocs a qui se le aplique està política.

En “File System Auto-Protect” és l'anàlisi en tiempo real de los ficheros, si volem que esté habilitado en tot moment, podemos bloquearlo con el candado, configurar qué tipo de ficheros se analizarán y cuales se excluirán.

En “Internet Email Auto-Protect” habilitaremos el escaneos del correo electrónico genérico, indicando si está habilitado o no y que tipo de ficheros.

En “Microsoft Outlook Auto-Protect” habilitaremos a quien tenga este componente instalado si queremos forzarle a usarlo, desde aquí configuraremos las opciones de su escaneo, si está habilitado o no, si analiza todos los ficheros, incluso los comprimidos y hasta qué nivel…

En “Lotus Notes Auto-Protect” idem que el anterior pero para otro cliente de correo electrónico y para configurar este o el anterior que quede claro que el componente debe de estar instalado, si no esto no sirve.

En “Escaneig proactiu de amenaces” si hemos instalado este componente en los clientes si queremos habilitarlo para la búsqueda de gusanos/troyanos en los equipos, así como keyloggers y demás.

En “Quarantine” es donde configuraremos cuando se detecte un virus que haremos con él, si llevarlo a la carpeta local de quarentena del usuario o qué hacer, arriba tenemos las posibilidades.

En “Submissions” es donde habilitaremos o no que se mande información de lo que suceda en los puestos al servidor.

En “Diversos” tenemos configuraciones varias sobre el Centro de seguridad de Windows y su integración para que de notificaciones o no, entre otras opciones, así como habilitar los logs o notificaciones. Donem a “OK” per guardar-la.

Ahora nos preguntará si nos interesa asignar la politica que acabamos de crear, si no la asignamos a ningún grupo lo podremos hacer después, però si no, no se nos aplicaran los canvis que aquí hem configurat a nadie, en mi caso diré “Sí”.

Bé, a la hora de assignar una política, tenemos que indicar a qué grupo la assignaremos, així que seleccionamos uno, marcem el check de su side y “Assign”.

Tenemos más directivas, en aquest cas les de tipus “Firewall”, creamos una nova desde “Afegeix una Política de Tallafoc”,

Le indicamos un nombre en “Nom de la Política” i una descripció. Per descomptat la habilitacions marcando “Activa aquesta política”,

En la part “Regles” On podem crear regles per al tallafocs que querrems configurarles. Primer verem si estan o no habilitadas, després del seu nombre, la severidad, l'aplicació si es que le afectaría a alguna en concret. O lo mismo para el Host, podem configurarla para que sea en un rango de timpo, així com els serveis/ports que ens interessen aplicar a la regla, si volem prohibir que entrem amb cierto puerto en el PC, a qué adaptador se le aplicaría, si volem habilitarlo amb les salvapantallas, si la regla lo que fa es bloquear o permitir y per descomptat si volem marxar.

En “Smart Traffic Filtering” podem habilitar el trànsit habitual en una red com és el de consultas DNS (“Activa SmartDNS”) / WINS(“Activa Smart WINS”), o trànsit DHCP(“Activa Smart DHCP”).

A la pestanya de “Configuració de trànsit i sigil” podem configurar otras opciones del filtrado del tráfico, cómo habilitar el trafico de NetBIOS, o el DNS inverso, antiMAC spoofing… Donem a “OK” per guardar-la.

“Sí” para assignarla ya a un grup de servidors existente.

Marcamos el grup al que le volem aplicar la política del FW y “Assign”,

Creem una política de prevenció d'intrusions des de “Prevenció d'intrusions” > “Afegeix una política de prevenció d'intrusions…”

En “Visió general” li indiquem un nom & descripció, la habilitamos,

En “Settings” on habilitarem que detecti i bloquegi automàticament els atacs a la xarxa (“Habilita la prevenció d'intrusions”). Així com atacs DoS (“Habilita la detecció de denegació de servei”) o escanejats de ports (“Habilita la detecció d'escanejats de ports”). Podrem excloure si ens interessen certs equips perquè no se'ls apliqui aquesta directiva. I fins i tot si ens interessa podem bloquejar la IP des de la qual s'està realitzant l'atac, marcant “Bloqueja automàticament la IP d'un atacant” i indicant la quantitat de segons que volem bloquejar-la.

En “Excepcions” podem personalitzar alguna que nosaltres pensem que no hauria de ser, des de “Add…”, desem la directiva des de “OK”.

Apliquem la política si ens interessa ja, des de “Sí”

Marcamos el grup de equipos a qui le volem aplicar esta directiva de prevención de intrusiones (IPS) y “Assign”,

También con políticas podemos controlar l'ús de aplicacions y dispositivos, des de “Control d'aplicacions i dispositius” > “Afegir una política de control d'aplicacions i dispositius…”

Igual que en les anteriors indicamos el nombre de la política…

Bien aquí (“Control d'aplicacions”) podrem bloquejar les aplicacions que ens interessen, o directament editar algunas existente, cómo bloquear y que todas las unidades externas sean sólo de lectura, o que no se executa software de unidades externas… o podem agregar nosotros una aplicació e indicar el tipus que queramos que sea, si sólo de pruebas (Test) o directamente para producción, además de generar un LOG.

En “Device Control” podem personalitzar diferents dispositivos hardware para crearles algunes reglas, cómo prohibir directament los dispositivos USB… “OK” per guardar-la.

Asiganmos la directiva, “Sí”

Indicamos el grup on tenemos que aplicar la directiva… y “Assign”,

Més, podem configurar una política para personalizar las actualizaciones del Live Update, polsant en “LiveUpdate” i creant una nova directiva en “Afegeix una política de configuració de LiveUpdate…”

Igual que todas las anteriors, indiquem un nom, descripció i habilitació,

En “Server Settings” podem configurar aquí quien és el servidor de LiveUpdate, si es que tenemos uno en la red nuestro o el nostre poveedor ens indica cual usar.

En “Schedule” es on programaremos l'horari amb el que volem que s'actualicen els puestos a qui se le aplique està directiva.

En “Advanced Settings” podem personalitzar si volem que els usuaris se actualicen independentment del servidor sus actualizaciones de firmas en los puestos. “OK”

Aplicamos la política de actualizaciones de LiveUpdate… “Sí”,

Indicamos el grup de equipos que ens interessa que se le aplique y “Assign”,

I l'últim tipus de directivas que podem configurar és el de las excepcions, des de “Centralized Exceptions” en “Afegeix una Excepció Centralitzada”. Des d'aquí podremos habilitar diferents excepcions a directorios o archivos.

Igual que todas las anteriors, indiquem un nom, una descripció y habilitamos la política para poder usarla.

En “Centralized Exceptions” podrem agregar diferents tipus de fitxers o directoris per que se excluyan de ser inspeccionats por el Antivirus, així com indicar variables de ficheros o directorios.

En “Client Restrictions” podem personalitzar si volem que els usuaris puguin agregar les seves pròpies exclusions i de ser així que podrien excluirse. “OK” per guardar-la.

Indiquem que “Sí” para assignar la directiva.

Asignamos la política de exclusiones al grup que nos interessa, en el meu cas “BUJARRA” & “Assign”

Hasta aquí finalizada la explicación del uso de la consola del Symantec Endpoint.

Uso del Asistente para la migración y distribución del client Antivirus,

En esta part veremos com migrar els nostres clients d'antivirus de una versió antiga a està, o directament la distribució del client del antivirus en equipos de nuestra red.

Para todo esto, existe el “Migration and Deployment Wizard”, ho obrim,

Nos salta un asistente indicándonos de las posibilidades de este, lo comentado anteriormente o migrar las versiones de los clients o instal·lacions noves en ells. “Next”,

Seleccionamos lo que nos interessa, si distribuir el client antivirus en nuestra red “Desplegar el client” mediante una instalación limpia y nueva. O migrar versiones antigues desde “Migrar des d'una versió anterior de Symantec Antivirus”. “Next”,

Si volem migrarlos a un grup nou en concret. Marco que los instale mediante un client ya existente de un grup (“Selecciona un paquet d'instal·lació existent del client per desplegar”) ya que en BUJARRA hem creat un paquet d'AV abans i ho hem configurat. “Finish”,

Seleccionamos el nostre client AV a instalar, el paquet AV y la màxima quantitat d'instal·lacions simultànies, “Següent”,

Examina el nostre domini i ens mostra tots els equips en ell, pulsamdo en “Add >” para los que nos interessa instal·lar el client AV & “Finalitzar”,

… esperem mentre copia e instal·la…

Bé, posem en “Close”, ya están instalados.

Podem veure un LOG de instalación si ens interessa de la instal·lació.

De todas formes tenemos otra manera de poder distribuir los clients de antivirus en la nostra organització, des de la consola, si anem a “Clients” > “Troba ordinadors no gestionats” nos buscará los equipos en un rango IP que no tengan el client del AV instalado.

Seleccionamos un rango IP para que busque equips en ell sin el client del antivirus i introduïm un usuari amb permisos d'instal·larlo en ells, posem en “Search Now” para buscar equips…

… esperamos mientra busca dispositivos sin el AV…

Nos mostrará un listado de los equipos sin el client del antivirus, ara podem seleccionar el paquet que le instal·laremos, les configuracions de instalación y les característiques que hayamos configurat antes, així com a quin grup assignar-los perquè se'ls apliquin les polítiques, posem en “Iniciar instal·lació” per instal·lar-ho en els seleccionats.

I ara només queda esperar que s'instal·li el client de l'antivirus en els equips que no el tenen.

Copia de seguridad de la Base de datos y su restauración,

I finalment veurem com podem fer còpies de seguretat de la base de dades de Symantec Endpoint per si algun moment la base de dades es corromp o el servidor cau.

Para esto, tenim una consola anomenada: “Database Back Up and Restore”,

Si obrim aquesta eina, ja en aquest menú veurem directament les operacions que podem fer, fem una còpia de seguretat, posem en “Back Up”.

Estem segurs que volem fer una còpia: “Sí”,

… esperem mentre s'exporten les dades…

“OK”, ens confirma que la base de dades ja està copiada.

Amb això hem vist les principals novedades d'aquest antivirus totalment nou que trae Symantec, com instal·lar el servidor, configurar-lo, realizar còpies de seguretat, actualitzarlo, tenir bé administrat i com mantenir les nostres posicions d'organització amb el client del antivirus.

www.bujarra.com – Héctor Herrero – nh*****@*****ra.com – v 1.0