08.10.2008
Решения компании Symantec давно зарекомендовали себя как стандарт в защите корпоративных сетей от вредоносного кода. В настоящем обзоре мы рассмотрим программный продукт Symantec Endpoint Protection предназначенный для защиты рабочих станций и файловых серверов.1. Инсталляция.
Любая работа с программным продуктом начинается с дистрибутива. Клиенты Symantec могут скачать последний дистрибутив необходимого им программного продукта Symantec при помощи онлайн ресурса https://fileconnect.symantec.com. Указав серийный номер своего продукта можно перейти на странице закачки на которой будут доступны соответствующие версии программ. Текущая версия Symantec Endpoint локализована на русский язык.
Сам дистрибутив состоит из двух CD дисков. На первом из них находятся инсталляционные файлы клиента и системы централизованного управления Symantec Endpoint Protection Manager. На втором - дополнительные утилиты (система централизованного распределения обновлений Live Update Administrator, центральный карантин и некоторые другие), а также инсталляционные файлы антивирусного клиента для операционных систем Linux.
Необходимо отметить, что установка клиента Symantec Endpoint Protection возможна непосредственно с диска - в неуправляемом режиме. Такой вариант развертывания хорошо подходит для изолированных рабочих станций. Но нас интересует прежде всего централизованная система. Поэтому развертывание начинаем с установки системы управления Symantec Endpoint Protection Manager.
Программный продукт требует для установки Интернет сервер IIS. Альтернативных вариантов нет. Поэтому, перед началом установки необходимо убедиться в наличии IIS на целевом сервере.
Сама инсталляция занимает считанные минуты. Сразу после ее завершения запускается мастер начальной настройки сервера. Простой и интуитивно понятный перечень вопросов позволяет быстро настроить конфигурацию сервера управления для организации любого масштаба - от десятков до тысяч рабочих станций. Symantec Endpoint Protection Manager использует для своей работы базу данных. Для сравнительно небольших инсталляций можно использовать встроенную базу, для крупных - в несколько тысяч управляемых клиентов и более - внешний сервер баз данных Microsoft SQL.
2. Консоль управления.
После завершения начальной настройки дальнейшее управление ведется через специализированную консоль управления. Консоль построена на основе JAVA технологии аналогично консолям других продуктов Symantec. Хотя внешний вид и удобство данной консоли неоспоримы, есть один существенный недостаток - чувствительность к установленной на компьютере версии Java.
Для получения доступа к управлению сервером необходимы имя пользователя и пароль. Данные первого пользователя указываются при начальной настройке сервера. Однако, Symantec Endpoint Protection Manager позволяет создавать дополнительных пользователей с различными привилегиями по доступу к системе. Такая функция очень удобна при создании иерархической системы управления защитой от вредоносного кода.
Знакомство с консолью управления стоит начать с функций мониторинга состояния системы защиты от вредоносного кода. Такое состояние включая число управляемых клиентов, версии файлов описаний угроз, последние инциденты безопасности - наглядно демонстрируется на домашней странице консоли.
3. Настройка Symantec Endpoint Protection Manager.
Прежде чем приступить к развертыванию и настройке клиентов, необходимо выполнить некоторые начальные настройки сервера управления включая настройку интернет доступа, получения обновлений, подключение сервиса каталогов и некоторые другие настройки. Все они делаются через специализированный раздел "Администрирование". К сожалению, расположение настроек не вполне очевидно разбросано в различных пунктах консоли. Так, настройки прокси сервера для закачки обновлений находятся в свойствах сервера Symantec Endpoint Protection Manager, а настройки системы обновлений Live Update - в свойствах сайта. Все это требует от администратора внимательности и хорошей памяти. В противном случае он рискует пропустить ряд важных моментов в настройке сервера.
4. Установка и управление клиентской защитой.
Развертывание клиентской защиты возможно проводить несколькими способами. Наиболее удобны из них развертывваание с помощью мастера поиска незащищенных компьютеров и мастера миграции и развертывания. Дистрибутив управляемого клиента создается в момент установки сервера Symantec Endpoint Protection Manager. Дополнительные дистрибутивы с особыми параметрами могут быть также созданы при помощи мастера миграции и развертывания. Естественно, для установки клиента необходимы административные полномочия на целевом компьютере.
После установки, управляемые клиенты могут быть включены в группы управления к которым применяются определенные политики по защите. Группы могут включать как компьютеры, так и пользователей и могут формироваться вручную или импортироваться из сервера каталогов LDAP (например, Microsoft Active Directory). Политики могут применяться не только в зависимости от принадлежности клиента к крупе, но и в зависимости от "расположения" клиента. В понятие "расположения" может входить присвоение клиенту определенного адреса в сети, доступность сервера управления, тип сети и ряд других параметров.
5. Политики защиты.
В рамках Symantec Endpoint Protection Manager могут быть созданы несколько типов политик для защиты рабочих станций и серверов от вредоносного кода и других угроз. В число таких политик входят:
- Политика защиты от вирусов и программ шпионов
- Политика клиентского межсетевого экрана (только для рабочих станций). Правила могут создаваться для приложений, хостов, сетевых протоколов. Таким образом, данное решение обеспечивает полнофункциональную клиентскую сетевую защиту.
- Политика предотвращения вторжений
- Политика управления устройствами и приложениями
- Политика обновления Live Update для клиентов (не путать с настройками Live Update для сервера управления)
Одной из самых интересных особенностей Symantec Endpoint Protection является возможность управления устройствами и приложениями. Данный функционал позволяет, например, заблокировать подключение нежелательных носителей информации или устройств связи и тем самым повысить не только безопасность от атак и вредоносных программ, но и снизить вероятность утечки конфиденциальных документов.
6. Управление локальной клиентской защитой.
Клиент Symantec Endpoint Protection поддерживает как управляемый, так и неуправляемый режим работы. В неуправляемом режиме клиент представляет собой самодостаточное антивирусное решение для отдельно взятого компьютера с удобным локальным интерфейсом. В управляемом варианте все настройки делаются централизованно, однако администратор может выбирать уровень привилегий по локальному управлению которые будут переданы локальному клиенту.
7. Итоги.
Рассмотрев все возможности программного продукта Symantec Endpoint Protection можно сделать вывод о том, что это решение представляет собой значительный новый шаг в области защиты от вредоносного кода и других угроз. Некоторые используемые возможности и технологии делают решение уникальным и пока не имеющим аналогов. Это касается прежде всего интегрированного контроля устройств и приложений. Все остальные возможности продукта полностью соответствуют современным требованиям. И самое приятное то, что все богатство возможностей и настроек предоставляется в рамках базовой лицензии на программу без необходимости лицензировать отдельные модули. Таким образом, данное решение может быть рекомендовано для защиты корпоративных ресурсов без каких либо ограничений.
