快速入门

立即启动并运行 Symantec Endpoint Protection
评估您的安全需求,并判断默认设置是否能够实现您需要达到的性能和安全性之间的平衡。安装
Symantec Endpoint Protection Manager
后,在性能方面的某些改进可以立即实现。
立即执行下列任务以安装和保护您网络中的计算机:
步骤 1:规划您的安装结构
安装产品之前,请根据网络的规模和地域分布确定安装体系结构。
为了确保维持良好的网络和数据库性能,您需要对几个因素进行评估。这些因素包括:有多少台计算机需要防护,是否有任何计算机需要通过广域网络连接,调度内容更新的频率是怎样的。
  • 如果网络规模不大,集中在一个地理位置,而且只有不到 500 个客户端,则只需要安装一个
    Symantec Endpoint Protection Manager
  • 如果网络非常庞大,则可以增加一些具有额外数据库的站点,并配置它们通过复制来共享数据。要提供额外的冗余,您可以安装额外的站点以支持故障转移或负载平衡。故障转移和负载平衡只能与 Microsoft SQL Server 数据库一起使用。
  • 如果您的网络分散在不同地点,则可能需要安装额外的管理服务器,以用于负载平衡和带宽分配。
要帮助您规划中到大型安装,请参阅:Symantec Endpoint Protection 的规模设置及可伸缩性最佳做法白皮书
步骤 2:进行准备并安装
Symantec Endpoint Protection Manager
  1. 确保安装管理服务器的计算机达到了系统最低要求。
  2. 要安装
    Symantec Endpoint Protection Manager
    ,您必须使用可授予本地管理员访问权的帐户登录。
  3. 决定是使用默认的 Microsoft SQL Server Express 数据库还是 Microsoft SQL Server 数据库。
    如果使用 Microsoft SQL Server 数据库,安装时会需要执行一些额外的步骤。这些步骤包括但不限于:配置或创建数据库实例,要采用混合模式或 Windows 验证模式需配置该实例。另外,还需要提供数据库服务器管理凭据,才能创建数据库和数据库用户。它们是专门与管理服务器搭配使用的。
  4. 您首先要安装
    Symantec Endpoint Protection Manager
    。安装之后,您需要立即使用管理服务器配置向导配置安装。
    在配置管理服务器时,决定以下项目:
    • 登录管理控制台的密码
    • 您可用来接收重要通知和报告的电子邮件地址
    • 可能需要的加密密码,是否需要此密码取决于在安装期间选择的选项
步骤 3:添加组、策略和位置
  1. 您可以使用组来组织客户端计算机,并对每个组应用不同的安全级别。您可以使用默认组,在网络使用 Active Directory 或 LDAP 服务器的情况下可以导入组,或者还可以添加新组。
    如果添加新组,您可以使用下列组结构作为基础:
    • 台式机
    • 笔记本电脑
    • 服务器
  2. 您可以使用位置,以根据特定条件对计算机应用不同的策略和设置。例如,您可以根据计算机位于公司网络内部还是外部,对计算机应用不同的安全策略。一般而言,与防火墙内部的计算机相比,从防火墙外部连接至您网络的计算机需要更强的安全性。
    允许未处在办公室中的移动计算机从 Symantec LiveUpdate 服务器自动更新其定义的位置。
    请参阅“Symantec Endpoint Protection 位置感测最佳做法” 中创建的目录服务器名称。
  3. 针对要使用不同策略或设置的组或位置禁用继承。
    默认情况下,组会从默认的父组
    My Company
    继承策略和设置。如果要为子组分配不同的策略,或想要添加位置,您必须先禁用继承。然后就可以更改子组策略,或添加位置。
    Symantec Endpoint Protection Manager
    策略继承不适用于从云接收的策略。云策略遵循在云中定义的继承规则。
  4. 对于每种类型的策略,您可以接受默认策略,或创建并修改新策略来应用到每个新组或位置。必须将要求添加至默认的主机完整性策略,这样主机完整性检查对于客户端计算机才会有效。
步骤 4:更改通信设置以提高性能
您可以通过修改每个组中的客户端/服务器通信设置来改善网络性能:
  • 使用拉模式而非推模式来控制客户端何时使用网络资源下载策略及内容更新。
  • 增加检测信号间隔。如果每台服务器支持的客户端数目不到 100 个,请将检测信号时间间隔增至 15-30 分钟。如果为 100 至 1,000 个客户端,请将检测信号时间间隔增至 30-60 分钟。更大的环境可能需要更长的检测信号时间间隔。Symantec 建议您将“
    让客户端立即上传重大事件
    ”保留选中状态。
  • 将下载随机化增至检测信号时间间隔的一到三倍之间。
步骤 5:激活本产品的许可证
请在产品安装后的 60 日之内购买并激活许可证。
步骤 6:决定客户端部署方法
确定哪种客户端部署方法最适合用来在您环境中的计算机上安装客户端软件。
  • 对于 Linux 客户端,您可以使用“
    保存软件包
    ”或“
    Web 链接和电子邮件
    ”,但不能使用“
    远程推式
    ”。
  • 对于 Windows 和 Mac 客户端,如果您使用“
    远程推式
    ”,可能需要执行下列任务:
    • 确保拥有远程客户端计算机的管理员访问权限。修改任何现有防火墙设置(包括端口和协议)以允许在
      Symantec Endpoint Protection Manager
      与客户端计算机之间进行远程部署。
    • 您必须使用可授予本地管理员访问权的帐户登录。
      如果客户端计算机加入了 Active Directory 域,您必须使用授予了客户端计算机本地管理员访问权的帐户登录托管
      Symantec Endpoint Protection Manager
      的计算机。对于未加入 Active Directory 域的每个客户端计算机,您都应该具有管理员凭据。
步骤 7:准备客户端以进行安装
  1. 确保要安装客户端软件的计算机符合最低系统要求。您也应将客户端安装在装有
    Symantec Endpoint Protection Manager
    的计算机上。
  2. 从 Windows 计算机手动卸载
    Symantec Endpoint Protection
    客户端安装程序无法卸载的任何第三方安全软件。
    有关此功能要删除的产品列表,请参阅:Symantec Endpoint Protection 中的第三方安全软件删除支持
    您必须从 Linux 计算机或 Mac 计算机卸载现有的任何安全软件。
    有些程序可能有特殊的卸载程序,或者可能需要禁用自我保护组件。请参见相应第三方软件的文档。
  3. 自 14 版本起,您可以配置安装包以删除不会通过标准方法卸载的 Windows
    Symantec Endpoint Protection
    客户端。当该进程完成时,它会安装
    Symantec Endpoint Protection
步骤 8:部署并安装客户端软件
  1. 对于 Windows 客户端,请执行下列任务:
    • 创建可确定要在客户端计算机上安装的组件的自定义客户端安装功能集。您也可以使用其中一个默认客户端安装功能集。
      对于工作站的客户端安装软件包,请选中环境中邮件服务器所适用的电子邮件扫描程序防护选项。例如,如果您使用 Microsoft Exchange 邮件服务器,则选中“
      Microsoft Outlook 扫描程序
      ”。
    • 更新自定义客户端安装设置,以确定客户端计算机上的安装选项。这些选项包括目标安装文件夹、第三方安全软件卸载以及安装完成后的重新启动行为。您也可以使用默认的客户端安装设置。
  2. 使用客户端部署向导,基于从可用选项选择好的选项创建客户端安装软件包,然后将其部署到客户端计算机。使用客户端部署向导只能部署到 Mac 或 Windows 计算机。
Symantec 建议您不要在安装
Symantec Endpoint Protection
的同时进行第三方安装。安装
Symantec Endpoint Protection
时安装任何第三方程序对网络或系统级别进行更改都可能会导致不必要的结果。如果可能,请在安装
Symantec Endpoint Protection
前重新启动客户端计算机。
步骤 9:检查计算机是否已列在预期的组中,以及客户端是否可与管理服务器进行通信
在管理控制台上的“
客户端
”>“
客户端
”页面中:
  1. 将视图切换到“
    客户端状态
    ”,以确保每个组中的客户端计算机正在与管理服务器进行通信。
    查看以下各列中的信息:
  2. 更改为“
    防护技术
    ”视图,并确认“
    防病毒状态
    ”和“
    篡改防护功能状态
    ”之间的列的状态设置为“
    打开
    ”。
  3. 在客户端上,检查客户端是否已连接至服务器,并检查策略序列号是否为最新。