Erste Schritte

Sofortige Betriebsbereitschaft von Symantec Endpoint Protection
Bewerten Sie Ihre Sicherheitsanforderungen und entscheiden Sie, ob die Standardeinstellungen die gewünschte Balance zwischen Leistung und Sicherheit bieten. Einige Leistungsverbesserungen können sofort nach der Installation von
Symantec Endpoint Protection Manager
umgesetzt werden.
Führen Sie die folgenden Aufgaben durch, um die Computer im Netzwerk zu installieren und sofort zu schützen:
Schritt 1: Planen der Installationsstruktur
Bevor Sie das Produkt installieren, prüfen Sie die Größe und geografische Verteilung Ihres Netzwerks, um die Installationsarchitektur zu ermitteln.
Sie müssen mehrere Faktoren auswerten, um gute Netzwerk- und Datenbankleistung sicherzustellen. Zu diesen Faktoren zählen die Anzahl der Computer, die Schutz benötigen, ob sie über eine WLAN-Verbindung angeschlossen sind oder die Häufigkeit geplanter Content-Updates.
  • Wenn Ihr Netzwerk klein ist, sich in einer geografischen Lage befindet und weniger als 500 Clients hat, müssen Sie nur ein
    Symantec Endpoint Protection Manager
    installieren.
  • Wenn Ihr Netzwerk sehr groß ist, können Sie zusätzliche Standorte mit zusätzlichen Datenbanken installieren und sie entsprechend konfigurieren, damit Daten mit der Replikation freizugeben. Als zusätzliche Redundanz können Sie weitere Standorte zur Failover-Unterstützung oder für den Lastenausgleich installieren. Failover und Lastenausgleich können nur mit Microsoft SQL Server-Datenbanken verwendet werden.
  • Wenn Ihr Netzwerk geografisch zerstreut ist, müssen Sie evtl. zusätzliche Management-Server zu Lastverteilungs- und Bandbreitenverteilungszwecken installieren.
Hilfreiche Informationen zur Planung von mittleren bis großen Installationen finden Sie in: Symantec Endpoint Protection-Whitepaper mit Empfehlungen zur Größenbestimmung und Skalierbarkeit.
Schritt 2: Vorbereiten und Durchführen der Installation von
Symantec Endpoint Protection Manager
  1. Stellen Sie sicher, dass der Computer, auf dem der Management-Server installiert werden soll, die Mindestsystemanforderungen erfüllt.
  2. Um
    Symantec Endpoint Protection Manager
    installieren, müssen Sie mit einem Konto eingeloggt sein, das über lokalen Administratorzugriff verfügt.
  3. Bestimmen Sie, ob Sie die standardmäßige Microsoft SQL Server Express-Datenbank oder eine Microsoft SQL Server-Datenbank installieren möchten.
    Wenn Sie eine Microsoft SQL Server-Datenbank verwenden möchten, sind weitere Installationsschritte erforderlich. Dazu gehören unter anderem das Konfigurieren oder Erstellen einer Datenbankinstanz für die Verwendung des gemischten Modus oder des Windows-Authentifizierungsmodus. Sie müssen auch die Zugangsdaten des Serveradministrators angeben, um die Datenbank und den Datenbankbenutzer zu erstellen. Diese gelten speziell für die Nutzung mit dem Management-Server.
  4. Sie installieren zuerst
    Symantec Endpoint Protection Manager
    . Nach der Installation konfigurieren Sie diese sofort mit dem Management-Server-Konfigurationsassistenten.
    Bestimmen Sie nach Konfigurieren des Management-Servers über die folgenden Elemente:
    • Ein Kennwort zum Einloggen bei der Management-Konsole
    • Eine E-Mail-Adresse für wichtige Benachrichtigungen und Berichte
    • Ein Verschlüsselungskennwort, das abhängig von den Optionen erforderlich ist, die Sie während der Installation auswählen.
Schritt 3: Hinzufügen von Gruppen, Richtlinien und Standorten
  1. Sie verwenden Gruppen, um die Clientcomputer zu organisieren und für jede Gruppe eine andere Sicherheitsebene zu übernehmen. Sie können die Standardgruppen verwenden, Gruppen importieren, falls Ihr Netzwerk Active Directory oder einen LDAP-Server verwendet, oder neue Gruppen hinzufügen.
    Wenn Sie neue Gruppen verwenden, können Sie die folgende Gruppenstruktur als Grundlage verwenden:
    • Desktops
    • Laptops
    • Server
  2. Sie verwenden Speicherorte, um basierend auf bestimmten Kriterien verschiedene Richtlinien und Einstellungen auf die Computer anzuwenden, die auf bestimmten Kriterien basieren. Beispiel: Je nachdem, ob die Computer innerhalb oder außerhalb des Unternehmensnetzwerks sind, können Sie unterschiedliche Sicherheitsrichtlinien auf die Computer anwenden. Im Allgemeinen müssen Computer, die von außerhalb Ihrer Firewall eine Verbindung mit Ihrem Netzwerk herstellen, besser geschützt werden als Computer innerhalb der Firewall.
    Ein Standort kann den mobilen Computern ermöglichen, die nicht im Büro sind, ihre Definitionen von den LiveUpdate-Servern von Symantec automatisch zu aktualisieren.
    Weitere Informationen finden Sie unter: Best Practices für Symantec Endpoint Protection-Ortserkennung übergehen.
  3. Deaktivieren Sie die Vererbung für die Gruppen oder Standorte, für die Sie verschiedene Richtlinien oder Einstellungen verwenden möchten.
    Standardmäßig erben Gruppen ihre Richtlinien und Einstellungen aus der übergeordneten Standardgruppe "
    Meine Firma
    ". Wenn Sie untergeordneten Gruppen eine andere Richtlinie zuweisen oder einen Standort hinzufügen möchten, müssen Sie zuerst Vererbung deaktivieren. Danach können Sie die Richtlinien für die untergeordneten Gruppen ändern oder einen Standort hinzufügen.
    Symantec Endpoint Protection Manager
    -Richtlinienvererbung gilt nicht für Richtlinien, die aus der Cloud eingehen. Für die Cloud-Richtlinien gilt die in der Cloud definierte Vererbung.
  4. Sie können für jeden Richtlinientyp die Standardrichtlinien akzeptieren oder neue Richtlinien erstellen und ändern, um sie auf jede neue Gruppe oder jeden neuen Standort anzuwenden. Sie müssen Anforderungen für die Standard- Hostintegritätsrichtlinie hinzufügen, damit die Hostintegritätsprüfung auf dem Clientcomputer ausgeführt wird.
Schritt 4: Ändern der Kommunikationseinstellungen zur Leistungssteigerung
Sie können die Netzwerkleistung verbessern, indem Sie die folgenden Kommunikationseinstellungen für Clientserver in jeder Gruppe ändern:
  • Verwenden Sie den Pull- anstelle des Push-Modus, um zu steuern, wann Clients Netzwerkressourcen verwenden, um Richtlinien und Content-Updates herunterzuladen.
  • Erhöhen Sie das Heartbeat-Intervall. Erhöhen Sie bei weniger als 100 Clients pro Server den Heartbeat auf 15-30 Minuten. Bei 100 bis 1000 Clients erhöhen Sie den Heartbeat auf 30-60 Minuten. Größere Umgebungen benötigen möglicherweise ein längeres Heartbeat-Intervall. Lassen Sie "
    Clients können wichtige Ereignisse sofort hochladen
    " aktiviert.
  • Erhöhen Sie zufällige Ausführung von Downloads auf das 1- bis 3-Fache des Heartbeat-Intervalls.
Schritt 5: Aktivieren der Produktlizenz
Erwerben und aktivieren Sie eine Lizenz innerhalb von 60 Tagen nach der Produktinstallation.
Schritt 6: Auswählen einer Clientbereitstellungmethode
Bestimmen Sie, welche Methode zur Clientbereitstellung am besten geeignet wäre, Clientsoftware auf den Computern in Ihrer Umgebung zu installieren.
  • Bei Linux-Clients können Sie entweder "
    Paket speichern
    " oder "
    Weblink und E-Mail
    " verwenden, jedoch nicht "
    Remote-Push
    ".
  • Wenn Sie für Windows- und Mac-Clients "
    Remote-Push
    " verwenden, müssen Sie möglicherweise folgende Aufgaben durchführen:
    • Stellen Sie sicher, dass Administratorzugriff auf den Remote-Clientcomputer verfügbar ist. Ändern Sie alle vorhandenen Firewall-Einstellungen (einschließlich Ports und Protokolle), um Remote-Bereitstellung zwischen
      Symantec Endpoint Protection Manager
      und Clientcomputer zu ermöglichen.
    • Sie müssen mit einem Konto eingeloggt sein, das über lokalen Administratorzugriff verfügt.
      Wenn die Clientcomputer Teil einer Active Directory-Domäne sind, müssen Sie auf dem Computer eingeloggt sein, auf dem
      Symantec Endpoint Protection Manager
      mit einem Konto gehostet wird, der dem lokalen Administrator Zugriff auf Clientcomputer gewährt. Stellen Sie für jeden Clientcomputer, der nicht Teil des Clientcomputers ist, Anmeldeinformationen des Administrators sicher.
Schritt 7: Vorbereiten des Clients für die Installation
  1. Stellen Sie sicher, dass der Computer, auf dem Sie die Clientsoftware installieren, die Mindestsystemanforderungen erfüllt. Sie sollten außerdem den Client auf dem Computer installieren, auf dem
    Symantec Endpoint Protection Manager
    ausgeführt wird.
  2. Entfernen Sie manuell alle Sicherheitssoftwareprogramme von Windows-Computern, die das
    Symantec Endpoint Protection
    -Clientinstallationsprogramm nicht deinstallieren kann.
    Eine Liste von Produkten, die durch diese Funktion, entfernt werden, finden Sie unter: Support für 3rd Party Security Software Removal in Symantec Endpoint Protection
    Sie müssen jede vorhandene Sicherheitssoftware von Linux-Computern oder von Mac-Computern deinstallieren.
    Einige Programme können spezielle Deinstallationsroutinen haben oder das Deaktivieren einer Selbstschutzkomponente erfordern. Informationen dazu finden Sie in der Dokumentation der jeweiligen Software.
  3. Ab Version 14 können Sie das Installationspaket konfigurieren, um einen Windows-Client-
    Symantec Endpoint Protection
    zu entfernen, der nicht durch Standardverfahren deinstalliert werden kann. Wenn dieser Vorgang abgeschlossen ist, wird als nächstes
    Symantec Endpoint Protection
    installiert.
Schritt 8: Bereitstellen und Installieren der Clientsoftware
  1. Führen Sie bei Windows-Clients folgende Aufgaben durch:
    • Erstellen Sie eine benutzerdefinierte Funktionsgruppe für die Clientinstallation, um die Komponenten festzulegen, die Sie auf den Clientcomputern installieren möchten. Sie können auch eine der standardmäßigen Funktionsgruppe für die Clientinstallation verwenden.
      Aktivieren Sie bei Clientinstallationspaketen für Arbeitsstationen die Schutzoption des E-Mail-Scanners, die auf den E-Mail-Server in Ihrer Umgebung zutrifft. Wenn Sie beispielsweise einen Microsoft Exchange-E-Mail-Server verwenden, müssen Sie "
      Microsoft Outlook-Scanner
      " aktivieren.
    • Aktualisieren Sie die benutzerdefinierten Clientinstallationeinstellungen, um die Installationsoptionen auf dem Clientcomputer festzulegen. Diese Optionen umfassen den Zielinstallationsordner, die Deinstallation von Software anderer Hersteller und das Neustartverhalten nach Abschluss der Installation. Sie können auch die standardmäßigen Clientinstallationeinstellungen verwenden.
  2. Erstellen Sie mit dem Clientbereitstellungsassistenten ein Clientinstallationspaket mit einer Auswahl aus verfügbaren Optionen und stellen Sie es dann auf Ihren Clientcomputern bereit. Auf Mac- oder Windows-Computern muss die Bereitstellung mit dem Clientbereitstellungsassistenten erfolgen.
Symantec empfiehlt, dass Sie keine Produkte Dritter installieren, während die Installation von
Symantec Endpoint Protection
läuft. Die Installation von Programmen, die Änderungen auf Netzwerk- oder Systemebene vornehmen, kann beim Installieren von
Symantec Endpoint Protection
unerwünschte Ergebnisse zur Folge haben. Wenn möglich, starten Sie die Clientcomputer neu, bevor Sie
Symantec Endpoint Protection
installieren.
Schritt 9: Prüfen, ob die Computer in den erwarteten Gruppen aufgelistet sind und der Client mit dem Management-Server kommuniziert
In der Management-Konsole auf der Seite "
Clients
>
Clients
":
  1. Ändern Sie die Ansicht in "
    Clientstatus
    ", um sicherzustellen, dass die Clientcomputer in jeder Gruppe mit dem Management-Server kommunizieren.
    Beachten Sie die Daten in den folgenden Spalten:
  2. Wechseln Sie in die Ansicht "
    Schutztechnologie
    " und stellen Sie sicher, dass der Status in den Spalten "
    AntiVirus-Status
    " und "
    Manipulationsschutzstatus
    " sowie zwischen diesen Spalten auf "
    Ein
    " festgelegt ist.
  3. Prüfen Sie auf dem Client, ob dieser mit einem Server verbunden ist und ob die Seriennummer der Richtlinie die aktuelle Nummer ist.