Guida introduttiva

Configurazione ed esecuzione immediata su Symantec Endpoint Protection
È necessario valutare i requisiti di sicurezza e decidere se le impostazioni predefinite forniscono un equilibrio adeguato tra prestazioni e sicurezza. Alcuni miglioramenti delle prestazioni possono essere eseguiti subito dopo l'installazione di
Symantec Endpoint Protection Manager
.
Eseguire le seguenti attività per installare e proteggere subito i computer in rete:
Passaggio 1: pianificare la struttura dell'installazione
Prima di installare il prodotto, considerare la dimensione e la distribuzione geografica della rete per determinare l'architettura dell'installazione.
Per assicurare buone prestazioni di rete e database, è necessario valutare parecchi fattori. Tra questi, quanti computer hanno bisogno della protezione, se qualcuno di tali computer si connette a una Wide Area Network, oppure ogni quanto tempo pianificare gli aggiornamenti dei contenuti.
  • Se la rete è piccola, è situata in una determinata posizione geografica e ha più poco di 500 client, è necessario installare solo un
    Symantec Endpoint Protection Manager
    .
  • Se la rete è molto grande, è possibile installare siti aggiuntivi con altri database e configurarli per condividere i dati mediante la replica. Per fornire ridondanza aggiuntiva, è possibile installare siti aggiuntivi per il supporto di failover o bilanciamento del carico. Il failover e il bilanciamento del carico possono essere utilizzati solo con i database Microsoft SQL Server.
  • Se la rete è distribuita geograficamente, può essere necessario installare server di gestione aggiuntivi per una migliore distribuzione di larghezza di banda e un maggior bilanciamento del carico.
Per ifacilitare la pianificazione di installazioni su media e grande scala, consultare la Guida al dimensionamento e alla scalabilità di Symantec Endpoint Protection.
Passaggio 2: preparare e installare
Symantec Endpoint Protection Manager
  1. Assicurarsi che il computer in cui si intende installare il server di gestione soddisfi i requisiti minimi di sistema.
  2. Per installare
    Symantec Endpoint Protection Manager
    è necessario avere effettuato l'accesso a un account con diritti di amministratore locale.
  3. Stabilire se utilizzare il database Microsoft SQL Server Express predefinito o un database Microsoft SQL Server.
    Se si decide di utilizzare un database Microsoft SQL Server, l'installazione richiede alcuni passaggi aggiuntivi. Tali passaggi includono, fra l'altro, la configurazione o la creazione di un'istanza di database configurata per utilizzare la modalità mista o la modalità di autenticazione Windows. Sarà inoltre necessario fornire credenziali di amministrazione del server di database al fine di creare il database e l'utente del database. Tali credenziali sono specifiche per l'utilizzo con il server di gestione.
  4. Per prima cosa, installare
    Symantec Endpoint Protection Manager
    . Dopo aver eseguito l'installazione, configurare immediatamente l'installazione con la procedura guidata di configurazione del server di gestione.
    Valutare gli elementi seguenti quando si configura il server di gestione:
    • Una password per l'accesso alla console di gestione
    • L'indirizzo e-mail che riceve le notifiche e i report importanti
    • Una password di crittografia, che può essere necessaria in base alle opzioni selezionate durante l'installazione
Passaggio 3: aggiungere gruppi, politiche e posizioni
  1. Utilizzare i gruppi per organizzare i computer client e applicare un livello di sicurezza differente a ogni gruppo. È possibile utilizzare i gruppi Predefiniti, importare gruppi, se la rete utilizza Active Directory o un server LDAP, o aggiungere nuovi gruppi.
    Se si aggiungono nuovi gruppi, è possibile utilizzare la seguente struttura del gruppo come base:
    • Desktop
    • Portatili
    • Server
  2. Utilizzare le posizioni per applicare politiche e impostazioni differenti ai computer basati sui criteri specifici. Ad esempio, è possibile applicare politiche di sicurezza differenti a computer che si trovano all'interno o all'esterno della rete aziendale. In generale, per i computer che si connettono alla rete dall'esterno del firewall è necessario garantire maggiore sicurezza rispetto a quelli all'interno del firewall.
    Una posizione può consentire ai computer portatili esterni alla sede di aggiornare automaticamente le proprie definizioni dai server di Symantec LiveUpdate.
  3. Disabilitare l'ereditarietà per i gruppi o le posizioni per cui si desidera utilizzare diverse politiche o impostazioni.
    Per impostazione predefinita, i gruppi ereditano le politiche e le impostazioni dal gruppo di appartenenza predefinito
    Mia Azienda
    . Se si desidera assegnare una politica differente ai gruppi figlio, o si desidera aggiungere una posizione, in primo luogo è necessario disattivare l'eredità. Poi è possibile cambiare le politiche per i gruppi figlio o è possibile aggiungere una posizione.
    L'eredità delle politiche di
    Symantec Endpoint Protection Manager
    non si applica alle politiche ricevute dal cloud. Le politiche cloud seguono l'ereditarietà definita nel cloud.
  4. Per ogni tipo di politica, è possibile accettare le politiche predefinite, o creare e modificare nuove politiche da applicare a ogni nuovo gruppo o posizione. Affinché il controllo di integrità dell'host abbia effetto nel computer client, è necessario aggiungere i relativi requisiti alla politica di integrità dell’host predefinita.
Passaggio 4: modificare le impostazioni di comunicazione per migliorare le prestazioni
È possibile migliorare le prestazioni di rete modificando le seguenti impostazioni di comunicazione client-server in ogni gruppo:
  • Utilizzare la modalità pull invece della modalità push per controllare quando i client utilizzano le risorse di rete per scaricare le politiche e gli aggiornamenti dei contenuti.
  • Aumentare l'intervallo di heartbeat. Per server con meno di 100 client, aumentare l'heartbeat a 15-30 minuti. Per server con un numero di client compreso tra 100 e 1000, aumentare l'heartbeat a 30-60 minuti. Gli ambienti più grandi potrebbero avere bisogno di un intervallo di heartbeat più lungo. Symantec consiglia di lasciare selezionata l'opzione
    Consenti ai client di caricare immediatamente eventi critici
    .
  • Aumentare la sequenza casuale di download a un valore da una a tre volte l’intervallo di heartbeat.
Passaggio 5: attivare la licenza del prodotto
Acquistare e attivare una licenza entro 60 giorni dall'installazione del prodotto.
Passaggio 6: decidere un metodo di distribuzione del client
Determinare il metodo di distribuzione del client ideale per installare il software client sui computer dell'ambiente in uso.
  • Per i client Linux, è possibile utilizzare
    Salva pacchetto
    o C
    ollegamento web e e-mail
    , ma non
    Push remoto
    .
  • Per i client Windows e Mac, se si utilizza
    Push remoto
    , potrebbe essere necessario eseguire le seguenti attività:
    • Assicurarsi di poter accedere ai computer del client remoto con diritti di amministratore. Modificare le impostazioni esistenti del firewall (inclusi porte e protocolli) per consentire la distribuzione remota tra
      Symantec Endpoint Protection Manager
      e i computer endpoint.
    • È necessario avere effettuato l'accesso a un account con diritti di amministratore locale.
      Se i computer client fanno parte di un dominio Active Directory, è necessario avere eseguito l'accesso al computer in cui si trova
      Symantec Endpoint Protection Manager
      con un account che consenta di accedere con diritti di amministratore locale ai computer client. È necessario avere credenziali di amministratore disponibili per ogni computer client, che non fa parte di un dominio Active Directory.
Passaggio 7: preparare il client per l’installazione
  1. Assicurarsi che i computer su cui installare il software client soddisfino i requisiti minimi di sistema. È inoltre necessario installare il client nel computer in cui si trova
    Symantec Endpoint Protection Manager
    .
  2. Disinstallare manualmente tutti i software di sicurezza di terze parti dai computer Windows che il programma di installazione del client di
    Symantec Endpoint Protection
    non può disinstallare.
    Per un elenco dei prodotti rimossi da questa funzionalità, consultare la sezione Supporto per la rimozione del software di protezione di terze parti in Symantec Endpoint Protection
    È necessario disinstallare ogni software di sicurezza esistente dai computer Linux o Mac.
    Alcuni programmi potrebbero prevedere procedure di disinstallazione speciali o richiedere la disattivazione di un componente di autoprotezione. Consultare la documentazione relativa al software di terze parti.
  3. A partire dalla versione 14, è possibile configurare il pacchetto di installazione per rimuovere un client
    Symantec Endpoint Protection
    di Windows la cui disinstallazione non riesce con i metodi standard. Al termine di quel processo, installa
    Symantec Endpoint Protection
    .
Passaggio 8: distribuire e installare il software client
  1. Per i client Windows, eseguire le seguenti attività:
    • Creare un set di caratteristiche per l'installazione client personalizzate per determinare quali componenti installare sui computer client. È anche possibile utilizzare uno dei set di caratteristiche per l'installazione client predefiniti.
      Per i pacchetti di installazione client per workstation, selezionare l'opzione di protezione della scansione e-mail applicabile al server di posta nell'ambiente in uso. Ad esempio, se si utilizza un server di posta Microsoft Exchange, selezionare
      Scansione Microsoft Outlook
      .
    • Aggiornare le impostazioni di installazione client personalizzate per determinare le opzioni d'installazione sul computer client. Queste opzioni includono la cartella di destinazione per l'installazione, la disinstallazione di software di sicurezza di terze parti e il comportamento di riavvio a installazione completata. È possibile anche utilizzare le impostazioni di installazione client predefinite.
  2. Con la Distribuzione guidata client, creare un pacchetto di installazione client selezionando le opzioni disponibili, per poi distribuirlo ai computer client. È possibile distribuire solo ai computer Windows o Mac con Distribuzione guidata client.
Symantec consiglia di non eseguire installazioni di terze parti in contemporanea all'installazione di
Symantec Endpoint Protection
. L'installazione di programmi di terze parti che comportano modifiche a livello di rete o di sistema potrebbe causare risultati imprevisti durante l'installazione di
Symantec Endpoint Protection
. Se possibile, riavviare i computer client prima di installare
Symantec Endpoint Protection
.
Passaggio 9: verificare che i computer siano elencati nei gruppi previsti e che i client comunichino con il server di gestione
Nella console di gestione, nella scheda
Client
>
Client
:
  1. Modificare la visualizzazione
    dello stato del client
    per assicurarsi che i computer client di ciascun gruppo comunichino con il server di gestione.
    Esaminare le informazioni nelle seguenti colonne:
  2. Passare alla visualizzazione della
    Tecnologia di protezione
    e verificare che lo stato sia impostato su
    Attivo
    nelle colonne, compreso lo
    Stato antivirus
    e lo
    Stato di protezione dalle manomissioni
    .
  3. Nel client, controllare che il client sia connesso a un server e che il numero di serie della politica sia il più recente.