Wprowadzenie

Natychmiastowe uruchomienie programu Symantec Endpoint Protection
Należy ocenić wymagania dotyczące zabezpieczeń i zadecydować, czy ustawienia domyślne zapewniają żądaną równowagę wydajności i zabezpieczeń. Niektóre sposoby zwiększania wydajności można zastosować natychmiast po zainstalowaniu programu
Symantec Endpoint Protection Manager
.
Wykonaj następujące zadania, aby przeprowadzić instalację i rozpocząć ochronę komputerów w sieci natychmiast po instalacji.
Krok 1: Zaplanowanie struktury instalacji
Przed zainstalowaniem produktu należy określić architekturę instalacji, uwzględniając rozmiar i geograficzne rozproszenie sieci.
Aby uzyskać dobrą wydajność sieci i bazy danych, należy wziąć pod uwagę kilka kwestii. Te kwestie to między innymi liczba komputerów wymagających ochrony, czy łączą się one przez sieć rozległą, oraz częstotliwość zaplanowanych aktualizacji składników oprogramowania.
  • Jeżeli sieć jest mała, znajduje się w jednej lokalizacji geograficznej i zawiera mniej niż 500 klientów, wystarczy zainstalować tylko jeden program
    Symantec Endpoint Protection Manager
    .
  • W bardzo dużych sieciach można zainstalować dodatkowe lokacje z dodatkowymi bazami danych i skonfigurować je do replikowania danych. Aby zapewnić dodatkową niezawodność, można zainstalować dodatkowe lokacje w celu obsługi przełączania awaryjnego lub równoważenia obciążenia. Funkcji przełączania awaryjnego i równoważenia obciążenia można używać jedynie z bazami danych programu Microsoft SQL Server.
  • Jeśli sieć jest geograficznie rozproszona, może być konieczne zainstalowanie dodatkowych serwerów zarządzania w celu obsługi równoważenia obciążenia i zwiększenia przepustowości.
Informacje ułatwiające planowanie średnich i dużych instalacji zawiera znajdziesz w artykule: Opracowanie techniczne programu Symantec Endpoint Protection dotyczące sprawdzonych metod wymiarowania i skalowalności
Krok 2: Przygotowanie do instalacji i instalacja programu
Symantec Endpoint Protection Manager
  1. Upewnić się, że komputer, na którym ma być zainstalowany serwer zarządzania, spełnia minimalne wymagania systemowe.
  2. Aby zainstalować program
    Symantec Endpoint Protection Manager
    , należy zalogować się przy użyciu konta zapewniającego uprawnienia dostępu administratora lokalnego.
  3. Należy zdecydować, czy ma zostać zainstalowana wbudowana baza danych, czy będzie używana baza danych programu Microsoft SQL Server.
    W przypadku używania bazy danych programu Microsoft SQL Server instalacja wymaga wykonania dodatkowych czynności. Są to między innymi kroki konfigurowania lub tworzenia wystąpienia bazy danych skonfigurowanej do używania trybu mieszanego lub trybu uwierzytelniania systemu Windows. Konieczne będzie również podanie poświadczeń administratora serwera bazy danych w celu utworzenia bazy danych i użytkownika bazy danych. Trzeba będzie ich używać na serwerze zarządzania.
  4. Najpierw należy zainstalować program
    Symantec Endpoint Protection Manager
    . Po instalacji należy ją natychmiast skonfigurować za pomocą Kreatora konfiguracji serwera zarządzania.
    Podczas konfigurowania serwera zarządzania należy określić następujące elementy:
    • Hasło logowania do konsoli zarządzania.
    • Adres e-mail, na który wysyłane będą ważne powiadomienia i raporty.
    • Hasło szyfrowania, które może być potrzebne w zależności od opcji wybranych podczas instalacji.
Krok 3: Dodawanie grup, zasad i lokalizacji
  1. Do organizowania komputerów klienckich służą grupy, do których można przypisywać różne poziomy zabezpieczeń. Można użyć grup domyślnych, zaimportować grupy, jeśli sieć używa serwera LDAP lub usługi Active Directory, lub dodać nowe grupy.
    Podczas dodawania nowych grup jako podstawy można użyć następującej struktury grup:
    • Komputery stacjonarne
    • Komputery przenośne
    • Serwery
  2. Lokalizacje służą do stosowania różnych zasad i ustawień na komputerach na podstawie konkretnych kryteriów. Można na przykład stosować do komputerów różne poziomy zabezpieczeń, w zależności od tego, czy znajdują się w sieci firmy, czy poza nią. Zwykle komputery łączące się z siecią firmy zza zapory muszą mieć większe zabezpieczenia niż komputery za zaporą.
    Lokalizacja może zezwalać komputerom przenośnym znajdującym się poza biurem na automatyczne aktualizowanie definicji za pomocą serwerów LiveUpdate firmy Symantec.
  3. W przypadku grup i lokalizacji, wobec których mają być stosowane inne zasady lub ustawienia, należy wyłączyć funkcję dziedziczenia.
    Domyślnie grupy dziedziczą zasady i ustawienia z domyślnej grupy nadrzędnej
    Moja firma
    . W przypadku zamiaru przypisania innej zasady do grup podrzędnych lub dodania lokalizacji należy najpierw wyłączyć dziedziczenie. Następnie można zmienić zasady dla grup podrzędnych lub dodać lokalizację.
    Dziedziczenie zasad w programie
    Symantec Endpoint Protection Manager
    nie dotyczy zasad pochodzących z chmury. Zasady z chmury podlegają dziedziczeniu określonemu w chmurze.
  4. W przypadku każdego typu zasady można zaakceptować zasady domyślne albo utworzyć i zmodyfikować nowe zasady, które mają być stosowane wobec każdej nowej grupy lub lokalizacji. Należy dodać wymagania do domyślnych zasad sprawdzania integralności hosta, aby miały one wpływ na komputer kliencki.
Krok 4: Zmiana ustawień komunikacji w celu zwiększenia wydajności
Wydajność sieciową można zwiększyć, modyfikując w każdej grupie następujące ustawienia komunikacji klient-serwer:
  • Można użyć trybu ściągania zamiast trybu wypychania, aby kontrolować, kiedy klienci używają zasobów sieciowych w celu pobierania zasad i aktualizacji składników oprogramowania.
  • Należy zwiększyć interwał pulsu. W przypadku mniej niż 100 klientów na serwer puls należy zwiększyć do 15–30 minut. W przypadku od 100 do 1000 klientów puls należy zwiększyć do 30–60 minut. Większe środowiska mogą wymagać większego interwału pulsu. Firma Symantec zaleca pozostawienie zaznaczonego pola wyboru
    Pozwól klientom natychmiast przekazywać zdarzenia krytyczne
    .
  • Interwał losowego czasu pobierania można zwiększyć maksymalnie do trzykrotności interwału pulsu.
Krok 5: Aktywowanie licencji produktu
Licencję należy kupić i aktywować w ciągu 60 dni od instalacji produktu.
Krok 6: Decydowanie o metodzie wdrożenia klienta
Należy określić metody wdrożenia klienta, które zostaną zastosowane w danym środowisku do zainstalowania oprogramowania klienckiego na komputerach.
  • W przypadku klientów systemu Linux można użyć funkcji
    Zapisz pakiet
    lub
    Łącze internetowe i wiadomość e-mail
    , ale nie funkcji
    Zdalne wypychanie
    .
  • W przypadku używania funkcji
    Zdalne wypychanie
    z klientami systemów Windows i Mac może być konieczne wykonanie następujących zadań:
    • Należy się upewnić, że możliwy jest dostęp administracyjny do zdalnych komputerów klienckich. Należy zmodyfikować ustawienia zapory (włącznie z portami i protokołami) w celu zezwolenia na wdrażanie zdalne między serwerem
      Symantec Endpoint Protection Manager
      a komputerami klienckimi.
    • Należy zalogować się przy użyciu konta zapewniającego uprawnienia dostępu administratora lokalnego.
      Jeśli komputery klienckie są częścią domeny Active Directory, użytkownik musi być zalogowany na komputerze z programem
      Symantec Endpoint Protection Manager
      przy użyciu konta, które przyznaje lokalnemu administratorowi dostęp do komputerów klienckich. Poświadczenia administratora powinny być dostępne dla każdego komputera klienckiego, który nie jest częścią domeny Active Directory.
Krok 7: Przygotowanie klienta do instalacji
  1. Należy się upewnić, że komputer, na którym ma być zainstalowane oprogramowanie klienckie, spełnia minimalne wymagania systemowe. Klienta należy zainstalować również na komputerze, na którym zainstalowano program
    Symantec Endpoint Protection Manager
    .
  2. Odinstalować ręcznie oprogramowanie zabezpieczające innej firmy, którego instalator klienta
    Symantec Endpoint Protection
    nie może usunąć z komputerów z systemem Windows.
    Aby sprawdzić, jakie produkty są usuwane przez tę funkcję, patrz: Obsługa usuwania oprogramowania zabezpieczającego innych firm w programie Symantec Endpoint Protection
    Należy odinstalować wszelkie istniejące oprogramowanie zabezpieczające z komputerów z systemami Linux i Mac.
    Niektóre programy mogą mieć specjalne procedury odinstalowania lub mogą wymagać wyłączenia składnika automatycznej ochrony oprogramowania zabezpieczającego innego producenta Należy sprawdzić dokumentację oprogramowania innej firmy.
  3. Począwszy od wersji 14, można skonfigurować pakiet instalacyjny tak aby usuwał klienta
    Symantec Endpoint Protection
    z systemem Windows, który nie został odinstalowany za pomocą metod standardowych. Gdy ten proces ulegnie zakończony, rozpocznie się instalacja programu
    Symantec Endpoint Protection
    .
Krok 8: Wdrażanie i instalacja oprogramowania klienckiego
  1. W przypadku klientów systemu Windows należy wykonać następujące czynności:
    • Utworzyć niestandardowy zestaw funkcji instalacji, który określi, które składniki mają być instalowane na komputerach klienckich. Można również skorzystać z jednego z domyślnych zestawów funkcji instalacji klienta.
      W przypadku pakietów instalacyjnych klienta dla stacji roboczych należy zaznaczyć opcję skanera ochrony poczty elektronicznej odpowiednią do serwera poczty e-mail w danym środowisku. Jeśli jest na przykład używany serwer poczty e-mail Microsoft Exchange, należy zaznaczyć opcję
      Skaner programu Microsoft Outlook
      .
    • Zaktualizować niestandardowe ustawienia instalacji klienta, aby określić opcje instalacji na komputerze klienckim. Te opcje to między innymi docelowy folder instalacji, odinstalowanie oprogramowania zabezpieczającego innych firm oraz tryb ponownego uruchomienia po dokończeniu instalacji. Można również użyć domyślnych ustawień instalacji klienta.
  2. Za pomocą Kreatora wdrażania klientów należy utworzyć pakiet instalacyjny klienta z wybranymi odpowiednimi opcjami, a następnie wdrożyć go na komputerach klienckich. Możliwe jest tylko wdrażanie na komputery z systemami Mac lub Windows za pomocą Kreatora wdrażania klientów.
Firma Symantec zaleca, aby instalacji programów innych firm nie przeprowadzać jednocześnie z instalacją programu
Symantec Endpoint Protection
. Instalacja jakiegokolwiek programu innej firmy, która powoduje zmiany na poziomie sieci lub systemu, może powodować niepożądane skutki podczas instalacji programu
Symantec Endpoint Protection
. Jeśli to możliwe, przed instalacją programu
Symantec Endpoint Protection
należy ponownie uruchomić komputery klienckie.
Krok 9: Sprawdzenie, czy komputery są wyświetlane w oczekiwanych grupach, a klienci komunikują się z serwerem zarządzania
W konsoli zarządzania, na stronie
Klienci
>
Klienci
:
  1. Należy zmienić widok na
    Stan klienta
    , aby upewnić się, że komputery klienckie w każdej grupie komunikują się z serwerem zarządzania.
    Informacje zawierają następujące kolumny:
  2. Należy przejść do widoku
    Technologia ochrony
    i ustawić stan
    Wł.
    w kolumnach
    Stan ochrony antywirusowej
    i
    Stan ochrony integralności
    oraz między nimi.
  3. Na kliencie należy sprawdzić, czy klient jest połączony z serwerem, oraz czy zasada ma najnowszy numer seryjny.