入門指南

立即啟動並執行 Symantec Endpoint Protection
評估安全性需求,並判斷預設設定是否提供了所需的效能和安全性平衡。有一些效能增強作業可以於安裝
Symantec Endpoint Protection Manager
後立即進行。
立即執行下列工作以安裝和保護網路中的電腦:
步驟 1:規劃安裝結構
安裝產品之前,請考量網路的規模和地理分佈位置,以決定安裝架構。
為了確保維持良好的網路和資料庫效能,您需要評估數個因素。這些因素包括需要防護的電腦數量、是否有任何電腦透過廣域網路連線,或排程內容更新的頻率。
  • 如果網路規模很小、位於一個地理位置,而且少於 500 個用戶端,就只需要安裝一個
    Symantec Endpoint Protection Manager
  • 如果您的網路非常龐大,則可安裝更多具有額外資料庫的站台,並將其架構為使用複寫來共用資料。若要提供額外的備援,您可以安裝額外的站台,以支援容錯移轉或負載平衡。容錯移轉和負載平衡只能搭配 Microsoft SQL Server 資料庫使用。
  • 如果您的網路分散在不同地點,則可能需要針對負載平衡和頻寬分配目的,安裝額外的管理伺服器。
為了協助您規劃中型到大型安裝,請參閱:Symantec Endpoint Protection 規模設定及擴充性最佳實務白皮書
步驟 2:進行準備並安裝
Symantec Endpoint Protection Manager
  1. 確定要安裝管理伺服器的電腦符合最低系統需求。
  2. 若要安裝
    Symantec Endpoint Protection Manager
    ,您必須使用可授予本機管理員存取權的帳戶來登入。
  3. 決定是使用預設的 Microsoft SQL Server Express 資料庫還是 Microsoft SQL Server 資料庫。
    如果使用 Microsoft SQL Server 資料庫,安裝將會要求執行額外的步驟。這些步驟包括但不限於,架構或建立資料庫實例,將該實例架構為使用混合模式或 Windows 驗證模式。另外,還需要提供資料庫伺服器管理憑證,才能建立資料庫和資料庫使用者。這些會專門與管理伺服器搭配使用。
  4. 您首先要安裝
    Symantec Endpoint Protection Manager
    。安裝之後,您需要使用「管理伺服器組態精靈」立即架構安裝。
    在架構管理伺服器時,決定以下項目:
    • 用於登入管理主控台的密碼
    • 可接收重要通知和報告的電子郵件地址
    • 加密密碼,根據安裝期間您所選取的選項可能需要使用這個密碼
步驟 3:新增群組、政策和位置
  1. 群組可用來組織用戶端電腦,並將不同的安全層級套用到每個群組。您可以使用預設群組、匯入群組 (如果網路使用 Active Directory 或 LDAP 伺服器) 或新增群組。
    如果新增群組,您可以使用下列群組結構作為基礎:
    • 桌上型電腦
    • 筆記型電腦
    • 伺服器
  2. 您可以使用位置,根據特定準則將不同的政策和設定套用到電腦。例如,您可以根據電腦位於公司網路內部或外部,為電腦套用不同的安全政策。一般而言,與防火牆內部的電腦相比,從防火牆外部連線至網路的電腦需要更佳的安全性。
    此位置讓位於辦公室外的行動電腦從賽門鐵克的 LiveUpdate 伺服器自動更新其定義檔。
  3. 針對要使用不同政策或設定的群組或位置停用繼承。
    依據預設,群組會從預設的父群組
    My Company
    繼承政策和設定。如果您想要指派不同的政策給子群組,或想要新增位置,您必須先停用繼承。然後就可以變更子群組的政策,或新增位置。
    Symantec Endpoint Protection Manager
    政策繼承不會套用至從雲端接收到的政策。雲端政策會遵循在雲端中定義的繼承。
  4. 針對每種類型的政策,您可以接受預設政策,或建立並修改新政策來套用到每個新群組或位置。您必須將需求新增至預設主機完整性政策,才能使主機完整性檢查對用戶端電腦起作用。
步驟 4:變更通訊設定以增加效能
您可以在每個群組中修改下列用戶端伺服器通訊設定,以改善網路效能:
  • 使用提取模式取代推送模式,控制用戶端於何時使用網路資源下載政策和內容更新。
  • 增加活動訊號的間隔。如果每部伺服器服務的用戶端數目少於 100,可將活動訊號間隔時間增加為 15-30 分鐘。如果為 100 至 1,000 個用戶端,請將活動訊號間隔時間增加為 30-60 分鐘。更大的環境可能需要更長的活動訊號間隔時間。賽門鐵克建議您將「
    讓用戶端立即上傳重大事件
    」保留勾選狀態。
  • 將下載隨機設定增加為活動訊號間隔時間的一到三倍。
步驟 5:啟用產品授權
產品安裝後的 60 日之內購買並啟用授權。
步驟 6:決定用戶端部署方法
決定最適合用來在您環境中的電腦上安裝用戶端軟體的用戶端部署方法。
  • 針對 Linux 用戶端,您可以使用「
    儲存套件
    」或「
    網路連結與電子郵件
    」,但不能使用「
    遠端推送
    」。
  • 針對 Windows 和 Mac 用戶端,如果您使用「
    遠端推送
    」,可能需要執行下列工作:
    • 確認擁有遠端用戶端電腦的管理員存取權限。修改任何現有的防火牆設定 (包括通訊埠和通訊協定) 以允許在
      Symantec Endpoint Protection Manager
      與用戶端電腦之間進行遠端部署。
    • 您必須使用可授予本機管理員存取權的帳戶來登入。
      如果用戶端電腦是 Active Directory 網域的一部分,您必須使用可授予用戶端電腦本機管理員存取權的帳戶登入裝載
      Symantec Endpoint Protection Manager
      的電腦。針對不是 Active Directory 網域一部分的每個用戶端電腦,您都應該有管理員憑證可供使用。
步驟 7:準備用戶端進行安裝
  1. 確定要安裝用戶端軟體的電腦符合最低系統需求。您也應將用戶端安裝在裝載
    Symantec Endpoint Protection Manager
    的電腦上。
  2. 從 Windows 電腦手動解除安裝
    Symantec Endpoint Protection
    用戶端安裝程式無法解除安裝的任何第三方安全軟體程式。
    如需此功能移除的產品清單,請參閱:Symantec Endpoint Protection 的第三方安全軟體移除支援
    您必須從 Linux 電腦或 Mac 電腦移除任何現有的安全軟體。
    某些程式可能具有特殊的解除安裝常式,或者可能需要停用自我防護元件。請參閱第三方軟體的說明文件。
  3. 自 14 起,您可以將安裝套件架構為移除未透過標準方法移除的 Windows
    Symantec Endpoint Protection
    用戶端。該程序完成後,便會安裝
    Symantec Endpoint Protection
步驟 8:部署並安裝用戶端軟體
  1. 針對 Windows 用戶端,執行下列工作:
    • 建立自訂用戶端安裝功能集,決定要在用戶端電腦上安裝的元件。您也可以使用其中一個預設用戶端安裝功能集。
      若是工作站的用戶端安裝套件,請勾選環境中郵件伺服器所適用的電子郵件掃描程式防護選項。例如,如果您使用 Microsoft Exchange 郵件伺服器,則勾選「
      Microsoft Outlook 掃描程式
      」。
    • 更新自訂用戶端安裝設定,決定用戶端電腦上的安裝選項。這些選項包括目標安裝資料夾、解除安裝第三方安全軟體,以及安裝完成後的重新啟動行為。您也可以使用預設用戶端安裝設定。
  2. 使用「用戶端部署精靈」,建立用戶端安裝套件,其中包含從可用選項所進行的選擇,然後將它部署到用戶端電腦。您只能透過用戶端部署精靈部署至 Mac 或 Windows 電腦。
賽門鐵克建議您不要在安裝
Symantec Endpoint Protection
的同時執行第三方安裝。任何進行網路層級或系統層級變更的第三方程式安裝都可能會在安裝
Symantec Endpoint Protection
時導致不理想的結果。如可能,請在安裝
Symantec Endpoint Protection
之前重新啟動用戶端電腦。
步驟 9:檢查電腦是否列於預期的群組中,以及用戶端是否可與管理伺服器進行通訊
在管理主控台中,於「
用戶端
」>「
用戶端
」頁面上:
  1. 將檢視變更為「
    用戶端狀態
    」,確認每個群組中的用戶端電腦可與管理伺服器進行通訊。
    請查看以下各欄中的資訊:
  2. 變更為「
    防護技術
    」檢視,並確認「
    防毒狀態
    」和「
    竄改防護狀態
    」(含) 之間欄的狀態設定為「
    開啟
    」。
  3. 在用戶端上,檢查用戶端是否已連線至伺服器,並檢查政策序號是否為最新序號。