SYMANTEC SEP系统安装配置简易指南1.docx
《SYMANTEC SEP系统安装配置简易指南1.docx》由会员分享,可在线阅读,更多相关《SYMANTEC SEP系统安装配置简易指南1.docx(49页珍藏版)》请在冰豆网上搜索。
SYMANTECSEP系统安装配置简易指南1
SEP系统安装配置指南
赛门铁克中国公司
2008.10
RevisionHistory
一.文档介绍
1、本文档根据Symantec技术支持部门编写的内部文档扩充改编;
2、本文档用来指导小型用户顺利的安装SEP11.0产品;
3、小型用户环境中,SEP服务器1台,终端数量小于200台;
4、产品具有Antivirus-NetworkThreatenedProtect-ApplicationControl功能。
二.SEP安装概述
三.SEP安装前系统检查
1.安装
处理器
900MHzIntelPentiumIII
操作系统
WindowsServer2003SP1
内存
2GB
硬盘
8GB(其中1GB用于存储日志、数据库和备份文件)
软件环境
InternetInformationServiceServer5.0或更高版本(须启动)
2.安装客户端的计算机最低要求
处理器
400MHzIntelPentiumIII(WindowsVista需要1GHz)
操作系统
Windows2000Professional/Server/AdvancedServerServicePack3或更高;
WindowsXPHomeEdition/Professional/TabletPCEdition;
WindowsServer2003Web/Standard/Enterprise/DatacenterEdition
WindowsVista(x86)
内存
512MB
硬盘
600MB
软件环境
系统中没有其他杀毒软件
第一次安装管理软件的过程分为两部分。
第一部分安装SymantecEndpointProtectionManager。
第二个部分安装并配置SymantecEndpointProtectionManager数据库。
在第一部分中,您可以接受全部的默认值。
在第二部分中,您必须根据服务器支持的客户端数量,为SymantecEndpointProtectionManager选择所需的配置类型(“简单”或“高级”)。
“简单”配置适用于支持的客户端数量少于100的服务器,该配置会自动创建嵌入式数据库,并为大部分设置使用默认值,而让您进行最少的键入。
“高级”配置适用于较大环境中的管理员,可让您指定特定于该环境的设置。
注意:
管理软件不包括SymantecEndpointProtection或任何其他受管的客户端软件。
四.SEP服务器、控制台安装
将安装光盘放入服务器光驱中,会自动弹出如下界面
点击“安装SymantecEndpointProtection”,出现如下提示
点击“安装SymantecEndpointProtectionManager”,将同时安装服务器和控制台
安装程序将检查系统是否满足需求,如果没有安装IIS,系统将会提示
点击“确定”后,会退出安装程序,等待安装IIS再重装。
如果系统满足要求将会继续,出现如下安装向导
点击“下一步”,出现安装许可协议
选择“接受该许可协议中的条款”,点击“下一步”
确认安装目录,点击“下一步”
保持“使用默认Web站点”选项,点击“下一步”
确认以上信息后,点击“安装”开始安装过程
开始安装过程,完成后出现如下提示
点击“完成”,系统会自动弹出“管理服务器配置向导”
选择“安装我的第一个站点”,然后点击“下一步”
确认以上信息,点击“下一步”
命名此站点名称后,点击“下一步”
输入服务器和客户端加密通信时使用的密码,用于灾难恢复,为方便记忆,这里的密码设为symantec,请一定记住此密码,点击“下一步”
这里选择数据库,如果管理的客户端少于1000点,可以选择使用“嵌入式数据库”,否则请一定要安装使用SQLserver。
由于本机上已经有一个SQLserver了,所以这里可以选择使用SQLserver作为数据库。
点击“下一步”
由于本机上已经有一个SQLserver了,所以这里可以选择使用SQLserver作为数据库。
点击“下一步”。
输入登录管理员admin的密码,确认后,点击“下一步”
系统将创建数据库,等待一段时间,待其配置完成后,服务器和控制台即安装完成。
选择“否”,然后点击“完成”。
系统将自动弹出SymantecEndpointProtectionManager登录界面。
输入安装时指定的“用户名”和“密码”,点击“登录”
出现SymantecEndpointProtectionManager主页面,服务器和控制台安装完成。
五.复制站点的安装
对于多级管理架构,需要用到复制站点。
如,省公司是一级,地市公司是二级。
需要进行统一的规划和管理。
对于地市公司必须采取复制站点的模式,否则不能接受省公司的管理!
复制站点安装流程如下:
使用默认选择,不建议更改!
使用默认的站点名称,也可自定义!
指向省公司的SEP服务器,需要输入省公司站点的管理员账户和密码
在探出的对话框中点击“是”,信任证书,并建立通信!
选择SQLServer数据库
选择创建新的数据库!
与新建站点一样!
输入数据库密码,用于查询!
输入DBA密码,用于建立数据库!
在安装数据库时,建议都使用symantc作为密码,方便记忆!
等待数据库从远程站点复制过来!
约20-30分钟后数据库同步完成!
(需要耐心等待,如果同步失败,建议扩大系统盘或者在其他盘符下进行站点复制)
六.SEP策略配置
使用SymantecEndpointProtectionManager可配置策略并将其应用于组或组中的位置。
组及位置中的所有客户端计算机都会接收在策略中指定的权限和功能。
例如,如果LiveUpdate设置策略指定在每天晚上10点运行LiveUpdate,则所有接收该策略的客户端都会每天运行LiveUpdate。
对于SymantecEndpointProtection,有多种策略。
对于LiveUpdate、防病毒和防间谍软件防护、集中式例外等,都有对应的策略。
SEP系统已经有三种默认的防病毒策略,分别是“防病毒和防间谍软件策略”、“防病毒和防间谍软件策略—高安全性”、“防病毒和防间谍软件策略—高性能”。
一般来说根据企业的情况选择其中一种策略既可。
如果要对当前策略作修改,修改办法请参阅产品介质光盘中的SEP管理员手册(CD1\Documentation\)
1.配置LiveUpdate更新
对于管理员来说,最重要的策略配置当属系统自动更新LiveUpdate的配置。
不过系统已经有默认的LiveUpdate配置,一般情况下是不需要修改默认配置的。
如要修改,请按如下步骤进行更改。
配置用于站点更新的LiveUpdate
您应该配置SymantecEndpointProtectionManager检查与下载新的站点更新的频率。
另外,您还要用LiveUpdate内容策略配置客户端更新,从而确保下载想要客户端接收的所有类型。
配置站点的LiveUpdate
1在控制台左窗格中,单击“管理员”。
2在左下方窗格中,单击“服务器”。
3在左上方窗格中,右键单击“本地站点”,然后单击“编辑属性”。
4在LiveUpdate选项卡的“下载调度”下,选中“频率”选项,决定要多久下载一次最新定义。
5有关设置此对话框中其他选项的详细信息,请单击“帮助”。
6完成设置站点的LiveUpdate属性后,单击“确定”。
配置LiveUpdate进行客户端更新
使用迁移和部署向导创建组时,组会接收默认策略。
如果您创建与默认策略类型相同的新策略,并将其应用于组,则默认策略不再起作用。
例如,您可以创建一个名为MyLiveUpdate策略的LiveUpdate策略,并将其应用于使用默认LiveUpdate策略的组。
MyLiveUpdate就会取代默认的LiveUpdate策略。
其他组也可以共享您创建的新策略。
LiveUpdate策略有两种类型。
一种是LiveUpdate设置策略,该策略指定客户端运行LiveUpdate以检查是否有内容更新的频率。
另一种是LiveUpdate内容策略,该策略指定客户端在运行LiveUpdate时可以接收的内容。
配置LiveUpdate设置策略
使用迁移和部署向导创建组时,组会接收默认策略。
您可以创建新策略替换默认策略,也可以编辑默认策略。
最好的做法就是创建并应用新策略,保留默认策略。
配置LiveUpdate设置策略
1在控制台上,单击“策略”。
2在“查看策略”窗格中,单击LiveUpdate。
3在左下方的“任务”窗格中,单击“添加LiveUpdate设置策略”。
4在“概述”窗格的“策略名称”框中,键入策略名称。
5在LiveUpdate策略下,单击“调度”。
6在“调度”窗格中,接受或更改调度选项。
7在LiveUpdate策略下,单击“高级设置”。
8决定是保留还是更改默认设置。
9有关设置的详细信息,请单击“帮助”。
通常情况下,您不希望用户修改更新设置。
但是,如果客户端太多而不能支持,您不妨让他们手动启动LiveUpdate会话。
10完成策略配置后,单击“确定”。
11在“分配策略”对话框中,单击“是”。
12在“分配LiveUpdate策略”对话框中,选中要应用策略的组与位置,然后单击“分配”。
如果您不能选择嵌套组,该组会继承其父组的策略,如“客户端”页面“策略”选项卡上的设置。
13在“分配LiveUpdate策略”对话框中,单击“是”。
配置LiveUpdate内容策略
默认情况下,组内的所有客户端都会收到所有内容更新的最新版本。
如果组配置为从管理服务器接收更新,则客户端只会接收服务器下载的更新。
如果LiveUpdate内容策略配置为允许所有更新,但管理服务器未配置为下载所有更新,则客户端只会接收服务器下载的内容。
服务器下载的内容可以从“管理员”窗格中配置。
注意:
LiveUpdate内容策略不适用于SymantecNetworkAccessControl客户端。
配置LiveUpdate内容策略
1在控制台上,单击“策略”。
2在“查看策略”窗格中,单击LiveUpdate。
3在“LiveUpdate策略”窗格中,单击“LiveUpdate内容”选项卡。
4在左下方的“任务”窗格中,单击“添加LiveUpdate内容策略”。
5在“概述”窗格的“策略名称”框中,键入策略名称。
6如果配置SymantecEndpointProtection,请在“LiveUpdate内容”窗格中,单击“安全定义”。
7在“安全定义”窗格中,选中要下载并安装的更新,取消选中要禁用的更新。
8在“LiveUpdate内容策略”窗口中,单击“确定”。
9在“分配策略”对话框中,单击“是”。
10在“分配LiveUpdate内容策略”对话框中,选中一个或多个要应用此策略的组,然后单击“分配”。
如果您不能选择嵌套组,该组会继承其父组的策略,如“客户端”页面“策略”选项卡上的设置。
11在“分配LiveUpdate策略”对话框中,单击“是”。
2.防配置默认防病毒和防间谍软件策略
接下来,将为组配置防病毒和防间谍软件策略。
此过程会让您编辑当前唯一应用于组的默认策略。
不过,您也可以创建新策略,并将其应用于组。
配置默认防病毒和防间谍软件策略
1在控制台的左窗格中,单击“客户端”。
2在“查看客户端”下方选择组,然后单击“策略”选项卡。
3在“策略”选项卡上,依次单击“特定于位置的策略与设置”(在“防病毒和防间谍软件策略”[共享]对面)下的“任务”>“转换为非共享策略”。
4在“防病毒和防间谍软件策略”窗格中,单击“文件系统自动防护”。
5确认已选中“扫描详细信息”选项卡上的“启用文件系统自动防护”,而且锁图标处于解锁模式(以供测试)。
通常情况下,您希望锁定此设置,但为了进行初始测试,会将其保留为解锁状态。
锁定设置可防止用户更改设置。
6在“操作”选项卡上的“检测”下,单击“非宏病毒”。
7在“操作目的:
非宏病毒”下,检查检测到非宏病毒时执行操作的默认顺序。
第一操作是尝试清除病毒。
如果不能清除病毒,就将隔离病毒。
8在“通知”选项卡上,检查检测到病毒或安全风险时出现在客户端计算机上的消息。
如有必要,以后可以更改此消息。
9在左窗格上,单击“管理员定义的扫描”。
10在“扫描”选项卡上的“名称”下,单击“周调度扫描”,然后单击“编辑”。
11尽可能熟悉各个选项卡上的选项,如有必要加以更改。
建议在一开始就进行全面扫描。
运行全面扫描后,活动扫描及自动防护随即生效,从而确保客户端计算机的安全。
12了解扫描选项后,单击“确定”。
13在左窗格中,单击“隔离”,然后再单击“清除”。
14在“清除”选项卡上,查看用于清除已修复文件和已隔离文件的设置。
如果您要在将来更改这些设置,请尽可能熟悉它们。
15单击“确定”。
3.配置防火墙策略
安装网络威胁功能后,默认策略下网络中原有的网络共享服务可能会出现中断,此时需在控制台编辑防火墙规则,允许文件共享和ping服务器。
这一点建议在SEP服务器安装完成后立刻进行修改配置,之后再导出生成客户端安装包。
方法如下:
1)在SEP控制台上修改策略
点击
,出现如下策略编辑界面
在“查看策略”部分选择“防火墙”
点击任务栏中的“添加防火墙策略”,出现如下防火墙策略编辑页面
点击“规则”
定位编号为6(SEP11_MR2_MP2中编号为7),名称为“禁止本地文件共享”的规则进行修改。
双击名称字段,修改规则名称为“允许本地文件共享”
双击操作字段,修改规则的操作为“允许”,修改完成后启用这条规则
再定位编号为9(SEP11_MR2_MP2中编号为10),名称为“允许ping、pong和tracert”的策略。
双击“服务”字段,弹出“服务列表”
修改其中已经启用的前三项内容,双击第一项,编辑“协议”内容
修改“数据包方向”为“两者”
点击“确定”,然后同样修改其他两条规则,修改完成后,“服务列表”内容更新为如下
确定以上修改后,新增防火墙规则内容如下所示
确认规则修改正确后,点击“确定”,系统会要求选择此策略应用的组
选定相应的组后,将策略进行分配
分配后在防火墙策略的“位置使用计数”可以看到其应用组的数量
这样就在防火墙策略中增加了允许文件共享和允许服务器与客户端互相ping的规则。
2)在客户端上更新策略
右键点击
,在出现的菜单中选择“更新策略”
,完成后,检查文件共享功能是否已打开。
4.配置对应用程序的控制
(以QQ为例),方法如下:
1)在SymantecEndpointProtection控制台上修改策略
点击
,出现如下策略编辑界面
在“查看策略”部分选择“应用程序与设备控制”
点击任务栏中的“添加应用程序和设备控制策略”,出现如下策略编辑页面
点击“应用程序控制”
“添加”一条新的应用程序控制规则
填入规则集的名称和说明,在规则1的属性中“添加”要将此规则应用的范围
“要匹配的进程名称”中填入“*”,代表所有进程,然后点击“确定”
右击“规则”库中的“规则1”
“添加条件”选择“启动进程尝试”
在相应的“属性”中配置要控制的进程,修改“名称”字段用于标识此规则要作用的应用程序,然后在“应用于下列进程”中添加相应的进程名称
在此例中要控制的进程为QQ.exe,进程名称支持环境变量、通配符和注册表项,确定后此进程及被添加至应用程序列表中,然后配置对此应用程序所要采取的措施
点击“操作”
配置相应的动作,此例中为“禁止访问”,并启用记录,而且通知用户,完成后确定
新添的应用程序控制规则编写完成,将其状态修改为“生产”并确定,系统会要求分配此策略应用的组
分配完成后,在“应用程序域设备控制策略”的“位置使用计数”中可以看到应用组的数量
2)在客户端上更新策略
右键点击
,在出现的菜单中选择“更新策略”
,完成后,检查应用程序是否可以使用。
5.配置对设备的控制
(以USB设备为例,禁止使用USB,但不禁止鼠标和键盘),方法如下:
1)在SymantecEndpointProtection控制台上修改策略
点击
,出现如下策略编辑界面
在“查看策略”部分选择“应用程序与设备控制”
点击任务栏中的“添加应用程序和设备控制策略”,出现如下策略编辑页面
点击“设备控制”
分别在“禁止的设备”和“不禁止的设备”中选择要控制的设备
添加“禁止的设备”,从硬件列表中选择USB,并确定,然后再添加“不禁止的设备”
(上图)从硬件列表中选择HumanInterfaceDevice,并确定
确认要控制的设备无误,可选择“当设备被禁止时提示用户”,输入要提示的消息内容,确定对设备控制的配置后,系统会要求分配此策略应用的组
分配完成后,在“应用程序域设备控制策略”的“位置使用计数”中可以看到应用组的数量
1)在客户端上更新策略
右键点击
,在出现的菜单中选择“更新策略”
,完成后,检查除键盘鼠标外的其他USB端口是否可以使用。
。
升级会员 