Symantec Endpoint Protection Manager Kurulum



11Mart2016

Symantec Endpoint Protection Manager Kurulum

Symantec Endpoint Protection hakkında giriş niteliği taşıyan ilk makale sonrası, şimdide kurulum öncesi gereksinimler ve kurulum aşaması hakkında detaylı bilgiler vermeye çalışacağım. Kurulum aşamalarında ve planlamada, büyük networkler üzerine kurulum aşamaları için ince detayların atlanmaması ve 802.1x kimlik doğrulaması yapılan ortamda karmaşaya yol açmaması için Symantec sitesinden detaylı kurulum prosedürlerine göz atmanızda yarar vardır. Mevcut politikaların üzerine konumlandırılacak SEP Managerın sağlıklı ve sorunsuz çalışması için kurulum öncesi hazırlığın tekrar tekrar gözden geçirilmesini özellikle öneririm. Bu kısımları hallettikten sonra makaleye dönerek işlemleri teker teker ele alabiliriz.

 

SEP Manager’ın networkte yönetimi devraldığı ve sağlıklı çalıştığı ana kadar, sırasıyla yapılması gerekenler  şunlardır ;

 

1-  Client ve Server kurulumları için minimum sistem gereksinimlerinin ve network altyapısının istenilen ölçülerde olmasının sağlanması gerekmektedir.

2-  Client yükleme seçeneklerinin belirlenmesi ve database seçiminin yapılması gerekmektedir. Ayrıca clientlar hazır halde bekletilmelidir.

3- SEP kurulumu yapılarak, öncelikle management server yapılandırması tamamlanmalı, ardındanda database oluşturulmalıdır.

4- Clientlara yüklenecek paket hazırlığı yapılmalı ve deploy edilmelidir.(Bu seçenek daha sonra SEP menusündenMigration and Deployment Wizard yardımıylada yapılabilir.) Eğer bir alt sürümden upgrade yapılıyorsa, client paketleri deploy edilmesine gerek yoktur.

Client kurulumu için minimum sistem gereksinimleri ;

İŞLEMCİ:

32 Bit sistemler için : 1 GHz Intel Pentium III

64 Bit sistemler için : 2 GHz  Small Business Server 2008 Premium Edition,

2.5 GHz Essential Business Server 2008 Premium Edition

1GHz x64 için: Intel Xeon ( Intel EM64T support), Intel Pentium IV ( EM64T support), AMD 64-Bit Opteron, AMD 64-Bit Athlon

Not: Itanium tabanlılar desteklenmez.

 

İşletim Sistemi :

32 Bit sistemler için: Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server (en az Service Pack 3), Windows XP Professional/XP Embedded (en az Service Pack 1), Windows Fundamentals Legacy PC, Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition/Small Business Server, Windows Vista (tüm x86 sürümleri ve SP li halleri), Windows 7 (tüm x86 versiyonları), Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter/Windows Web Server 2008 (R2 ve diğer tüm SP yüklüler desteklenir).

 

64 Bit sistemler için: Windows XP Professional (en az Service Pack 1), Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Small Business Server, Windows Vista (tüm x64 sürümleri ve SP li halleri), Windows 7 (tüm x64 versiyonları), Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter/Windows Web Server 2008 (R2 ve diğer tüm SP yüklüler desteklenir).Windows Essential Business Server 2008 Standard Edition/Windows Essential Business Server 2008 Premium Edition (R2 ve diğer tüm SP yüklüler desteklenir).Windows Small Business Server 2008 Standard Edition/Windows Small Business Server 2008 Premium Edition (R2 ve diğer tüm SP yüklüler desteklenir).

 

Linux Sistemler için (32-bit ve 64-bit versionlar) : Red Hat Enterprise Linux 3.x, 4.x, 5.x, SuSE Linux Enterprise (server/desktop) 9.x, 10.x, Novell Open Enterprise Server (OES/OES2), VMWare ESX 2.5, 3.x, Ubuntu 7.x, 8.x, Debian 4.x

RAM :

32 Bit sistemler için : Windows XP, Windows XP Embedded, ve Windows Fundamentals Legacy PC için minimum 256 MB RAM  ( 1 GB önerilir ) 

Windows Vista, Windows 7, Windows Server 2003 (tüm sürümler), ve Windows Server 2008 (tüm sürümler) minimum 1 GB RAM (2-4 GB önerilir)

64 Bit sistemler için : Windows Small Business Server 2008 ve Windows Essential Business Server 2008 için tüm sürümlerinde minimum 4 GB RAM önerilir.

Bunların dışındaki Windows işletim sistemleri için minimum 1 GB RAM minimum (2-4 GB önerilir).

Harddisk (*) :

32 Bit sistemler için : 600 MB

 

 64 Bit sistemler için : 700 MB

(*) Standart kurulumu yapılmış ve updateleri yüklenmiş bir SEP Managerın, Program Files altında oluşturulan Symantec klasörünün boyutu 3GB ‘ ye yakındır. Güncellemeler ile bu rakam sunucu üzerinde yükselmektedir.

 

Symantec Endpoint Protection, client dışındaki ögelerini, farklı sunucular üzerine konumlandırabilir. Bunlar;

Symantec Endpoint Protection Remote Console

Symantec Endpoint Protection Manager and console

Symantec Endpoint Protection Manager, console, and embedded database

Symantec AntiVirus client for Linux

Quarantine Console

Merkezi Quarantine Server

 

Farklı sunucular üzerine özelliklerin bir kısmını kuracakiseniz, bunun için buradan bilgi alabilirsiniz.

Kuruluma geçmeden önce networkünüze göre bazı planlar yapmalısınız. Database için seçiminiz, kullanıcı sayınız gibi etkenler göz önünde bulundurulmalıdır.

 

(!) Kurulum sonrası SEP Manager Konsola erişim için, TCP 9090 portu kulanılır.Eğer bu portta dinleme yapan başka bir uygulama varsa, konsola erişilemeyecektir.Port değiştirmek için \Symantec\Symantec Endpoint Protection Manager\tomcat\conf\server.xml dosyasını wordpad ile açıp düzenlemeniz gerekir.

 

(!) Client – Server arası şifrelenmemiş bağlantı 8014 nolu porttan sağlanır.Şifreli iletişim ise 443 portundan devam eder.8014 nolu portun başka uygulama tarafından kullanılmadığını kontrol etmenizde yarar vardır.

 

KURULUM :

Anlatacağım kurulum, 32 bitlik sistemdeki Domain Controller üzerinde yapılacaktır ve Embedded Database kullanılacaktır.

Domain Controller FQDN : belfast.ss.local

Kuruluma geçmeden önce IIS Server varsayılan ayarlarıyla kurulu olmalıdır. Eğer var olan bir IIS var ise ve üzerinden yayın yapılıyorsa bunun için bazı düzenlemeler ileriki kısımlarda açıklanacaktır. Değişiklikler kurulum aşamasında veya manual olarak yapılabilir.

 

Kurulum için gerekli olan ve desteklenen database seçenekleri SEP 11 ile gelen Embedded DB ve SQL Serverdır. SQL Server kurulmak istenirse Microsoft SQL Server 2000 (Service Pack 4 ) , Microsoft SQL Server 2005 (Service Pack 2) , veya Microsoft SQL Server 2008 kullanılabilir. Ebbedded database seçeneği, teorik olarak 5,000 clienta kadar destek verebilecek yapıdadır fakat 100 clienttan az olan networkler için sağlıklı çalışır. Kurulumda Simple Mode seçilirse, Embedded Database otomatik olarak kurulacaktır.

SQL Server kullanılarak kurulum yapılması halinde ilgili makaledeki işlemler gerçekleştirilmelidir.

 

Kurulum 3 parçadan oluşmaktadır ;

İlk olarak Management Server ve Konsol yüklenir.

İkinci olarak Server yapılandırması yapılarak Database oluşturulur.

Üçüncü ve son kısımda ise clientlara yazılım dağıtılır.(Zorunlu değildir)

Şimdi sırasıyla kurulum seçeneklerine göz atalım;

İlk gelen ekranda "Install Symantec Endpoint Protection Manager" kısmını seçiyoruz.




Gelen ekranı NEXT ile geçin ve sözleşmeyi kabul edin. Daha sonra default path belirlenecek.

Sonraki gelen ekranda IIS üzerinde oluşturulacak web site için ayarlamalar yapılıyor. Eğer halihazırda yayında olan bir web siteniz var ise "Use the Default Web Site" seçeneğini seçmeli, aksi durumda ise "Create a Custom Web Site" seçeneği seçilmelidir. Custom Web Site seçeneği seçili oldugunda daha güvenli bir yapılandırma yapmış oluruz. Diğer türlü farklı sitelerle beraber publish edilmiş bir sunucuda SEP 11 Management konsolu bulunacak ve güvenliği azaltacaktır.

İşlemlerimiz bittikten sonra install diyerek kurulumu başlatıyoruz.



Kurulum bittikten sonra ikinci aşama geliyor ve buradan Database seçimimizi yapıyoruz. Ben Simple modu seçiyorum. Bu modda Embedded Database otomatik olarak yüklenecektir.




Management konsola logon olabilmemiz için gerekli bilgileri giriyoruz.



Özet bilgiler kurulum öncesi gösteriliyor. Database ile ilgili değişiklik yapmak için Back ile geriye dönebilirsiniz.



Database oluşturuluyor.



Bu aşamadan sonra sunucu üzerine "Symantec Endpoint Protection Manager" kurulmuş oluyor. Fakat bu kurulum yönetimsel araçların, IIS Web site işlemlerinin ve DB nin oluşturulması anlamına geliyor. Yani bu noktaya kadar bilgisayarımızı koruyacak herhangi bir sistem çalışmıyor. Bu sistemleri devreye almak için SEP 11 clientı sistemimize kurmamız gerek. Client kurulumlarını ayrıca yapacağız.

 

Kurulumun 3 parçadan oluştuğunu belirtmiştik. Core olarak adlandırılan yönetimsel işlevlerin yüklenmesinden sonra, kurulum sihirbazı bize yazılım paketini oluşturup clientlara yüklemek isteyip istemeyeceğimizi soracaktır. Karıştırılmaması gereken önemli bir kısım, SEP Managerın yüklendiği sunucununda bir client olduğu ve yazılım paketinin bu sunucuyada yüklenmesi gerektiğidir.

YES seçeneğini seçip devam ediyoruz. Ve deploy the client işlemi için hazırlığa başlıyoruz.





Bilgisayarların işletim sistemlerine göre clientları gruplamamız bizim için yönetim kolaylığı sağlayacaktır. Active Directory üzerinde oluşturulan OU ve üzerlerine uygulanan GPO sisteminin çalışmasının bir benzerini, SEP Manager üzerinden yapabilecek kolaylığa sahibiz. Bunun için ilk grubumuzu oluşturuyoruz.


Bu kısımda ilerlemeden önce, yapılandırma ayarlarını tekrar gözden geçirmek ve yükleme için gerekli şartların taşındığından emin olmak gerekmekte. Bunların tamamlanması için bazı ek gereksinimler, clientlar üzerinde uygulanmalıdır. Kısaca bakacak olursak ;

(*) Clientlarda windows firewall açıksa, uzaktan yükleme için pek çok port açmak gerekir. Kurulum sonrası symantec firewall, windows firewall’u disabled konuma alacağı için en iyi yöntem GPO yolu ile clientlardaki firewall’ı kapalı konuma almak ve sonrasında sorunsuz yukleme yapmaktır. Clientların olduğu OU için yeni bir GPO nesnesi oluşturup Computer Configuration \ Administrative Templates \ Network \ Network Connections \ Windows Firewall \ Domain Profile \ Windows Firewall : Protect all network connections seçeneğini disabled konuma almanız yeterlidir.Eğer workgroup ortamında uygulama yapacaksanız, Standart profile seçeneğinden aynı işlemi yapabilirsiniz.

Port açarak kurulum senaryosu gerçekleştirmek isteyenler için ilgili makaledeki gerekli portlar tanımlanmalıdır.

(*) Windows Vista, Windows Server 2008, ve Windows 7 clientlarında yükleme yapılacağı zaman, aynı şekilde, firewall, kısa bir süreliğine yada süresiz olarak disabled konuma alınmalıdır. Ayrıca dosya ve yazıcı paylaşımı, kurulum öncesi açık olmalıdır. Workgroup ortamında ise, network discovery açık hale getirilmelidir.

(*) Windows Vista, Windows Server 2008, ve Windows 7 varsayılan ayarlarıyla IPv4 ve IPv6 yı tanır.Symantec firewall, IPv6 desteği vermediğinden bu networklerde çalışamaz.

Üstteki işlemler sorunsuz olarak aşıldıktan sonra devam edilerek altta resimde görülen bileşenler tanımlanır. Client için hazırlanacak ve paket haline getirilip dağıtılacak yazılım içerisinde neler olacağı burada belirlenir. Seçilen özellikler, client üzerinde çalışacağından, gereksiz hizmetlerin seçilmemesine ( örneğin Lotus Notes Scanner bileşeni ) dikkat edilmelidir.



Bir sonraki ekranda ise, oluşturulacak paket ve kurulum ile ilgili genel ayarlamalar yapılır.Burada önemli noktalardan birisi, clientların düzgün şekilde gruplanmasıdır.Örneğin x64 XP, x86 XP, 32bit w2k8, veya testsunucu1 gibi gruplamalarla, yönetim açısından daha rahat olunması sağlanabilir.Ekrandaki ikinci seçenekte sorulan ayrı ayrı .EXE paketi oluşturulup oluşturulmama sorusu ise, özellikle arka planda kurulum yapılması istendiğinde önem arzeder.Burada YES seçeneği seçilerek setup.exe adında tüm bileşenleri içerisinde barındıran bir kurulum paketi oluşturulabilir.Eğer No derseniz, .exe içerisinden ayrıştırılmış (extract) dosyaların oluşturduğu bir dosya oluşturulacaktır.Önerilen yapılandırma, Active Directory ortamları için NO seçeneğidir.Ekrandaki diğer seçenek ise, kurulum yöntemi hakkındadır.UNATTENDED kurulumda, kurulum yapılırken kullanıcı bu işlemleri görebilir.Kurulum sonrası restart için bir uyarı alınır ve istenirse o an restart edilir.SILENT kurulumda kullanıcı işlemlerini gerçekleştirirken, farkında bile olmadan arka planda kurulum gerçekleşir.Kurulum sonrası restart etme zorunluluğunu gösteren bir uyarı belirmez.

Bu ayarlamalar yapıldıktan en altta bulunan ve oluşturulacak paketlerin tutulacağı alan tanımlanır.


İşlemlerimizi bitirdikten sonra son olarak karşımıza gelen ekranda, mevcut paketi istemcilere kurup kurmayacağımız sorulmaktadır. Kurulum ile ilgili seçenekler ve ayrıntılı anlatımları mevcut olduğundan bu kısımda alttaki NO seçeneğini seçip devam edebiliriz.



Pakedin oluşturulması, içerisine eklenen özelliklere göre bir iki dakika sürebilir.Bu aşamadan sonra belirttiğimiz dizinde Setup.exe adında kurulum dosyası oluşturulacaktır.SEP Manager aracılığıyla paket oluşturup dağıtmak istediğimizde, oluşturulacak paketi .MSI olarak belirleme seçeneğinede sahibiz.

Örnekte oluşturduğumuz "XP Grubu" adlı grubun sonuna, seçeneklerde 32 bitlik paket oluşturacağımızı seçtiğimiz için sistem tarafından 32 bit yazısı eklenmiş durumdadır.XP grubu altına oluşturacağınız 64 bitlik paketlerin karmaşaya yol açmaması adına bir kolaylıktır.




İşlemler tamamlandıktan sonra Symantec Endpoint Protection Manager konsoluna giriş yapabiliriz.




Sorunsuz olarak giriş yaptıktan sonra SEP Manager ve IIS bağlantılarının kontrolüne yönelik bir kaç ufak test yapabilirsiniz.

 

Bağlantı testi: Tarayıcınıza bu adresi yazarak ilk kontrolü gerçekleştirin. Bu işlemi, client üzerindende yapıp SEP Manager ile sağlıklı bağlantı kurup kurmadığını görebilirsiniz.

 

http:///secars?hello,secars

OK cevabı dönmeli



Reporting servisi erişim testi:

 

http://

Yorumlar

Yorum bulunamadı.

Bir Yorum Yazın