Symantec Endpoint Protection (SEP), kullanıcı bilgisayarları ve sunucular için komple güvenlik çözümüdür. SEP temel olarak bir Antivirüs çözümü olmakla beraber içerisinde bulunan ilave modüllerle, uç noktada (bilgisayar / sunucu), ağ üzerinden ve giriş çıkış noktalarından gelecek tehditlere karşı da koruma sağlamaktadır.

SEP, ağdan gelecek tehditleri henüz bilgisayara gelmeden bertaraf etmek için “Personal Firewall” (FW, kişisel güvenlik duvarı) ve “Personal Intrusion Prevention System “(IPS, kişisel saldırı önleme sistemi) modüllerine sahiptir.

Yine giriş çıkış noktalarının kontrolü ve kurum politikalarına uygun (istenmeyen programların kullanımının engellenmesi v.b.) bigisayar kullanımının sağlanarak, güvenlik risklerinin azaltılabilmesi için SEP, “Application and Device Control” modülüne sahiptir.

Yukarıda belirtilen tüm modüller, SEP’in ileri teknolojisi sayesinde, kullanıcı bilgisayarında tek bir program gibi çalışmakta ve tek bir yönetim merkezinden, farklı kullanım politikaları ile çalıştırılabilmektedir.

SEP, asıl görev alanı ve çıkış noktasındaki misyonunu olan virüslere karşı koruma sağlaması anlamında pazar lideri konumunu senelerdir sürdürmektedir.  SEP’in en gelişmiş ve tam fonksiyonlu modülü, Antivirus and Antispyware modülüdür. Klasik AV korumasının ötesinde, ileri seviye sezgisel algılama teknolojisi ve buluttan eş zamanlı risk bilgisi sağlama altyapısı ile en güncel virüslerin tespit edilerek temizlenmesi sağlanabilmektedir.

SEP’de bulunan her bir modül’ün benzeri çeşitli üreticilerin programları, Bilgi Sistem Güvenliği pazarında yer alan farklı güvenlik çözümü ürün ailelerinde yer almaktadır. Her ne kadar SEP, ilave modülleri sayesinde standart bir Antivirüs çözümünün ötesinde bir güvenlik sağlasa da bu modüllerin yeteneklerinin, sadece bu alanlarda çözüm sağlayan ürünlerin seviyesinde olması mümkün değildir.

SEP Windows XP, Windows Vista, Windows 7, Windows 8 – 8.1 ,Windows 2003,Windows 2008, Windows Server 2012 – R2 ve Macintosh işletim sistemlerini destelemektedir.  Linux üzerinde Symantec AV olarak çalışmaktadır.

Bu modül ile bilgisayarlar üzerinde temel koruma sağlanmaktadır. Bu korumalar anlık kontrol yapan Auto-Protect, zamanlanmış taramalar yapan Scheduled Scan, Sezgisel, Reputasyon kontrolü yapan SONAR ve Bloodhound, indirilen dosyaların reputasyon kontrolünü yapan Download Insight, e-mail tarafında bilgisayar  koruması sağlayan, POP3,Lotus Notes ve Outlook korumalarından oluşmaktadır.

Yaptığımız testlerde Intel Core Duo T6670 İşlemcili 2 GB Ram’li  bilgisayar üzerinde tarama süresi 1 saat 10 dakika taranan dosya sayısı 178065 olarak görülmüştür.

Ayrıntılı bilgi için :  http://www.symantec.com/tv/products/details.jsp?vid=922722776001

Symantec Insight reputation-based güvenlik teknolojisidir. 200 ülkede 100 milyondan fazla sistem tarafından oluşturulan ortak havuzu takip ederek güvenli dosyalar ile risk altındaki dosyaları birbirinden otomatik olarak ayırır.  Dosya taramaları esnasında Symantec tarafından güvenilir olarak işaretlenen dosyalar taranmamaktadır.

Sanal platform için hazırlanmış olan VIE Tool base imajları tarayarak istisna listeleri oluşturur. Dosyalar değişmediği sürece o dosyaları tekrar taramaz. Bu özellik DISK I/O’larinda az kaynak kullanımı sağlar.

Symantec Offline Image Scanner (SOIS)  aracı  vmdk dosyalarını offline olarak virus tarama işlemi yapmaktadır.

Symantec Endpoint Protection Security Virtual Appliance VMware vShield ile entegle olarak Vmware Host sunucularinda Disk I/O’larini azaltarak performans artırır.

Symantec Endpoint Protection’in yüklü sunucu ve bilgisayarlar tarama esnasında taranan dosya bilgilerini insight sunuculara gönderiler. Diğer tarama yapan bilgisayarlar daha önceden taranıp güvenilir olarak işaretlenmiş dosyaları taramazlar.

Ayrıntılı bilgi için : http://www.symantec.com/docs/HOWTO55311

Merkezi Karantina uygulaması SEP yüklü bilgisayarlar üzerinde bulunan zararlı yazılımları merkezi olarak yöneten modüldür. Merkezi Karantina Sunucular üzerinden zararlı dosyaları inceleyip geri yükleme yapılabilir.

Bu modül, Application Control özelliği ile bilgisayar üzerinde uygulama kontrolü sağlamaktadır. Yine aynı özellik, belirtilen uygulamaların çalıştırılmasını, Windows Registry’de  belli dizinlere yazılmasını yasaklama gibi basit çözümler sağlarken, çıkarılabilir medyalar üzerinden  uygulamaların çalıştırılmamasını ya da çıkarılabilir medyalara yazılan dosyaların kayıt altına alınması gibi daha esnek politikalar yazmaya da imkan vermektedir.

Aynı modülün Device Control yeteneği ile bilgisayarlar üzerinde donanım kontrolü sağlanmaktadır. Donanım bölümünde aklımıza gelebilecek herhangi bir donanımın kullanımı yasaklanabilir, belirli gruplara izin verebilmekle beraber belirli bir marka model hariç USB belleklerin tüm bilgisayarlarda kullanımının engellenmesi şeklinde esnek politikalar da uygulanabilmektedir.

Bu modül ile bilgisayar üzerinde network trafik koruması sağlanmaktadır. Modül içerisinde application, host-remote host, source-destination, time based, protocol based, interface based kurallar yazılabilmekle beraber, DDOS, MAC-ARP Spoof, Port Scan detection ve block özellikleri mevcuttur.             Belirli portlar üzerinden belirli uygulamalara özellikler verilebilmektedir.

Bu modül ile bilgisayarlar üzerinde network trafik koruması sağlanmaktadır. Modül içerisinde halihazırda aktif gelen, güncellemelerle sayısı artan ve önemine göre aksiyonları önceden belirlenmiş 2800’den fazla imza bulunmaktadır. İstenildiği takdirde custom imzalar yazmak mümkündür.

Bu modül ile bilgisayarların güncellemeleri hangi metotla alacağı belirlenmektedir. Kullanılabilecek metotlar: Kullanıcıların doğrudan SEPM’lerden güncelleme alması, kullanıcıların doğrudan İnternetten güncelleme alması, kullanıcı bilgisayarlarından bazılarının güncelleyici rolünü üstelenerek bölgesindeki bilgisayarlara dağıtması ve güncellemelerin Symantec LiveUpdate Administrator ürünü ile dağıtılması şeklindedir.

LiveUpdate Administrator sayesinde Symantec Endpoint Protection Manager sunucuları internete çıkarmadan LiveUpdate sunucular üzerinden bilgisayarların güncelleme almaları sağlanabilmektedir.

Group Update Provider (GUP) SEPM veya LiveUpdate sunucularından içerik güncellemelerini (virüs imzalarını) alarak SEP yüklü bilgisayarlara dağıtmakla görevli SEP Agent yüklü bilgisayarlardır. Bir bilgisayarı GUP yapabilmek için üstünde SEP agentinin yüklü olması yeterlidir. 

Örneklemek gerekirse 192.168.1.0/24 networkünde 200 adet SEP yüklü bilgisayarınız bulunmaktadır. Biz buradan 1 veya 3 adet bilgisayarı LiveUpdate politikalarından GUP olarak yapılandırıyoruz. İlgili gruplara uyguluyoruz. Bu aşamadan sonra SEPM üzerinden güncellemeleri sadece GUP’lar almaktadır. Geriye kalan 195 adet SEP yüklü bilgisayar güncellemeleri GUP olarak yapılandırılmış bilgisayarlardan alacaklardır. Bu yapılandırma, SEP istemcileri ve SEPM sunucu arasındaki bant genişliği kullanımını optimize eder.

SEPM Content Dist. Monitor ile GUP’ların disk alanları, güncelleme durumlarını, online ve offline durumlarını monitör edebiliyoruz. Bunun haricinde hangi grupların güncelleme alıp almadığında görebiliyoruz.

Symantec Endpoint Protection Manager, SEP Agentlarin yönetim konsoludur.  Manager üzerinden Antivirus, Firewall, IPS, Application Device, Exception Politikalarını merkezi olarak yönetebilirsiniz. Bunların yanı sıra çok gelişmiş envanter, rapor ve izleme araçlarına sahiptir. Örnek olarak üzerinde SEP bulunan bilgisayarların aktif olan RAM, CPU ve disk alanlarına kadar takip yapılabilmekte, istenilen şekilde Risk ve Atak raporları temin edilebilmektedir.

SEP Managerlar üzerinden bilgisayarlara uzaktan SEP yüklemesi yapılabilmektedir.

Symantec Endpoint Protection Manager’ın yönetim arayüzüne, WEB üzerinden, bilgisayara gerekli Java Konsolu yükleyerek veya SEPM yüklü sunucuda hazır bulunan konsoldan erişilmektedir.

http://www.symantec.com/business/support/index?page=content&id=TECH95538 adresinden raporlar hakkında detaylı bilgi alınabilmektedir.

Symantec Endpoint Protection Integration Component (SEPIC) Symantec Management Platform (Altiris) ve Symantec Endpoint Protection 12 arasinda entegrasyonu sağlamaktadır. SEPIC üzerinden SEP kurulum, kaldırma ve onarma işlemleri yapılmaktadır. Bunun haricinde diğer özellikleri, farklı marka anti virüslerin envanterlerinin çıkarılması, SEP Agent yüklü bilgisayarlarda görev başlatabilmesi ve özelleştirilebilir raporlama yapabilmektedir.

SEPIC üzerinden bütün işlemler (Discovery ve SEP Agentların Kurulumları) otomatik olarak gerçekleştirilebilmektedir.

IT Analytics ile SEPM üzerinden alınan raporları customize edip custom raporlar oluşturabilirsiniz.

Symantec Endpoint Protection’un sisteminin ana bileşenleri aşağıda gördüğnüz gibi Symantec Endpoint Protection Manager , Symantec Endpoint Protection Database , Symantec Endpoint Protection Manager Console ve  Symantec Endpoint Protection Client’lerinden oluşmaktadır.

Embedded database kurulumlarını fiziksel olarak bilgisayarların aynı olduğu lokasyonlara tavsiye ediyoruz. Eğer dağıtık bir yapınız var ve bu yapılarda 1000-2000 client var ise kesinlikle SQL server kullanılmalıdır.  Bunun nedeni ise database olarak Embedded Database kullanırsak sadece bir adet SEPM ekleyebiliyoruz. Embedded database üzerine 2. Bir manager eklenemez.   Embedded Database 5000 kullanıcıya kadar desteklemektedir.  Sistemin yedekli çalışması isteniyorsa Database olarak SQL Server kurulumu yapılmalıdır.

Embedded Database üzerinde Replikasyon yapılarak sistemin yedekliligi sağlanmaktadır. Bu sistem stabil çalışmamaktadır.

Kullanıcı sayısı 5000’in üzerinde olan yerler için Database olarak  SQL Server kullanılmalıdır.  Türkiye’nin her şehrinde şubesi olan işletmeler ve bu şubelerde 1000-2000 kullanıcı var ise buralara da SEPM kurulmalıdır. SQL Database kullandığımız zaman  birden fazla manager kurarak  Managerlar üzerinde Yük Dengeleme ve SEPM yedekliliği sağlanmaktadır.  Database Failover senaryolarında a ise SQL Failover Cluster’I öneriyoruz. Aşağıdaki resim de SEPM’lardan birine herhangi bir şey olduğunda Client’lar diğer SEPM üzerinden çalışmaya devam edecektir.

Aşağıda kullanıcı sayılarına gore kurulacak olan SEPM sayıları verilmiştir.

Client Sayısı

Manager Sayısı

5000

1

1000

2

15000

3

20000

4

Aşağıda belirtilen sistem gereksinimleri 1000-5000 Kullanıcı için minimum system gereksinimidir.

Performans açısından RAM ve CPU arttırılabilir.

İşletim Sistemi

•    Windows 7 (32-bit, 64-bit)

•    Windows 8 (32-bit, 64-bit)

•    Windows 8.1 (32-bit, 64-bit)

•    Windows Server 2003 (32-bit, 64-bit, R2)

•    Windows Server 2008 (32-bit, 64-bit)

•    Windows Server 2012

•    Windows Server 2012 R2

•    Windows Small Business Server 2003

•    Windows Small Business Server 2008

•    Windows Small Business Server 2011

•    Windows Essential Business Server 2008

* Kurulum yapılacak işletim sistemi İngilizce yüklenmelidir. Region ayarları İngilizce olmalıdır.

CPU

4 Core

RAM

16 GB

HDD

300 GB (100 GB OS – 200 GB Data

Ethernet

2 Ethernet (Teaming yapılmalıdır)

Diğer Gereksinimler

Hostname

Statik IP

8014 Portunun Bilgisayar’dan sunucuya doğru çift yönlü açılması gerekmektedir.

•        İşletim sistemi kurulumu sonrası Windows  güncellemeleri yapılmalıdır.

•        User Access Control Kapatılmalıdır.

•        Region ayarları kontrol edilmelidir. Kesinlike Türkçe olmamalıdır.

•        SEPM kurulacak bilgisayarın Domainde olup olmaması önemli değildir. Domain’e alınacak ise kurulum öncesi alınmalıdır.

•        Sunucunun IP Adresi ve Hostname’I yazılmalıdır. Sonradan değiştirdiğinde yeniden yapılandırmak gerekmektedir.

•        Sunucu üzerinde IE Enhanced Security kapalı olmalıdır.

•        Sunucu üzerinde NİC Teaming yapılmamalıdır.

•        Reputasyon sorguları için https://ent-shasta-mr-clean.symantec.com ve https://ent-shasta-rrs.symantec.com adresleri proxy sunucular üzerinden Exclusion listelere eklenmelidir. Proxy’ler üzerinde *.symantec.com’a erişim sağlanırken  SSL Inspection kapali olmalıdır.

•        Diğer Exclusionlar için: http://www.symantec.com/business/support/index?page=content&id=TECH162286

https://fileconnect.symantec.com adresinden Symantec Endpoint Protection 12.1.4 versiyonuna ait Part 1 ve Part 2 dosyaları indirilmelidir.

İndirilen dosyalar sunucu üzerinden arşiv ’den çıkarılmalıdır. Arşiv ’den çıkarıldıktan sonra Setup.exe çalıştırılır.

“Install Symantec Endpoint Protection” seçerek kurulumu başlatıyoruz.

Gelen Karşılama Ekranın da bize yükleyebileceğimiz uygulamaları gösteriyor. Biz “Install Symantec Endpoint Protection Manager” seçerek kuruluma devam ediyoruz.

“Next” diyerek kuruluma devam ediyoruz.

Lisans Sözleşmesini Kabul ederek “Next” diyerek kuruluma devam ediyoruz.

Bu ekran da kurulum yapacağımız dizini seçiyoruz. İşletim sisteminden ayrı bir dizin olmasında fayda var. “Change” diyerek dizini seçiyoruz. “Next” ile kuruluma devam ediyoruz.

“Install” diyerek kurulumu başlatıyoruz. Bu kurulum 3-5 dakika sürmektedir.

Gerekli dosyaların kurulumu başarıyla tamamlandığında Finish diyerek kurulumu tamamlıyoruz.

Kurulum tamamlandıktan sonra Management Server Configuration Wizard’ı kullanarak SEPM’I yapılandırmamız gerekmektedir. Next diyerek yapılandırmaya devam ediyoruz.

Management Server Configuration Wizard Ekranında  konfigürasyonun nasıl yapılandırılacağı sorulmaktadır.  Burada Default ayarları seçmiyoruz. “Custom Configuration “seçiyoruz. Next diyerek kuruluma devam ediyoruz.

Burada bize SEP yükleyeceğimiz bilgisayar sayısını sormaktadır. Bizim yapımızda 1000’den fazla bilgisayar olduğu için “More than 1000” seçiyoruz. Next diyerek kuruluma devam ediyoruz.

Buradaki seçim önemlidir. Server yapılandırmalarını buradaki kullanıcı sayılarına  göre yapmaktadır.

Kaynak: https://www.cozumpark.com/blogs/3party/archive/2014/07/27/symantec-endpoint-protection-sep.aspx