Symantec Endpoint Protection (SEP), kullanıcı bilgisayarları ve sunucular için komple güvenlik çözümüdür. SEP temel olarak bir Antivirüs çözümü olmakla beraber içerisinde bulunan ilave modüllerle, uç noktada (bilgisayar / sunucu), ağ üzerinden ve giriş çıkış noktalarından gelecek tehditlere karşı da koruma sağlamaktadır.
SEP, ağdan gelecek tehditleri henüz bilgisayara gelmeden bertaraf etmek için “Personal Firewall” (FW, kişisel güvenlik duvarı) ve “Personal Intrusion Prevention System “(IPS, kişisel saldırı önleme sistemi) modüllerine sahiptir.
Yine giriş çıkış noktalarının kontrolü ve kurum politikalarına uygun (istenmeyen programların kullanımının engellenmesi v.b.) bigisayar kullanımının sağlanarak, güvenlik risklerinin azaltılabilmesi için SEP, “Application and Device Control” modülüne sahiptir.
Yukarıda belirtilen tüm modüller, SEP’in ileri teknolojisi sayesinde, kullanıcı bilgisayarında tek bir program gibi çalışmakta ve tek bir yönetim merkezinden, farklı kullanım politikaları ile çalıştırılabilmektedir.
SEP, asıl görev alanı ve çıkış noktasındaki misyonunu olan virüslere karşı koruma sağlaması anlamında pazar lideri konumunu senelerdir sürdürmektedir. SEP’in en gelişmiş ve tam fonksiyonlu modülü, Antivirus and Antispyware modülüdür. Klasik AV korumasının ötesinde, ileri seviye sezgisel algılama teknolojisi ve buluttan eş zamanlı risk bilgisi sağlama altyapısı ile en güncel virüslerin tespit edilerek temizlenmesi sağlanabilmektedir.
SEP’de bulunan her bir modül’ün benzeri çeşitli üreticilerin programları, Bilgi Sistem Güvenliği pazarında yer alan farklı güvenlik çözümü ürün ailelerinde yer almaktadır. Her ne kadar SEP, ilave modülleri sayesinde standart bir Antivirüs çözümünün ötesinde bir güvenlik sağlasa da bu modüllerin yeteneklerinin, sadece bu alanlarda çözüm sağlayan ürünlerin seviyesinde olması mümkün değildir.
SEP Windows XP, Windows Vista, Windows 7, Windows 8 – 8.1 ,Windows 2003,Windows 2008, Windows Server 2012 – R2 ve Macintosh işletim sistemlerini destelemektedir. Linux üzerinde Symantec AV olarak çalışmaktadır.
Antivirus & Antispyware
Bu modül ile bilgisayarlar üzerinde temel koruma sağlanmaktadır. Bu korumalar anlık kontrol yapan Auto-Protect, zamanlanmış taramalar yapan Scheduled Scan, Sezgisel, Reputasyon kontrolü yapan SONAR ve Bloodhound, indirilen dosyaların reputasyon kontrolünü yapan Download Insight, e-mail tarafında bilgisayar koruması sağlayan, POP3,Lotus Notes ve Outlook korumalarından oluşmaktadır.
Tarama Süreleri ve CPU kullanımı
Yaptığımız testlerde Intel Core Duo T6670 İşlemcili 2 GB Ram’li bilgisayar üzerinde tarama süresi 1 saat 10 dakika taranan dosya sayısı 178065 olarak görülmüştür.
Ayrıntılı bilgi için : http://www.symantec.com/tv/products/details.jsp?vid=922722776001
Insight
Symantec Insight reputation-based güvenlik teknolojisidir. 200 ülkede 100 milyondan fazla sistem tarafından oluşturulan ortak havuzu takip ederek güvenli dosyalar ile risk altındaki dosyaları birbirinden otomatik olarak ayırır. Dosya taramaları esnasında Symantec tarafından güvenilir olarak işaretlenen dosyalar taranmamaktadır.
Virtual Image Exception
Sanal platform için hazırlanmış olan VIE Tool base imajları tarayarak istisna listeleri oluşturur. Dosyalar değişmediği sürece o dosyaları tekrar taramaz. Bu özellik DISK I/O’larinda az kaynak kullanımı sağlar.
Offline Image Scanner
Symantec Offline Image Scanner (SOIS) aracı vmdk dosyalarını offline olarak virus tarama işlemi yapmaktadır.
Security Virtual Appliance - Shared Insight Cache
Symantec Endpoint Protection Security Virtual Appliance VMware vShield ile entegle olarak Vmware Host sunucularinda Disk I/O’larini azaltarak performans artırır.
Symantec Endpoint Protection’in yüklü sunucu ve bilgisayarlar tarama esnasında taranan dosya bilgilerini insight sunuculara gönderiler. Diğer tarama yapan bilgisayarlar daha önceden taranıp güvenilir olarak işaretlenmiş dosyaları taramazlar.
Ayrıntılı bilgi için : http://www.symantec.com/docs/HOWTO55311
Central Quarantine
Merkezi Karantina uygulaması SEP yüklü bilgisayarlar üzerinde bulunan zararlı yazılımları merkezi olarak yöneten modüldür. Merkezi Karantina Sunucular üzerinden zararlı dosyaları inceleyip geri yükleme yapılabilir.
Application and Device Control
Bu modül, Application Control özelliği ile bilgisayar üzerinde uygulama kontrolü sağlamaktadır. Yine aynı özellik, belirtilen uygulamaların çalıştırılmasını, Windows Registry’de belli dizinlere yazılmasını yasaklama gibi basit çözümler sağlarken, çıkarılabilir medyalar üzerinden uygulamaların çalıştırılmamasını ya da çıkarılabilir medyalara yazılan dosyaların kayıt altına alınması gibi daha esnek politikalar yazmaya da imkan vermektedir.
Aynı modülün Device Control yeteneği ile bilgisayarlar üzerinde donanım kontrolü sağlanmaktadır. Donanım bölümünde aklımıza gelebilecek herhangi bir donanımın kullanımı yasaklanabilir, belirli gruplara izin verebilmekle beraber belirli bir marka model hariç USB belleklerin tüm bilgisayarlarda kullanımının engellenmesi şeklinde esnek politikalar da uygulanabilmektedir.
Firewall
Bu modül ile bilgisayar üzerinde network trafik koruması sağlanmaktadır. Modül içerisinde application, host-remote host, source-destination, time based, protocol based, interface based kurallar yazılabilmekle beraber, DDOS, MAC-ARP Spoof, Port Scan detection ve block özellikleri mevcuttur. Belirli portlar üzerinden belirli uygulamalara özellikler verilebilmektedir.
IPS
Bu modül ile bilgisayarlar üzerinde network trafik koruması sağlanmaktadır. Modül içerisinde halihazırda aktif gelen, güncellemelerle sayısı artan ve önemine göre aksiyonları önceden belirlenmiş 2800’den fazla imza bulunmaktadır. İstenildiği takdirde custom imzalar yazmak mümkündür.
LiveUpdate
Bu modül ile bilgisayarların güncellemeleri hangi metotla alacağı belirlenmektedir. Kullanılabilecek metotlar: Kullanıcıların doğrudan SEPM’lerden güncelleme alması, kullanıcıların doğrudan İnternetten güncelleme alması, kullanıcı bilgisayarlarından bazılarının güncelleyici rolünü üstelenerek bölgesindeki bilgisayarlara dağıtması ve güncellemelerin Symantec LiveUpdate Administrator ürünü ile dağıtılması şeklindedir.
LiveUpdate Administrator sayesinde Symantec Endpoint Protection Manager sunucuları internete çıkarmadan LiveUpdate sunucular üzerinden bilgisayarların güncelleme almaları sağlanabilmektedir.
Group Update Provider (GUP)Group Update Provider (GUP) SEPM veya LiveUpdate sunucularından içerik güncellemelerini (virüs imzalarını) alarak SEP yüklü bilgisayarlara dağıtmakla görevli SEP Agent yüklü bilgisayarlardır. Bir bilgisayarı GUP yapabilmek için üstünde SEP agentinin yüklü olması yeterlidir.
Örneklemek gerekirse 192.168.1.0/24 networkünde 200 adet SEP yüklü bilgisayarınız bulunmaktadır. Biz buradan 1 veya 3 adet bilgisayarı LiveUpdate politikalarından GUP olarak yapılandırıyoruz. İlgili gruplara uyguluyoruz. Bu aşamadan sonra SEPM üzerinden güncellemeleri sadece GUP’lar almaktadır. Geriye kalan 195 adet SEP yüklü bilgisayar güncellemeleri GUP olarak yapılandırılmış bilgisayarlardan alacaklardır. Bu yapılandırma, SEP istemcileri ve SEPM sunucu arasındaki bant genişliği kullanımını optimize eder.
SEPM Content Dist. Monitor ile GUP’ların disk alanları, güncelleme durumlarını, online ve offline durumlarını monitör edebiliyoruz. Bunun haricinde hangi grupların güncelleme alıp almadığında görebiliyoruz.
Symantec Endpoint Protection Manager
Symantec Endpoint Protection Manager, SEP Agentlarin yönetim konsoludur. Manager üzerinden Antivirus, Firewall, IPS, Application Device, Exception Politikalarını merkezi olarak yönetebilirsiniz. Bunların yanı sıra çok gelişmiş envanter, rapor ve izleme araçlarına sahiptir. Örnek olarak üzerinde SEP bulunan bilgisayarların aktif olan RAM, CPU ve disk alanlarına kadar takip yapılabilmekte, istenilen şekilde Risk ve Atak raporları temin edilebilmektedir.
SEP Managerlar üzerinden bilgisayarlara uzaktan SEP yüklemesi yapılabilmektedir.
Symantec Endpoint Protection Manager’ın yönetim arayüzüne, WEB üzerinden, bilgisayara gerekli Java Konsolu yükleyerek veya SEPM yüklü sunucuda hazır bulunan konsoldan erişilmektedir.
http://www.symantec.com/business/support/index?page=content&id=TECH95538 adresinden raporlar hakkında detaylı bilgi alınabilmektedir.
Symantec Endpoint Protection Integration Component & IT Analytics
Symantec Endpoint Protection Integration Component (SEPIC) Symantec Management Platform (Altiris) ve Symantec Endpoint Protection 12 arasinda entegrasyonu sağlamaktadır. SEPIC üzerinden SEP kurulum, kaldırma ve onarma işlemleri yapılmaktadır. Bunun haricinde diğer özellikleri, farklı marka anti virüslerin envanterlerinin çıkarılması, SEP Agent yüklü bilgisayarlarda görev başlatabilmesi ve özelleştirilebilir raporlama yapabilmektedir.
SEPIC üzerinden bütün işlemler (Discovery ve SEP Agentların Kurulumları) otomatik olarak gerçekleştirilebilmektedir.
IT Analytics ile SEPM üzerinden alınan raporları customize edip custom raporlar oluşturabilirsiniz.
Symantec Endpoint Protection Kurulumu
Symantec Endpoint Protection’un sisteminin ana bileşenleri aşağıda gördüğnüz gibi Symantec Endpoint Protection Manager , Symantec Endpoint Protection Database , Symantec Endpoint Protection Manager Console ve Symantec Endpoint Protection Client’lerinden oluşmaktadır.
Embedded database kurulumlarını fiziksel olarak bilgisayarların aynı olduğu lokasyonlara tavsiye ediyoruz. Eğer dağıtık bir yapınız var ve bu yapılarda 1000-2000 client var ise kesinlikle SQL server kullanılmalıdır. Bunun nedeni ise database olarak Embedded Database kullanırsak sadece bir adet SEPM ekleyebiliyoruz. Embedded database üzerine 2. Bir manager eklenemez. Embedded Database 5000 kullanıcıya kadar desteklemektedir. Sistemin yedekli çalışması isteniyorsa Database olarak SQL Server kurulumu yapılmalıdır.
Embedded Database üzerinde Replikasyon yapılarak sistemin yedekliligi sağlanmaktadır. Bu sistem stabil çalışmamaktadır.
Kullanıcı sayısı 5000’in üzerinde olan yerler için Database olarak SQL Server kullanılmalıdır. Türkiye’nin her şehrinde şubesi olan işletmeler ve bu şubelerde 1000-2000 kullanıcı var ise buralara da SEPM kurulmalıdır. SQL Database kullandığımız zaman birden fazla manager kurarak Managerlar üzerinde Yük Dengeleme ve SEPM yedekliliği sağlanmaktadır. Database Failover senaryolarında a ise SQL Failover Cluster’I öneriyoruz. Aşağıdaki resim de SEPM’lardan birine herhangi bir şey olduğunda Client’lar diğer SEPM üzerinden çalışmaya devam edecektir.
Aşağıda kullanıcı sayılarına gore kurulacak olan SEPM sayıları verilmiştir.
Client Sayısı
Manager Sayısı
5000
1
1000
2
15000
3
20000
4
Site tasarımı ile ilgili daha fazla bilgi için “SymantecTM Endpoint Protection 12.1.2 Sizing and Scalability Best Practices White Paper “ incelemelisiniz. Article URL http://www.symantec.com/docs/DOC4448 Embedded Database üzerine SEPM KurulumuSistem Gereksinimleri
Aşağıda belirtilen sistem gereksinimleri 1000-5000 Kullanıcı için minimum system gereksinimidir.
Performans açısından RAM ve CPU arttırılabilir.
İşletim Sistemi
• Windows 7 (32-bit, 64-bit)
• Windows 8 (32-bit, 64-bit)
• Windows 8.1 (32-bit, 64-bit)
• Windows Server 2003 (32-bit, 64-bit, R2)
• Windows Server 2008 (32-bit, 64-bit)
• Windows Server 2012
• Windows Server 2012 R2
• Windows Small Business Server 2003
• Windows Small Business Server 2008
• Windows Small Business Server 2011
• Windows Essential Business Server 2008
* Kurulum yapılacak işletim sistemi İngilizce yüklenmelidir. Region ayarları İngilizce olmalıdır.
CPU
4 Core
RAM
16 GB
HDD
300 GB (100 GB OS – 200 GB Data
Ethernet
2 Ethernet (Teaming yapılmalıdır)
Diğer Gereksinimler
Hostname
Statik IP
8014 Portunun Bilgisayar’dan sunucuya doğru çift yönlü açılması gerekmektedir.
• İşletim sistemi kurulumu sonrası Windows güncellemeleri yapılmalıdır.
• User Access Control Kapatılmalıdır.
• Region ayarları kontrol edilmelidir. Kesinlike Türkçe olmamalıdır.
• SEPM kurulacak bilgisayarın Domainde olup olmaması önemli değildir. Domain’e alınacak ise kurulum öncesi alınmalıdır.
• Sunucunun IP Adresi ve Hostname’I yazılmalıdır. Sonradan değiştirdiğinde yeniden yapılandırmak gerekmektedir.
• Sunucu üzerinde IE Enhanced Security kapalı olmalıdır.
• Sunucu üzerinde NİC Teaming yapılmamalıdır.
• Reputasyon sorguları için https://ent-shasta-mr-clean.symantec.com ve https://ent-shasta-rrs.symantec.com adresleri proxy sunucular üzerinden Exclusion listelere eklenmelidir. Proxy’ler üzerinde *.symantec.com’a erişim sağlanırken SSL Inspection kapali olmalıdır.
• Diğer Exclusionlar için: http://www.symantec.com/business/support/index?page=content&id=TECH162286
https://fileconnect.symantec.com adresinden Symantec Endpoint Protection 12.1.4 versiyonuna ait Part 1 ve Part 2 dosyaları indirilmelidir.
İndirilen dosyalar sunucu üzerinden arşiv ’den çıkarılmalıdır. Arşiv ’den çıkarıldıktan sonra Setup.exe çalıştırılır.
Kurulum
“Install Symantec Endpoint Protection” seçerek kurulumu başlatıyoruz.
Gelen Karşılama Ekranın da bize yükleyebileceğimiz uygulamaları gösteriyor. Biz “Install Symantec Endpoint Protection Manager” seçerek kuruluma devam ediyoruz.
“Next” diyerek kuruluma devam ediyoruz.
Lisans Sözleşmesini Kabul ederek “Next” diyerek kuruluma devam ediyoruz.
Bu ekran da kurulum yapacağımız dizini seçiyoruz. İşletim sisteminden ayrı bir dizin olmasında fayda var. “Change” diyerek dizini seçiyoruz. “Next” ile kuruluma devam ediyoruz.
“Install” diyerek kurulumu başlatıyoruz. Bu kurulum 3-5 dakika sürmektedir.
Gerekli dosyaların kurulumu başarıyla tamamlandığında Finish diyerek kurulumu tamamlıyoruz.
Kurulum tamamlandıktan sonra Management Server Configuration Wizard’ı kullanarak SEPM’I yapılandırmamız gerekmektedir. Next diyerek yapılandırmaya devam ediyoruz.
Management Server Configuration Wizard Ekranında konfigürasyonun nasıl yapılandırılacağı sorulmaktadır. Burada Default ayarları seçmiyoruz. “Custom Configuration “seçiyoruz. Next diyerek kuruluma devam ediyoruz.
Burada bize SEP yükleyeceğimiz bilgisayar sayısını sormaktadır. Bizim yapımızda 1000’den fazla bilgisayar olduğu için “More than 1000” seçiyoruz. Next diyerek kuruluma devam ediyoruz.
Buradaki seçim önemlidir. Server yapılandırmalarını buradaki kullanıcı sayılarına göre yapmaktadır.
Kaynak: https://www.cozumpark.com/blogs/3party/archive/2014/07/27/symantec-endpoint-protection-sep.aspx
Benzer Yazılar
Symantec Endpoint Protection Manager Kurulum
Kategori: Symantec
Symantec Endpoint Protection hakkında giriş niteliği taşıyan ilk makale sonrası, şimdide kurulum öncesi gereksinimler ve kurulum aşaması hakkında deta...
Symantec NetBackup 7.5 Kurulum
Kategori: Symantec
Bu makale serisinde sizlere Türkçe kaynak bulmakta zorlandığımız Symantec Netbackup ürünü hakkında bilgiler vermeye çalışacağım inşallah başarılı olab...
Symantec Endpoint Suite ve Endpoint Suite with Email Hakkında
Kategori: Symantec
Symantec tarafından yakın zamanda yeni bir lisanslama modeli duyuruldu. Bu lisanslama modelinde, uygun birim maliyetinde birçok güvenlik yazılımı opsi...
Symantec System Recovery 2013 R2 Kurulum Öncesi Gereksinimler
Kategori: Symantec
Veritas firmasının yedekleme çözümlerinden System Recovery 2013 R2 ile istemci ve sunucu sistemlerinizi yedekleyebilir ve herhangi bir sistem...
Symantec Endpoint Protection Manager 12.1.5 Kurulumu
Kategori: Symantec
Bir önceki makalemizde yazılımın kurulumu için sistem gereksinimlerine değinmiştik. Öncelikle “Symantec Endpoint Protection Kurulum Öncesi gereksiniml...
Backup Exec 2014 Kurulumu
Kategori: Symantec
Bir önceki “Backup Exec 2014 Kurulum Öncesi Dikkat Edilmesi Gerekenler” makalemizde kurulum öncesi dikkat edilmesi gereken hususlara değinmiştik.Kurul...