Symantec Help Tool Kullanımı

Symantec Endpoint Protection yüklü bilgisayarlarda virüs olduğunu şüphelendiğiniz durumlarda SymHelp Tool’u ile bilgisayarınızı tarama yaptırarak zararlı yazılımları tespit edebilirsiniz.

*Tarama yapılacak bilgisayarın Internet erişimin olması gerekmektedir.
1-) http://www.symantec.com/docs/TECH170752 Adresinden aşağıdaki gibi symhelp dosyasını indirilir.

2-) SymHelp.exe dosyası Admin haklarına sahip kullanıcı ile çalıştırılır Karşılama ekranında lisans sözleşmesi kabul edilir.

3-) Home bölümünde Threat Analysis bölümünden “Start Scan” seçilir.

4-) Scan ayarları aşağıdaki gibi yapılır. “The Reputation Database is available” olmasına dikkat ediniz. Next diyere tarama başlatınızç

5-) Tarama işlemi bittikten sonra Threat Analysis bölümünde aşağıdaki gibi rapor alınacaktır. Ilk once yapilmasi gereken Bad ve Investigate dosyalarını seçerek 2. Adımdaki gibi Copy Files diyoruz ve masa üstünde klasor açıp onun içerisine kopyalıyoruz. Sonrasında ise Bad olarak algılanmış dosyaları seçip “Remove” diyoruz. Remove dedikten sonra bilgisayarınız otomatik olarak yeniden başlatılacaktır.

** Investigate dosyalarını remove etmeyiniz!!!

6-) Son aşama olarak zararlı olabilecek uygulamaları symantec’e gönderme işlemini gerçekleştiriyoruz. https://submit.symantec.com/websubmit/retail.cgi adresine giriş yapıyoruz. Birden fazla dosya varsa en fazla 9 dosya olacak şekilde şifresiz olarak dosyalarını zip veya rar formatında sıkıştırarak aşağıdaki ekran görüntüsündeki gibi gönderebilirsiniz.

Reklamlar

Symantec Endpoint Protection ile Cryptolocker’in engellenmesi

Son zamanlarda en ciddi güvenlik tehditlerinden biri olan Cryptolocker ile ilgili yeni Application Control Politikasını asagidaki link üzerinden indirip, uygularsanız Symantec Endpoint Protection tarafında ek koruma sağlayabilirsiniz. Politika uygulama adımları aşağıda anlatılmıştır. Politikayı ilk önce test grubunda uygulayip sonrasinda yaygılaştırınız.

Download : Cryptolocker Application Control Politikasi

1-) Symantec Endpoint Protection Manager’e giriş yaptıktan sonra Policies>Application and Device Control bölümünden indirilen “Cryptolocker Block v3.dat” dosyasını aşağıdaki gibi import ediyoruz.

 

2-) Import edilen politikayı “edit” diyerek açıyoruz.

3-) Açılan bölümünde “Application Control” sekmesinden “Cryptolocker Block” Politikasını “Copy” diyerek kopyalıyoruz. Sonrasında Cryptolocker Block v3 politikasını kapatıyoruz.

4-) Kopyaladığınız dosyayı kurumda kullanılmakta olan Application Control Politikasına eklemek için “Edit” diyerek politikayı açıyoruz.

5-) Açılan bölümünde “Application Control” Sekmesinde Rule Set’lerin olduğu bölümde sağ tuş yaparak “Paste” diyoruz.

6-) Son olarak uygulanan politika en altta “Copy of Cryptolocker Block” olarak eklenmiş olacaktır. Ok diyerek politikayı aktif etmiş oluyoruz.

SEP Duplicate Tool

Daha once https://barisinceisci.wordpress.com/2014/07/19/windows-base-imaja-sep-yuklenmesi-ve-yapilandirilmasi/ yazimda SEP Agentlarda duplicate id problemi yasanmamasi icin gerekli adimlardan bahsetmistik. Symantec 12.1.4 versiyonunda bu toolu guncellemistir. Duplicate olan bilgisayarlarda çalıştırılacak dosya için  http://www.symantec.com/business/support/index?page=content&id=TECH163349 adresinden RepairClonedImage.zip  adlı dosyayı indirmeniz gerekmektedir. Windows Imajlarinda SEP yüklendikten sonra çalıştırılacak dosyayı http://www.symantec.com/business/support/index?page=content&id=HOWTO54706 adresinden ClientSideClonePrepTool.exe adlı dosyayı indirip çalıştırmanız gerekmektedir.

Firewall is malfunctioning

     Windows7 işletim sistemlerinde Symantec Endpoint Protection Yeni kurulum veya upgrade ederken teeferInstall.log dosyasında”ERROR: Call to installNetComponent() failed: 0x8004a029″ “InstallFirewall failed second attempt: 0x8004a02” hatalari alirsaniz yapmaniz gerekenler 

1. Click Start, click Run, type regedit, and then click OK.
2. Locate and then click the following registry subkey:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\
3. In the right pane, right-click MaxNumFilters, and then click Modify.
4. Select the Base Decimal option, change the value to decimal 14, and then click OK.

   Note The default value is 8, and the maximum value is 14.

5. Close the Registry Editor.

SEP 12.1.4 GUP Problemi

       Symantec Endpoint Protection 12.1.4 versiyonun da GUP olarak yapılandırdıgınız client veya Server’lar da “Symantec Management Client” servisi durmaktadır. Bu servisin durmasından dolayı GUP rolu verilen bilgisayarlar güncelleme alamıyor. Bu sorun 12.1.5 versiyonunda düzeltilmiştir. Şu an 12.1.5 versiyonu beta yakın zamanda çıkacaktır. Sorunu 12.1.4 versiyonunda çözmek için windows task scheduler’a “Symantec Management Client” servisi durdugunda tekrar start ettirerek çözebilirsiniz.

Symantec Endpoint Protection Manager Kurulumu (Embedded Database)

Symantec Endpoint Protection Manager Kurulumu

     Symantec Endpoint Protection’un sisteminin ana bileşenleri aşağıda gördüğnüz gibi Symantec Endpoint Protection Manager , Symantec Endpoint Protection Database , Symantec Endpoint Protection Manager Console ve Symantec Endpoint Protection Client’lerinden oluşmaktadır.

     Embedded database kurulumlarını fiziksel olarak bilgisayarların aynı olduğu lokasyonlara tavsiye ediyoruz. Eğer dağıtık bir yapınız var ve bu yapılarda 1000-2000 client var ise kesinlikle SQL server kullanılmalıdır. Bunun nedeni ise database olarak Embedded Database kullanırsak sadece bir adet SEPM ekleyebiliyoruz. Embedded database üzerine 2. Bir manager eklenemez. Embedded Database 5000 kullanıcıya kadar desteklemektedir. Sistemin yedekli çalışması isteniyorsa Database olarak SQL Server kurulumu yapılmalıdır.

Embedded Database üzerinde Replikasyon yapılarak sistemin yedekli ligi sağlanmaktadır.Bu sistem stabil çalışmamaktadır.

      Kullanıcı sayısı 5000’in üzerinde olan yerler için Database olarak SQL Server kullanılmalıdır. Türkiye’nin her şehrinde şubesi olan işletmeler ve bu şubelerde 1000-2000 kullanıcı var ise buralara da SEPM kurulmalıdır. SQL Database kullandığımız zaman birden fazla manager kurarak Managerlar üzerinde Yük Dengeleme ve SEPM yedekliliği sağlanmaktadır . Database Failover senaryolarında a ise SQL Failover Cluster’I öneriyoruz. Aşağıdaki resim de SEPM’lardan birine herhangi bir şey olduğunda Client’lar diğer SEPM üzerinden çalışmaya devam edecektir.

     Aşağıda kullanıcı sayılarına gore kurulacak olan SEPM sayıları verilmiştir.

Client Sayısı	Manager Sayısı
5000	1
1000	2
15000	3
20000	4

Site tasarımı ile ilgili daha fazla bilgi için “SymantecTM Endpoint Protection 12.1.2 Sizing and Scalability Best Practices White Paper ” incelemelisiniz. Article URL http://www.symantec.com/docs/DOC4448

Okumaya devam et →

Symantec Endpoint Protection

Symantec Endpoint Protection

Symantec Endpoint Protection (SEP), kullanıcı bilgisayarları ve sunucular için komple güvenlik çözümüdür. SEP temel olarak bir Antivirüs çözümü olmakla beraber içerisinde bulunan ilave modüllerle, uç noktada (bilgisayar / sunucu), ağ üzerinden ve giriş çıkış noktalarından gelecek tehditlere karşı da koruma sağlamaktadır.

SEP, ağdan gelecek tehditleri henüz bilgisayara gelmeden bertaraf etmek için “Personal Firewall” (FW, kişisel güvenlik duvarı) ve “Personal Intrusion Prevention System “(IPS, kişisel saldırı önleme sistemi) modüllerine sahiptir.

Yine giriş çıkış noktalarının kontrolü ve kurum politikalarına uygun (istenmeyen programların kullanımının engellenmesi v.b.) bigisayar kullanımının sağlanarak, güvenlik risklerinin azaltılabilmesi için SEP, “Application and Device Control” modülüne sahiptir.

Yukarıda belirtilen tüm modüller, SEP’in ileri teknolojisi sayesinde, kullanıcı bilgisayarında tek bir program gibi çalışmakta ve tek bir yönetim merkezinden, farklı kullanım politikaları ile çalıştırılabilmektedir.

 

SEP, asıl görev alanı ve çıkış noktasındaki misyonunu olan virüslere karşı koruma sağlaması anlamında pazar lideri konumunu senelerdir sürdürmektedir.  SEP’in en gelişmiş ve tam fonksiyonlu modülü, Antivirus and Antispyware modülüdür. Klasik AV korumasının ötesinde, ileri seviye sezgisel algılama teknolojisi ve buluttan eş zamanlı risk bilgisi sağlama altyapısı ile en güncel virüslerin tespit edilerek temizlenmesi sağlanabilmektedir.

 

SEP’de bulunan her bir modül’ün benzeri çeşitli üreticilerin programları, Bilgi Sistem Güvenliği pazarında yer alan farklı güvenlik çözümü ürün ailelerinde yer almaktadır. Her ne kadar SEP, ilave modülleri sayesinde standart bir Antivirüs çözümünün ötesinde bir güvenlik sağlasa da bu modüllerin yeteneklerinin, sadece bu alanlarda çözüm sağlayan ürünlerin seviyesinde olması mümkün değildir.

 

SEP Windows XP,Windows Vista,Windows 7, Windows 8 – 8.1 ,Windows 2003,Windows 2008, Windows Server 2012 – R2 ve Macintosh işletim sistemlerini destelemektedir.  Linux üzerinde Symantec AV olarak çalışmaktadır.

Antivirus & Antispyware

Bu modül ile bilgisayarlar  üzerinde temel koruma sağlanmaktadır. Bu korumalar anlık kontrol yapan Auto-Protect, zamanlanmış taramalar yapan Scheduled Scan, Sezgisel, Reputasyon kontrolü yapan SONAR ve Bloodhound, indirilen dosyaların reputasyon kontrolünü yapan Download Insight, e-mail tarafında bilgisayar  koruması sağlayan, POP3,Lotus Notes ve Outlook korumalarından oluşmaktadır.

Tarama Süreleri ve CPU kullanımı

Yaptığımız testlerde Intel Core Duo T6670 İşlemcili 2 GB Ram’li  bilgisayar üzerinde tarama süresi 1 saat 10 dakika taranan dosya sayısı 178065 olarak görülmüştür.

Insight

Symantec Insight reputation-based güvenlik teknolojisidir. 200 ülkede 100 milyondan fazla sistem tarafından oluşturulan ortak havuzu takip ederek güvenli dosyalar ile risk altındaki dosyaları birbirinden otomatik olarak ayırır.  Dosya taramaları esnasında Symantec tarafından güvenilir olarak işaretlenen dosyalar taranmamaktadır.

 

Ayrıntılı bilgi için :  http://www.symantec.com/tv/products/details.jsp?vid=922722776001

Virtual Image Exception

Sanal platform için hazırlanmış olan VIE Tool base imajları tarayarak istisna listeleri oluşturur. Dosyalar değişmediği sürece o dosyaları tekrar taramaz. Bu özellik  DISK I/O’larinda az kaynak kullanımı sağlar.

Offline Image Scanner

Symantec Offline Image Scanner (SOIS)  aracı  vmdk dosyalarını offline olarak virus tarama işlemi yapmaktadır.

Security Virtual Appliance – Shared Insight Cache

Symantec Endpoint Protection Security Virtual Appliance VMware vShield ile entegle olarak Vmware Host sunucularinda Disk I/O’larini azaltarak perfomans  artırır.

Symantec Endpoint Protection’in yüklü sunucu ve bilgisayarlar tarama esnasında taranan dosya bilgilerini insight sunuculara gönderiler. Diğer tarama yapan bilgisayarlar  daha önceden taranıp güvenilir olarak işaretlenmiş dosyaları taramazlar.

Ayrıntılı bilgi için : http://www.symantec.com/docs/HOWTO55311

Central Quarantine

Merkezi Karantina uygulaması SEP yüklü bilgisayarlar üzerinde bulunan  zararlı yazılımları merkezi olarak yöneten modüldür. Merkezi Karantina Sunucular üzerinden zararlı dosyaları inceleyip geri  yükleme yapılabilir.

Application and Device Control

Bu modül, Application Control özelliği ile bilgisayar üzerinde uygulama kontrolü sağlamaktadır. Yine aynı özellik, belirtilen uygulamaların çalıştırılmasını, Windows Registry’de  belli dizinlere yazılmasını yasaklama gibi basit çözümler sağlarken, çıkarılabilir medyalar üzerinden  uygulamaların çalıştırılmamasını ya da çıkarılabilir medyalara yazılan dosyaların kayıt altına alınması gibi daha esnek politikalar yazmaya da imkan vermektedir.

        Aynı modülün Device Control yeteneği ile bilgisayarlar üzerinde donanım kontrolü sağlanmaktadır. Donanım bölümünde aklımıza gelebilecek herhangi bir donanımın kullanımı yasaklanabilir , belirli gruplara izin verebilmekle beraber belirli bir marka model hariç USB belleklerin tüm bilgisayarlarda  kullanımının engellenmesi şeklinde esnek politikalar da uygulanabilmektedir.

Firewall

Bu modül ile bilgisayar üzerinde network trafik koruması sağlanmaktadır. Modül içerisinde application, host-remote host, source-destination, time based, protocol based, interface based kurallar yazılabilmekle beraber, DDOS, MAC-ARP Spoof, Port Scan detection ve block özellikleri mevcuttur.         Belirli portlar üzerinden belirli uygulamalara özellikler verilebilmektedir.

IPS

Bu modül ile bilgisayarlar üzerinde network trafik koruması sağlanmaktadır. Modül içerisinde halihazırda aktif gelen, güncellemelerle sayısı artan ve önemine göre aksiyonları önceden belirlenmiş 2800’den  fazla imza bulunmaktadır. İstenildiği takdirde custom imzalar yazmak mümkündür.

LiveUpdate

Bu modül ile bilgisayarların  güncellemeleri hangi metotla alacağı belirlenmektedir. Kullanılabilecek metotlar : Kullanıcıların doğrudan SEPM’lerden güncelleme alması, kullanıcıların doğrudan İnternetten güncelleme alması, kullanıcı bilgisayarlarından bazılarının güncelleyici rolünü üstelenerek bölgesindeki bilgisayarlara dağıtması ve güncellemelerin Symantec LiveUpdate Administrator ürünü ile dağıtılması şeklindedir.

LiveUpdate Administrator sayesinde Symantec Endpoint Protection Manager sunucuları internete çıkarmadan LiveUpdate sunucular üzerinden bilgisayarların güncelleme almaları sağlanabilmektedir.

Group Update Provider (GUP)

Group Update Provider (GUP) SEPM veya LiveUpdate sunucularından  içerik güncellemelerini (virüs imzalarını) alarak SEP yüklü bilgisayarlara dağıtmakla görevli SEP Agent yüklü bilgisayarlardır. Bir bilgisayarı GUP yapabilmek için üstünde SEP agentinin yüklü olması yeterlidir.

Örneklemek gerekirse 192.168.1.0/24 networkünde 200 adet SEP yüklü bilgisayarınız bulunmaktadır. Biz buradan 1 veya 3 adet bilgisayarı LiveUpdate politikalarından GUP olarak yapılandırıyoruz. İlgili gruplara uyguluyoruz. Bu aşamadan sonra SEPM üzerinden güncellemeleri sadece GUP’lar almaktadır. Geriye kalan 195 adet SEP yüklü bilgisayar güncellemeleri GUP olarak yapılandırılmış bilgisayarlardan alacaklardır. Bu yapılandırma, SEP istemcileri ve SEPM sunucu arasındaki bant genişliği kullanımını optimize eder.

SEPM Content Dist. Monitor ile GUP’ların disk alanları, güncelleme durumlarını, online ve offline durumlarını monitör edebiliyoruz. Bunun haricinde hangi grupların güncelleme alıp almadığında görebiliyoruz.

Symantec Endpoint Protection Manager

 

Symantec Endpoint Protection Manager, SEP Agentlarin yönetim konsoludur.  Manager üzerinden Antivirus, Firewall, IPS, Application Device, Exception Politikalarını merkezi olarak yönetebilirsiniz. Bunların yanı sıra çok gelişmiş envanter, rapor ve izleme araçlarına sahiptir. Örnek olarak üzerinde SEP bulunan bilgisayarların aktif olan RAM, CPU ve disk alanlarına kadar takip yapılabilmekte, istenilen şekilde Risk ve Atak raporları temin edilebilmektedir.

SEP Managerlar üzerinden bilgisayarlara uzaktan SEP yüklemesi yapılabilmektedir.

Symantec Endpoint Protection Manager’ın yönetim arayüzüne, WEB üzerinden, bilgisayara gerekli Java Konsolu yükleyerek veya SEPM yüklü sunucuda hazır bulunan konsoldan erişilmektedir.

http://www.symantec.com/business/support/index?page=content&id=TECH95538 adresinden raporlar hakkında detaylı bilgi alınabilmektedir.

 

Symantec Endpoint Protection Integration Component  & IT Analytics

 

Symantec Endpoint Protection Integration Component (SEPIC) Symantec Management Platform (Altiris) ve Symantec Endpoint Protection 12 arasinda entegrasyonu sağlamaktadır. SEPIC üzerinden  SEP kurulum, kaldırma ve onarma işlemleri yapılmaktadır. Bunun haricinde diğer özellikleri, farklı marka anti virüslerin envanterlerinin çıkarılması, SEP Agent yüklü bilgisayarlarda görev başlatabilmesi  ve özelleştirilebilir raporlama yapabilmektedir.

SEPIC üzerinden bütün işlemler (Discovery ve SEP Agentların Kurulumları) otomatik olarak gerçekleştirilebilmektedir.

IT Analytics ile SEPM üzerinden alınan raporları customize edip custom raporlar oluşturabilirsiniz.