Symantec Endpoint Protection ile UltraSurf Engelleme

Symantec Endpoint Protection Application Control modülü ile Internet Explorer’in Proxy ayarlarının değiştirilmesini engelleyerek ultrasurf kullanımı engelleyebiliyoruz.  Bu ayar yapıldıktan sonra Internet Explorer’in Proxy ayarlarinda değişiklik yapamazsınız, yapmak için SEP’in servislerini durdurmanız gerekmektedir.
  1. Apllication Control Politikasında Ultrasurf Yeni Rule oluşturuyoruz. Production’u seçiyoruz.
  2. Apply this rule to the following processes’i add diyerek bütün processes’ler için * diyoruz. Rule1 kısmında condition bölümünden Registry Access Attemps’i seçiyoruz.
  3. “Apply this rule to the following processes” Add diyerek kuralımızı ekliyoruz.
  4. Registery Key bölümüne “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings”  Registry Value name bölümünde “ProxyServer”  ekliyoruz. 
  5. Action bölümünü aşağıdaki gibi yapıyoruz. Bundan sonra testlerimizi yapabiliriz.
Reklamlar

SEP Duplicate Tool

Daha once https://barisinceisci.wordpress.com/2014/07/19/windows-base-imaja-sep-yuklenmesi-ve-yapilandirilmasi/ yazimda SEP Agentlarda duplicate id problemi yasanmamasi icin gerekli adimlardan bahsetmistik. Symantec 12.1.4 versiyonunda bu toolu guncellemistir. Duplicate olan bilgisayarlarda çalıştırılacak dosya için  http://www.symantec.com/business/support/index?page=content&id=TECH163349 adresinden RepairClonedImage.zip  adlı dosyayı indirmeniz gerekmektedir. Windows Imajlarinda SEP yüklendikten sonra çalıştırılacak dosyayı http://www.symantec.com/business/support/index?page=content&id=HOWTO54706 adresinden ClientSideClonePrepTool.exe adlı dosyayı indirip çalıştırmanız gerekmektedir.

Symantec Endpoint Encryption 11 Kurulumu

Bu dokümanda SQL Server 2012 ve Symantec Endpoint Encryption 11 kurulum adımları anlatılacaktır.

Sistem Gereksinimleri

Aşağıda belirtilen sistem gereksinimleri 2000-5000 kullanıcı , SQL Server ve SEE Management Server tek bir sunucuda çalıştırılırsa minimum sistem gereksinimidir.

SQL Server’i ayrı bir sunucuya kurabilir veya mevcut SQL Server’inizde SEE Database’i içinde kullanabilirsiniz.

SQL Server Sistem gereksinimleride aşağıda ayrıca verilmiştir.

Active Directory Senkronizasyonu ve AD Politikalarini yapılandırmak için yetkili accountlar açılmalıdır.

Okumaya devam et

    Symantec Endpoint Protection Client Yuklu bilgisayarlar uzerinde virus tanimlarinin oldugu C:\Program Files\Common Files\Symantec Shared\VirusDefs klasorunde tmp****.tmp dosyalarının  boyutları  buyukse genelde virus tanimlarinin corrupted olmustur. Bu problemi cozmek icin asagidaki adimlari yapmalisiniz. 
 
Aşağıdaki şekilde güncellemeleri silip, sonrasında http://www.symantec.com/security_response/definitions/download/detail.jsp?gid=sep  sayfasindan “Symantec Endpoint Protection Client Installations on Windows Platforms” 32 veya 64 bit olanlardan isletim sistemi hangisi ise onu indirip dosya calistirmalidir. 
    1. Go to Start > Run
    2. Type smc –stop
    3. Click OK.

  1. Stop the Symantec Endpoint Protection service in services by following these directions:
    1. Go to Start > Run
    2. Type services.msc
    3. Right-click on Symantec Endpoint Protection service and select Stop.

  2. Navigate to <local drive>:\Program Files\Common Files\Symantec Shared\Virusdefs
    1. Delete any numbered folders
    2. Delete all files and folders with a “.tmp” extension

Symantec Article URL : http://www.symantec.com/docs/TECH102927

Symantec Endpoint Protection Manager Kurulumu (Embedded Database)

Symantec Endpoint Protection Manager Kurulumu

     Symantec Endpoint Protection’un sisteminin ana bileşenleri aşağıda gördüğnüz gibi Symantec Endpoint Protection Manager , Symantec Endpoint Protection Database , Symantec Endpoint Protection Manager Console ve Symantec Endpoint Protection Client’lerinden oluşmaktadır.


     Embedded database kurulumlarını fiziksel olarak bilgisayarların aynı olduğu lokasyonlara tavsiye ediyoruz. Eğer dağıtık bir yapınız var ve bu yapılarda 1000-2000 client var ise kesinlikle SQL server kullanılmalıdır. Bunun nedeni ise database olarak Embedded Database kullanırsak sadece bir adet SEPM ekleyebiliyoruz. Embedded database üzerine 2. Bir manager eklenemez. Embedded Database 5000 kullanıcıya kadar desteklemektedir. Sistemin yedekli çalışması isteniyorsa Database olarak SQL Server kurulumu yapılmalıdır.


Embedded Database üzerinde Replikasyon yapılarak sistemin yedekli ligi sağlanmaktadır.Bu sistem stabil çalışmamaktadır.

      Kullanıcı sayısı 5000’in üzerinde olan yerler için Database olarak SQL Server kullanılmalıdır. Türkiye’nin her şehrinde şubesi olan işletmeler ve bu şubelerde 1000-2000 kullanıcı var ise buralara da SEPM kurulmalıdır. SQL Database kullandığımız zaman birden fazla manager kurarak Managerlar üzerinde Yük Dengeleme ve SEPM yedekliliği sağlanmaktadır . Database Failover senaryolarında a ise SQL Failover Cluster’I öneriyoruz. Aşağıdaki resim de SEPM’lardan birine herhangi bir şey olduğunda Client’lar diğer SEPM üzerinden çalışmaya devam edecektir.


     Aşağıda kullanıcı sayılarına gore kurulacak olan SEPM sayıları verilmiştir.

Client Sayısı

Manager Sayısı

5000

1

1000

2

15000

3

20000

4

Site tasarımı ile ilgili daha fazla bilgi için “SymantecTM Endpoint Protection 12.1.2 Sizing and Scalability Best Practices White Paper ” incelemelisiniz. Article URL http://www.symantec.com/docs/DOC4448

Okumaya devam et

Symantec Endpoint Protection

Symantec Endpoint Protection

Symantec Endpoint Protection (SEP), kullanıcı bilgisayarları ve sunucular için komple güvenlik çözümüdür. SEP temel olarak bir Antivirüs çözümü olmakla beraber içerisinde bulunan ilave modüllerle, uç noktada (bilgisayar / sunucu), ağ üzerinden ve giriş çıkış noktalarından gelecek tehditlere karşı da koruma sağlamaktadır.

SEP, ağdan gelecek tehditleri henüz bilgisayara gelmeden bertaraf etmek için “Personal Firewall” (FW, kişisel güvenlik duvarı) ve “Personal Intrusion Prevention System “(IPS, kişisel saldırı önleme sistemi) modüllerine sahiptir.

Yine giriş çıkış noktalarının kontrolü ve kurum politikalarına uygun (istenmeyen programların kullanımının engellenmesi v.b.) bigisayar kullanımının sağlanarak, güvenlik risklerinin azaltılabilmesi için SEP, “Application and Device Control” modülüne sahiptir.

Yukarıda belirtilen tüm modüller, SEP’in ileri teknolojisi sayesinde, kullanıcı bilgisayarında tek bir program gibi çalışmakta ve tek bir yönetim merkezinden, farklı kullanım politikaları ile çalıştırılabilmektedir.

 

SEP, asıl görev alanı ve çıkış noktasındaki misyonunu olan virüslere karşı koruma sağlaması anlamında pazar lideri konumunu senelerdir sürdürmektedir.  SEP’in en gelişmiş ve tam fonksiyonlu modülü, Antivirus and Antispyware modülüdür. Klasik AV korumasının ötesinde, ileri seviye sezgisel algılama teknolojisi ve buluttan eş zamanlı risk bilgisi sağlama altyapısı ile en güncel virüslerin tespit edilerek temizlenmesi sağlanabilmektedir.

 

SEP’de bulunan her bir modül’ün benzeri çeşitli üreticilerin programları, Bilgi Sistem Güvenliği pazarında yer alan farklı güvenlik çözümü ürün ailelerinde yer almaktadır. Her ne kadar SEP, ilave modülleri sayesinde standart bir Antivirüs çözümünün ötesinde bir güvenlik sağlasa da bu modüllerin yeteneklerinin, sadece bu alanlarda çözüm sağlayan ürünlerin seviyesinde olması mümkün değildir.

 

SEP Windows XP,Windows Vista,Windows 7, Windows 8 – 8.1 ,Windows 2003,Windows 2008, Windows Server 2012 – R2 ve Macintosh işletim sistemlerini destelemektedir.  Linux üzerinde Symantec AV olarak çalışmaktadır.

Antivirus & Antispyware

Bu modül ile bilgisayarlar  üzerinde temel koruma sağlanmaktadır. Bu korumalar anlık kontrol yapan Auto-Protect, zamanlanmış taramalar yapan Scheduled Scan, Sezgisel, Reputasyon kontrolü yapan SONAR ve Bloodhound, indirilen dosyaların reputasyon kontrolünü yapan Download Insight, e-mail tarafında bilgisayar  koruması sağlayan, POP3,Lotus Notes ve Outlook korumalarından oluşmaktadır.

Tarama Süreleri ve CPU kullanımı

Yaptığımız testlerde Intel Core Duo T6670 İşlemcili 2 GB Ram’li  bilgisayar üzerinde tarama süresi 1 saat 10 dakika taranan dosya sayısı 178065 olarak görülmüştür.

Insight

Symantec Insight reputation-based güvenlik teknolojisidir. 200 ülkede 100 milyondan fazla sistem tarafından oluşturulan ortak havuzu takip ederek güvenli dosyalar ile risk altındaki dosyaları birbirinden otomatik olarak ayırır.  Dosya taramaları esnasında Symantec tarafından güvenilir olarak işaretlenen dosyalar taranmamaktadır.

 

Ayrıntılı bilgi için :  http://www.symantec.com/tv/products/details.jsp?vid=922722776001

Virtual Image Exception

Sanal platform için hazırlanmış olan VIE Tool base imajları tarayarak istisna listeleri oluşturur. Dosyalar değişmediği sürece o dosyaları tekrar taramaz. Bu özellik  DISK I/O’larinda az kaynak kullanımı sağlar.

Offline Image Scanner

Symantec Offline Image Scanner (SOIS)  aracı  vmdk dosyalarını offline olarak virus tarama işlemi yapmaktadır.

Security Virtual Appliance – Shared Insight Cache

Symantec Endpoint Protection Security Virtual Appliance VMware vShield ile entegle olarak Vmware Host sunucularinda Disk I/O’larini azaltarak perfomans  artırır.

Symantec Endpoint Protection’in yüklü sunucu ve bilgisayarlar tarama esnasında taranan dosya bilgilerini insight sunuculara gönderiler. Diğer tarama yapan bilgisayarlar  daha önceden taranıp güvenilir olarak işaretlenmiş dosyaları taramazlar.

Ayrıntılı bilgi için : http://www.symantec.com/docs/HOWTO55311

Central Quarantine

Merkezi Karantina uygulaması SEP yüklü bilgisayarlar üzerinde bulunan  zararlı yazılımları merkezi olarak yöneten modüldür. Merkezi Karantina Sunucular üzerinden zararlı dosyaları inceleyip geri  yükleme yapılabilir.

Application and Device Control

Bu modül, Application Control özelliği ile bilgisayar üzerinde uygulama kontrolü sağlamaktadır. Yine aynı özellik, belirtilen uygulamaların çalıştırılmasını, Windows Registry’de  belli dizinlere yazılmasını yasaklama gibi basit çözümler sağlarken, çıkarılabilir medyalar üzerinden  uygulamaların çalıştırılmamasını ya da çıkarılabilir medyalara yazılan dosyaların kayıt altına alınması gibi daha esnek politikalar yazmaya da imkan vermektedir.

        Aynı modülün Device Control yeteneği ile bilgisayarlar üzerinde donanım kontrolü sağlanmaktadır. Donanım bölümünde aklımıza gelebilecek herhangi bir donanımın kullanımı yasaklanabilir , belirli gruplara izin verebilmekle beraber belirli bir marka model hariç USB belleklerin tüm bilgisayarlarda  kullanımının engellenmesi şeklinde esnek politikalar da uygulanabilmektedir.

Firewall

Bu modül ile bilgisayar üzerinde network trafik koruması sağlanmaktadır. Modül içerisinde application, host-remote host, source-destination, time based, protocol based, interface based kurallar yazılabilmekle beraber, DDOS, MAC-ARP Spoof, Port Scan detection ve block özellikleri mevcuttur.         Belirli portlar üzerinden belirli uygulamalara özellikler verilebilmektedir.

IPS

Bu modül ile bilgisayarlar üzerinde network trafik koruması sağlanmaktadır. Modül içerisinde halihazırda aktif gelen, güncellemelerle sayısı artan ve önemine göre aksiyonları önceden belirlenmiş 2800’den  fazla imza bulunmaktadır. İstenildiği takdirde custom imzalar yazmak mümkündür.

LiveUpdate

Bu modül ile bilgisayarların  güncellemeleri hangi metotla alacağı belirlenmektedir. Kullanılabilecek metotlar : Kullanıcıların doğrudan SEPM’lerden güncelleme alması, kullanıcıların doğrudan İnternetten güncelleme alması, kullanıcı bilgisayarlarından bazılarının güncelleyici rolünü üstelenerek bölgesindeki bilgisayarlara dağıtması ve güncellemelerin Symantec LiveUpdate Administrator ürünü ile dağıtılması şeklindedir.

LiveUpdate Administrator sayesinde Symantec Endpoint Protection Manager sunucuları internete çıkarmadan LiveUpdate sunucular üzerinden bilgisayarların güncelleme almaları sağlanabilmektedir.

Group Update Provider (GUP)

Group Update Provider (GUP) SEPM veya LiveUpdate sunucularından  içerik güncellemelerini (virüs imzalarını) alarak SEP yüklü bilgisayarlara dağıtmakla görevli SEP Agent yüklü bilgisayarlardır. Bir bilgisayarı GUP yapabilmek için üstünde SEP agentinin yüklü olması yeterlidir.

Örneklemek gerekirse 192.168.1.0/24 networkünde 200 adet SEP yüklü bilgisayarınız bulunmaktadır. Biz buradan 1 veya 3 adet bilgisayarı LiveUpdate politikalarından GUP olarak yapılandırıyoruz. İlgili gruplara uyguluyoruz. Bu aşamadan sonra SEPM üzerinden güncellemeleri sadece GUP’lar almaktadır. Geriye kalan 195 adet SEP yüklü bilgisayar güncellemeleri GUP olarak yapılandırılmış bilgisayarlardan alacaklardır. Bu yapılandırma, SEP istemcileri ve SEPM sunucu arasındaki bant genişliği kullanımını optimize eder.

SEPM Content Dist. Monitor ile GUP’ların disk alanları, güncelleme durumlarını, online ve offline durumlarını monitör edebiliyoruz. Bunun haricinde hangi grupların güncelleme alıp almadığında görebiliyoruz.

Symantec Endpoint Protection Manager

 

Symantec Endpoint Protection Manager, SEP Agentlarin yönetim konsoludur.  Manager üzerinden Antivirus, Firewall, IPS, Application Device, Exception Politikalarını merkezi olarak yönetebilirsiniz. Bunların yanı sıra çok gelişmiş envanter, rapor ve izleme araçlarına sahiptir. Örnek olarak üzerinde SEP bulunan bilgisayarların aktif olan RAM, CPU ve disk alanlarına kadar takip yapılabilmekte, istenilen şekilde Risk ve Atak raporları temin edilebilmektedir.

SEP Managerlar üzerinden bilgisayarlara uzaktan SEP yüklemesi yapılabilmektedir.

Symantec Endpoint Protection Manager’ın yönetim arayüzüne, WEB üzerinden, bilgisayara gerekli Java Konsolu yükleyerek veya SEPM yüklü sunucuda hazır bulunan konsoldan erişilmektedir.

http://www.symantec.com/business/support/index?page=content&id=TECH95538 adresinden raporlar hakkında detaylı bilgi alınabilmektedir.

 

Symantec Endpoint Protection Integration Component  & IT Analytics

 

Symantec Endpoint Protection Integration Component (SEPIC) Symantec Management Platform (Altiris) ve Symantec Endpoint Protection 12 arasinda entegrasyonu sağlamaktadır. SEPIC üzerinden  SEP kurulum, kaldırma ve onarma işlemleri yapılmaktadır. Bunun haricinde diğer özellikleri, farklı marka anti virüslerin envanterlerinin çıkarılması, SEP Agent yüklü bilgisayarlarda görev başlatabilmesi  ve özelleştirilebilir raporlama yapabilmektedir.

SEPIC üzerinden bütün işlemler (Discovery ve SEP Agentların Kurulumları) otomatik olarak gerçekleştirilebilmektedir.

IT Analytics ile SEPM üzerinden alınan raporları customize edip custom raporlar oluşturabilirsiniz.