Sei sulla pagina 1di 35

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

Articoli

Blog

Guide

Presentazioni

Scripts

News

Chi Siamo

Link Utili

Donazione

RSS Feed

Scritto da Paolo Arlotti (arlotti.paolo@gmail.com) ed Alessandro Tani (alessandro.tani@homeworks.it) - Pubblicato il giorno 3 Gennaio 2010 - Aggiornato il 13 Ottobre 2010 -

Il Symantec Endpoint Protection uno dei migliori programmi antivirus in circolazione. Questa guida cerca di spiegare come installare ed amministrare il Symantec Endpoint Protection (SEP) a tutti coloro che devono installare il SEP in una media o grande impresa.

Questo documento risulta ancora incompleto in alcune sue parti. Gli autori del documento si scusano per questo. Ci non di meno, l'interesse mostrato al documento, ha indotto gli autori a pubblicarlo anche in questa sua forma non definitiva. Sar premura degli autori terminare la stesura del documento quanto prima. Ci scusiamo ancora per il disagio. All'interno della presente guida, sono riportati dei collegamenti a delle immagini. Per consentire la migliore visualizzazione di queste immagini, si consiglia una risoluzione dello schermo superiore alla 1024x768.
Tweet 0

Indice
Licenza Scenario Introduzione Caratteristiche del SEP Manager Installazione del SEP Manager Installazione di Internet Information Server Verifiche pre-installazione del SEP Manager Installazione Passo-Passo del SEP Manager Verifiche post-installazione del SEP Manager Configurazione del SEP Manager Raccolta informazioni per la procedura di ripristino Come gestire le Location dei SEP Client Come gestire le esclusioni da impostare sui SEP Client Come configurare il Group Update Provider Come aggiornare il SEP Manager ad una nuova versione Installazione del SEP Client Come preparare i pacchetti d'installazione dei SEP Client Come installare il SEP Client Installazione del SEP Client su Windows Vista Installazione del SEP Client su Windows 7 Installazione del SEP Client in un Terminal Server Installazione del SEP Client in un Microsoft Cluster Installazione del SEP Client in un server con MS Exchange 2003/2007 Verifiche post-installazione del SEP Client Come disinstallare il SEP Client Procedure Come togliere lo stato "Still Infected" dal SEP Manager Come disabilitare le scansioni del SEP Client al Logon e quando vengono aggiornate le definizioni antivirus Come pianificare una scansione antivirus nel SEP Client Come conoscere quali sono le definizioni scariate dal SEP Manager Analisi dei problemi noti e loro gestione Outlook segnala che all'avvio non riesce a caricare una DLL legata ai prodotti Symantec L'installazione del SEP Client non va a buon fine e viene continuamente riavviata la procedura d'installazione Come analizzare i problemi legati al LiveUpdate SEP Manager e l'errore "LiveUpdate encountered one or more errors. Return code = 4" Come gestire l'errore "Unable to Communicate with the Reporting Component" del SEP Manager Come analizzare i problemi di comunicazione fra i SEP Client ed il SEP Manager Come gestire l'errore "Error Code 9 Heuristic Scan or Load Failure" Come gestire la segnalazione "The wizard was interrupted before Symantec Endpoint Protection could be completely installed" Come gestire la segnalazione "Symantec Endpoint Protection has detected that there are pending system changes that require a reboot" Come gestire le postazioni infette da virus o malware Come evitare di essere vittime dei Virus Riferimenti utili File e cartelle da escludere dai controlli in Auto-Protect

Licenza

1 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

L'articolo Amministrazione del Symantec Endpoint Protection scritto da Paolo Arlotti e da Alessandro Tani tutelato dalla licenza Creative Commons Attribuzione-Non commerciale-Condividi allo stesso modo 2.5 Italia License.

Scenario
Nel corso di questo articolo, supporemo di dover installare e configurare il programma antivirus Symantec Endpoint Protection 11 all'interno di una media impresa Italiana, dotata di una decina di postazioni server e circa duecento postazioni client, fra postazioni fisse (Workstations) e postazioni mobili (Laptops). Supporremo d'installare il SEP Manager su un server con Windows 2003 R2 Std. Ed. in Inglese aggiornato all'ultima Service Pack disponibile (al momento della stesura di questo documento, l'ultima Service Pack disponibile era la Service Pack 2) e supporemo che tutte le postazioni di lavoro abbiano come sistema operativo o Windows 2000 Professional o Windows XP Professional aggiornati all'ultima Service Pack disponibile (Service Pack 4 per Windows 2000 e Service Pack 3 per Windows XP).

Introduzione
Il Symantec Endpoint Protection, o pi brevemente SEP, l'ultimo nato dei sistemi antivirus per le imprese della Symantec. Rispetto alla versione precedente del prodotto, il Symantec AntiVirus, o pi brevemente SAV, sono state introdotte molte novit. Per sapere quali sono le ultime novit del prodotto e qual' l'ultima versione disponibile, si pu consultare il sito web Release notes for Symantec Endpoint Protection Una delle principali differenze fra il SAV ed il SEP, che il SEP richiede, a differenza di quanto poteva accadere col SAV, una configurazione post-installazione. Per un corretto e puntuale funzionamento del programma, si consiglia di svolgere sempre la configurazione post-installazione. Il SEP composto da due componenti fondamentali: il SEP Manager che costituisce la console di amministrazione centralizzata di tutte le postazioni su cui installato il SEP Client; il SEP Client che il motore antivirus, antispyware e firewall che viene montato su ciascuna postazione di lavoro o server. Il SEP Manager si appoggia ad un database di tipo SQL per archiviare le varie informazioni raccolte dalle postazioni di lavoro in cui operativo il SEP Client. Risulta possibile utilizzare due tipi di database SQL Embedded: il motore database SQL che viene fornito insieme al SEP Manager, pertanto non richiede installazioni aggiuntive oltre all'installazione stessa del SEP Manager. Con questo tipo di database SQL risulta possibile gestire, in modo efficace, al pi 1000 installazioni del SEP Client. Questo tipo di database consente di: amministrare remotamente il SEP manager da una postazione di lavoro qualsiasi della rete, purch dotata della corretta versione di Java (Java Version 6 Update 10 o precedente); creare un secondo SEP Manager, in un sito differente, da utilizzare come backup del database SQL, consentendo di replicare i logs ed i pacchetti (packages). La replica dei pacchetti comporta anche la replica delle definizioni antivirus, del software dei client e dei componenti clients; SQL Server 2000 o 2005: con questo motore di database, si possono sfruttare a pieno tutte le funzionalit del SEP Manager. Questo motore di database va bene per qualunque dimensione aziendale, a patto che i sottosistema HW sia in grado di sopportare il carico di lavoro. Questo tipo di database consente di: amministrare remotamente il SEP manager da una postazione di lavoro qualsiasi della rete, purch dotata della corretta versione di Java (Java Version 6 Update 10 o precedente); creare un secondo SEP Manager, in un sito (site) differente, da utilizzare come backup del database SQL, consentendo di replicare i logs ed i pacchetti (packages). La replica dei pacchetti comporta anche la replica delle definizioni antivirus, del software dei client e dei componenti clients; creare un secondo SEP Manager, all'interno dello steso sito (site), da configurare in modalit Failover, ovvero in grado di sostituire il SEP Manager primario qualora questi non fosse disponibile; creare un secondo SEP Manager, all'interno dello steso sito (site), da configurare in modalit Load Balancing, ovvero in grado di collaborare ed operare contemporaneamente al SEP Manager primario. Le ultime due funzionalit si rivelano particolarmente utili in ambienti di grandi dimensioni o quando la disponibilit del SEP Manager deve essere massima. Si tenga per presente che l'utilizzo delle macchine virtuali all'interno di un'infrastrastruttura virtuale, consentono di ottenere livelli di servizio molto alti, rendendo opinabile l'utilizzo della modalit Failover del SEP Manager. Per maggiori informazioni sul Symantec Endpoint Protection si pu consultare la bellissima guida interattiva, in lingua Inglese, Symantec Endpoint Protection Initial Installation and Deployment Tour messa a disposizione dalla Symantec. Una bella guida su come installare e configurare il Symantec Endpoint Protection, quella realizzata da Joseph K. Magochi dell'African Virtual University dal titolo Network Antivirus Training.

Caratteristiche del SEP Manager


Il SEP Manager va montato solamente su sistemi server. Il SEP Manager un programma di tipo Web Based ed scritto in parte in Java ed in parte in PHP. Come motore Java, viene utilizzato il programma Tomcat. Le caratteristiche che dovrebbe avere il server che ospita il SEP Manager sono le seguenti: sistema operativo: Windows 2003 o Windows 2003 R2 (preferibilmente in lingua Inglese, ma va bene anche in Italiano) a 32bit aggiornato all'ultima Service Pack; almeno 2GB o superiore di memoria RAM installata sul server (se sul server esistono anche altri applicativi, si consiglia di installare almeno 3GB o pi di RAM); una partizione, non necessariamente quella di sistema, con almeno 20GB di spazio disco disponibile o superiore (valutare in fase d'installazione se ci sono applicativi che possono consumare spazio disco in modo significativo); processore Pentium IV o superiore da almeno 2GHz (si ricordi che il processore Intel Itanium non supportato);

2 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

risoluzione video almeno 1024x768 (altrimenti la console del SEP Manager non si vede bene); Sebbene dalla versione MR4 del SEP Manager, il sistema operativo Windows 2008 sia ufficialmente supporto, l'autore di questo articolo sconsiglia d'installare il SEP Manager sui sistemi operativi della famiglia Windows 2008. Al contrario, non sono note all'autore dell'articolo, particolari problemi fra il SEP Client ed i sistemi Windows 2008. In base all'esperienza dell'autore di questo documento, il SEP Manager risulta incompatibile, ovvero non pu venire installato con successo, con i seguenti programmi: con tutte le versioni del Websense Manager; con tutte le versioni del VMWare Infrastrucure Client. Pi in generale, l'installazione del SEP Manager pu entrare in conflitto con i seguenti programmi: Symantec Backup Exec 10, 10D, o 11D; Symantec Brightmail; Symantec Enterprise Vault; Symantec Ghost Solution Suite 2.0; Symantec Mail Security for Exchange; Symantec NetBackup; Microsoft Outlook Web Access; Microsoft SharePoint; Microsoft Windows Update Services; Per evitare conflitti con i programmi appena citati, di norma sufficiente installare il SEP Manager sulla porta 8014, ovvero quella raccomandata dalla procedura d'installazione del SEP Manager.

Installazione del SEP Manager


L'installazione del SEP Manager andrebbe effettuata sfruttando solamente la versione Inglese del prodotto, in quanto quest'ultima risulta meglio supportata (gli aggiornamenti escono prima per la versione in lingua Inglese e successivamente per le altre versioni nelle altre lingue e la maggior parte della documentazione disponibile in Internet fa riferimento alla versione Inglese), sia meglio testata (nel mondo ci sono molte pi versioni Inglese in giro di quelle localizzate nelle altre lingue). Il SEP Manager un programma web-based ed utilizza sia Tomcat, sia il programma Internet Information Server (o pi brevemente IIS) che si trova in Windows 2000/2003 (per Windows XP Professional disponibile una versione ridotta di IIS, denominata Personal Edition). Pertanto prima di procedere con l'installazione vera e propria del SEP Manager, bisogna installare il programma Internet Information Server come indicato nel paragrafo Installazione di Internet Information Server. La Symantec mette a disposizione l'ultima versione del SEP in rete, ed liberamente scaricabile da chiunque sia in possesso di un codice di licenza valido, dal sito Symantec File Connect. Prima di procedere con l'installazione del SEP, assicurarsi di essere in possesso dell'ultima versione disponibile del prodotto. Il SEP composto da due cdrom. Una volta installato IIS, si pu procedere con l'installazione del SEP Manager, possibilmente in lingua Inglese, tendo presente le seguenti linee guida: se sul server sono presenti o verranno installati altri applicativi che faranno uso di IIS, installare il SEP Manager sulla porta predefinita (a patto che sia disponibile): 8014; se il server verr dedicato ad uso esclusivo del SEP Manager, installare il SEP Manager nel sito predefinito di IIS (Default Web Site), ovvero sulla porta 80 (HTTP); se si decide di eseguire l'installazione tramite l'accesso remoto al server via Remote Desktop, su di un server con Windows 2003, si deve eseguire l'installazione sfruttando l'accesso al server in modalit console, in quanto il processo d'installazione deve avere accesso al registro del sistema; Per accedere in modalit console a Windows 2003, utilizzare il comando (per le postazioni con Windows XP Professional aggiornate alla Service Pack 3): mstsc /v <Nome_Server> /admin scegliere la modalit Avanzata (Advanced) per la configurazione del SEP Manager; configurare il SEP Manager in base al numero di postazioni di lavoro presenti in azienda (nel dubbio, stare abbondanti); modificare il percorso del Server Data Folder qualora la partizione di sistema non abbia abbastanza spazio disco disponibile (almeno 20GB di spazio disco libero); impostare la password di criptazione, ad esempio si pu utilizzare la parola chiave: recovery selezionare il database Embedded qualora il numero delle postazioni di lavoro sia inferiore a 1000 (per un numero superiore di postazioni di lavoro si deve utilizzare MS SQL Server 2000 o 2005); impostare la password dell'utente Admin, ad esempio si pu utilizzare la parola: symcsep Si osservi infine che: il SEP Manager perfettamente compatibile col programma Microsoft WSUS 2.0 e le sue versioni superiori; il SEP Manager non compatibile con tutte le versioni del programma Websense Manager; il SEP Manager non compatibile con tutte le versioni del programma VMWare Infrastrucure Client; non modificare il parametro della sezione LiveUpdate denominato Number of Content Revisions to Keep (il valore 3 va pi che bene) in quanto si potrebbero verificare dei problemi di aggiornamento del SEP Manager. Se si sta svolgendo un'installazione in una piccola impresa, ovvero in un'azienda con meno di diedi postazioni di lavoro, si dovrebbe prendere seriamente in considerazione l'idea di non installare il SEP Manager, o in altri termini, di non gestire centralmente le varie installazioni dei SEP Client, in quanto, le richieste hardware del SEP Manager non detto che siano soddisfatte.

3 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

Installazione di Internet Information Server


L'installazione di default di IIS pi che adeguata. Durante l'installazione di defualt di IIS vengono installati i seguenti componenti: Enable Network COM+ Access (Abilita l'accesso COM+ alla rete); Common Files (File Comuni); Internet Information Services Manager (Gestione Internet Information Services); World Wide Web Services (Servizio Web); Per maggiori informazioni su come personalizzare l'installazione del programma Internet Information Server si possono consultare i documenti Installing IIS e Internet Information Server. Per eseguire l'installazione di default di IIS basta procedere come indicato di seguito (guarda il video): Accertarsi di avere a portata di mano la cartella i386 o i cdrom d'installazione del sistema operativo, in quanto durante l'installazione di IIS verranno richiesti. Per sapere come modificare il registro di Windows in modo che il sistema operativo possa ritrovare una copia della cartella i386 su disco, consultate la ricetta Come specificare a Windows 2000/XP/2003 dove trovare la cartella i386. collegarsi al server su cui si desidera installare il SEP Manager con un utente avente diritti amministrativi sulla postazione; aprire il men Start, aprire il Control Panel e selezionare la voce Add and Remove Programs; all'apertura della finestra dal titolo Add and Remove Programs, premere il pulsante Add/Remove Windows Components; aprire la sezione Application Server e selezionare la voce Internet Information Server (IIS); evidenziare la voce Internet Information Services (IIS) e premere il pulsante Details; assicurarsi che siano selezionati i seguenti componenti: Internet Information Services Manager; World Wide Web Services; evidenziare la voce World Wide Web Service e premere il pulsante Details; assicurarsi che siano selezionati i seguenti componenti: World Wide Web Services; premere il pulsante OK per confermare le selezioni; premere il pulsante OK per confermare le selezioni; premere il pulsante OK per avviare l'installazione di IIS; se richiesto, indicare il percorso in cui si trova la cartella i386 relativa la sistema operativo (assicurarsi che la cartella i386 indicata corrisponda al livello di Service Pack del sistema operativo; per sapere a quale livello di Service Pack corrisponda la cartella i386 indicata, consultare la ricetta Come risalire alla versione di Windows partendo dalla cartella I386); Sebbene non necessari al fine dell'installazione del SEP Manager, risulta comunque comodo, per eventuali verifiche successive all'installazione di IIS, installare gli strumenti di analisi di IIS denominati IIS Diagnostic Tools. Per comodit, conviene svolgere l'installazione Completa degli IIS Diagnostic Tools. Una volta eseguita l'installazione di IIS, verificarne il corretto funzionamento utilizzando gli IIS Diagnostic Tools. In particolare accertarsi della possibilit di accedere in maniera anonima ad IIS. Conviene quindi svolgere i seguenti controlli: aprire il men Start, All Programms, IIS Diagniostic Tools ed eseguire il programma Auth Diagnostic 1.0; eseguire prima il test proposto, Check Authentication premendo il pulsante Start Diagniostics (immagine). Salvare il test eseguito in formato testo assegnadogli il nome secondo la seguente nomenclatura: <Data_Esecuzione_Test>_<Nome_Cliente>_IIS_Auth_pre_SEP_Installation.txt; eseguire poi il test User Right or Privileges (immagine). Salvare il test eseguito in formato testo assegnadogli il nome secondo la seguente nomenclatura: <Data_Esecuzione_Test>_<Nome_Cliente>_IIS_User_Rights_pre_SEP_Installation.txt; eseguire infine il test Server Permissions (immagine). Salvare il test eseguito in formato testo assegnadogli il nome secondo la seguente nomenclatura: <Data_Esecuzione_Test>_<Nome_Cliente>_IIS_Server_Permessions_pre_SEP_Installation.txt; I permessi di IIS dovrebbero essere impostati come segue: Anonymous Access: Error: IUSR_<COMPUTER_NAME> account does not have Access this computer from the network privilege (Path:W3SVC; AuthType:Anonymous); Error: IUSR_<COMPUTER_NAME> account does not have Access this computer from the network privilege (Path:W3SVC/1/ROOT; AuthType:Anonymous); Server's response: HTTP/1.1 200 OK (Path:W3SVC/1/ROOT; AuthType:Anonymous); User Right or Privileges: NT AUTHORITY\LOCAL SERVICE: Log on as a batch job; Adjust memory quotas for a process; Replace a process level token NT AUTHORITY\NETWORK SERVICE: Log on as a service; Adjust memory quotas for a process; Replace a process level token BUILTIN\Administrators: Allow log on locally; Access this computer from the network; Adjust memory quotas for a process; Impersonate a client after authentication BUILTIN\Users: Access this computer from the network <COMPUTER_NAME>\IUSR_<COMPUTER_NAME>:

4 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

Log on as a batch job; Allow log on locally; Not found privileges: Access this computer from the network <COMPUTER_NAME>\IWAM_QUARK: Log on as a batch job; Access this computer from the network; Adjust memory quotas for a process; Replace a process level token <COMPUTER_NAME>\IIS_WPG: Log on as a batch job; Impersonate a client after authentication; Log on as a batch job Everyone: Bypass traverse checking NT AUTHORITY\SERVICE: Impersonate a client after authentication Server Permission: C:\WINDOWS\help\iishelp\common\*: Account: BUILTIN\Administrators Access type: FULL Account: NT AUTHORITY\SYSTEM Access type: FULL Account: <COMPUTER_NAME>\IIS_WPG Access type: READ Account: BUILTIN\Users Access type: READ | EXECUTE C:\WINDOWS\IIS Temporary Compressed Files\*: Account: BUILTIN\Administrators Access type: FULL Account: NT AUTHORITY\SYSTEM Access type: FULL Account: <COMPUTER_NAME>\IIS_WPG Access type: READ | WRITE Account: CREATOR OWNER Access type: FULL Error: CREATOR OWNER does not have 'FULL' access to . C:\WINDOWS\system32\inetsrv\*: Account: BUILTIN\Administrators Access type: FULL Account: NT AUTHORITY\SYSTEM Access type: FULL C:\WINDOWS\system32\inetsrv\*: Account: BUILTIN\Users Access type: READ | EXECUTE Error: BUILTIN\Users does not have 'READ | EXECUTE' access to ASP Compiled Templates Error: BUILTIN\Users does not have 'READ | EXECUTE' access to History Error: BUILTIN\Users does not have 'READ | EXECUTE' access to MBSchema.bin.00000000h Error: BUILTIN\Users does not have 'READ | EXECUTE' access to MBSchema.xml Error: BUILTIN\Users does not have 'READ | EXECUTE' access to MetaBase.xml C:\WINDOWS\system32\inetsrv\ASP Compiled Templates\*: Account: <COMPUTER_NAME>\IIS_WPG Access type: READ C:\inetpub\adminscripts\*: Account: BUILTIN\Administrators Access type: FULL C:\WINDOWS\system32\Logfiles\*: Account: BUILTIN\Administrators Access type: FULL Per maggiori informazioni su come utilizzare il programma IIS Diagniostic Tools, si pu consultare il seguente articolo della Symantec Usage of IIS Diagnostics Toolkit - Authentication and Access Control Diagnostics 1.0 Una volta certi del corretta configurazione di IIS si pu procedere con l'installazione del SEP Manager.

Verifiche pre-installazione del SEP Manager


Prima di svolgere l'installazione del SEP Manager, conviene accertarsi che il server che si scelto per l'installazione del SEP Manager sia idoneo ad ospitare il SEP Manager. Per svolgere questa analisi, la Symantec mette a disposizione il programma SEP Support Tools (SEP_SupportTool.exe). Il SEP Support Tool stato testato solamente sulle versioni Inglesi di Windows 2000/2003/2008. Per tutte le altre lingue, il SEP Support Tool potrebbe dare dei falsi messaggi d'errore, ovvero segnalare dei problemi che in realt non esistono. Per maggiori informazioni sul SEP Support Tool si possono leggere o l'articolo di Shaun_B dal titolo SEP Support Tool, oppure l'articolo della Symantec About the Symantec Endpoint Protection Support Tool. Una volta scaricato il file SEP_SupportTool.exe basta copiarlo in una qualunque cartella del server in cui si deciso d'installare il SEP Manager ed eseguirlo. Il programma SEP_SupportTool.exe non svolge alcuna installazione, si limita a verificare se i requisiti necessari all'installazione del SEP Manager sono soddisfatti. Al termine dell'analisi del SEP Support Tools conviene salvare il report, col nome <Data_Creazione_File>_<Nome_Client>_<Nome_Server>_Full_pre_SEP_Installation.sdbz proposto dal programma per eventuali analisi future. Per svolgere le verifiche citate, basta procedere come indicato di seguito: avviare il programma SEP_SupportTool.exe; attendere che il programma si colleghi ad Internet per scaricare l'ultima versione disponibile; premere il pulsante I Accept the EULA; selezionare le voci: Pre-Installation Check for AV Client not Installed impostare il controllo per la versione SEP 11.X Enterprise Edition; premere il pulsante Next per avviare la creazione del report; attendere la creazione del report e accertarsi che non vi siano indicati degli errori (Error) o degli avvertimenti (Warnings); premere il pulsante Collect full data for Support per poter archiviare il report ottenuto; attendere il completamente dell'operazione e procedere con la compilazione dei vari campi di testo proposti:

5 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

Name: nome e cognome di chi ha eseguito il programma SEP_SupportTool.exe; Company: il nome della societ di colui che ha eseguito il programma SEP_SupportTool.exe; Contact: l'indirizzo email o il recapito telefonico di colui che ha eseguito il programma SEP_SupportTool.exe; Issue: una breve descrizione dello scopo dell'esecuzione del programma SEP_SupportTool.exe; facendo uso del pulsante che si trova nella sezione Save File ..., scegliere la cartella in cui archiviare il file contenente il report e premere il pulsante OK per avviare la procedura di salvataggio; premere il pulsante Exit per chiudere il programma SEP_SupportTool.exe; rinominare il file SDBZ generato dal programma SEP_SupportTool.exe, col nome
<Data_Creazione_File>_<Nome_Client>_<Nome_Server>_Full_pre_SEP_Installation.sdbz

Installazione Passo-Passo del SEP Manager


Per installare in modo corretto il SEP Manager, basta seguire la procedura riportata di seguito (guarda il video): Il video che riportiamo stato creato utilizzando la versione 11.0.5 RU5 del SEP Manager, ma valido anche per l'ultima versione del SEP Manager. Si tenga infine presente che la versione RU6-MP1, ovvero l'ultima versione del SEP Manager, non pu venire installata direttamente, ma bisogna prima installare la versione RU6A del SEP Manager e poi svolgere l'aggiornamento alla versione RU6-MP1.

Sebbene non fondamentale per l'installazione del SEP Manager, l'autore del documento consiglia di compilare un foglio di calcolo contenente i dati salienti dell'installazione del SEP Manager. Un esempio di questo foglio di calcolo pu essere scaricato qui (MD5 hash: 941718598feb31e882288921bdbf7e55). scaricare l'ultima versione disponibile del SEP dal sito Symantec File Connect. Per eseguire il download dell'ultima versione del SEP bisogna essere in possesso di un codice di licenza valido. Il SEP composto da due cdrom d'installazione: il primo cdrom contiene tutti gli strumenti necessari per l'installazione del SEP Manager e del SEP Client; il secondo cdrom contiene gli strumenti aggiuntivi che la Symantec mette a disposizione degli amministratori dei sistemi; estrarre il contenuto del primo cdrom in una cartella del server su cui si desidera installare il SEP Manager, ad esempio %SystemDrive%\_\Antivirus\Symantec_Endpoint_Protection\Ver_<Versione_SEP>\Eng\CD1; avviare l'installazione del SEP Manager eseguendo il file %SystemDrive%\_\Antivirus\Symantec_Endpoint_Protection \Ver_<Versione_SEP>\Eng\CD1\Setup.exe; dalla finestra dal titolo Symantec Endpoint Protection Installation Program cliccare sulla voce Install Symantec Endpoint Protection Manager; all'apertura della finestra di benvenuto dal titolo Symantec Endpoint Protection Manager, premere il pulsante Next; all'apertura della finestra relativa all'accettazione della licenza del prodotto, License Agreement, selezionare la voce I accept the terms in the license agreement e premere il pulsante Next; nella finestra Destination Folder, lasciare impostato il percorso d'installazione del SEP Manager di default, %ProgramFiles%\Symantec\Symantec Endpoint Protection Manager\, a meno che non si dovesse riscontrare che lo spazio disco disponibile all'interno del disco a cui la variabile d'ambiente %ProgramFiles% fa riferimento non sia sufficiente per l'installazione del SEP Manager. Premere il pulsante Next per andare avanti; nella finestra Select Web Site, selezionare la voce: Create Custom Web Site (Recommended): se sul server sono presenti o verranno installati altri applicativi che faranno uso di IIS; Use the Default Web Site: se il server verr dedicato ad uso esclusivo del SEP Manager; Se si seleziona la voce Create Custom Web Site (Recommended) accertarsi che la porta specificata nel campo TCP Port sia effettivamente disponibile. Premere il pulsante Next per proseguire; all'apertura della finestra Ready to Install the Program, premere il pulsante Install per avviare la procedura d'installazione. L'installazione di solito richiede pochi minuti; all'apertura della finestra Install Wizard Completed, premere il pulsante Finish. La prima parte della procedura d'installazione del SEP Manager conclusa. Accertarsi che si avvii la schermata di benvenuto del Management Server Configuration Wizard; selezionare la voce Advanced e premere il pulsante Next per proseguire; selezionare il numero di postazioni di lavoro su cui verr installato il SEP Client in base alla dimensione del cliente. Se necessario, sovrastimare il numero di postazioni di lavoro, piuttosto che sottostimarlo. Premere Next per proseguire; se si tratta della prima installazione del SEP Manager, selezionare la voce Install my First Site. Premere Next per continuare; riempire i campi di testo come segue: Server Name: controllare che sia riportato il nome NetBIOS del server su cui si sta installando il SEP; Server Port: accertarsi che compaia il valore 8443; Web Console Port: accertarsi che compaia il valore 9090; Server Data Folder: il percorso di default dovrebbe essere quello corretto, ad ogni modo, la cartella dovrebbe essere %ProgramFiles%\Symantec\Symantec Endpoint Protection Manager\data; premere Next per continuare; assegnare al primo sito (Site Name) un nome significativo, come ad esempio il nome dell'azienda del cliente (avendo cura, se necessario, di non lasciare spazi fra le varie parole), oppure il nome della localit in cui il server del SEP Manager risulta operativo. Premere Next per proseguire; inserire la password richiesta compilando prima il campo Create Encryption Password e poi il campo Confirm Encryption Password. Ricordarsi di prendere assolutamente nota di questa password, in quanto fondamentale per eseguire la procedura di ripristino dell'installazione del SEP Manager. Per maggiori informazioni si pu consultare la Knowledge Base della Symantec Best Practices for Disaster Recovery with Symantec Endpoint Protection. Premere il pulsante Next per proseguire; selezionare il database pi appropriato. Se il cliente ha meno di 1000 postazioni, fra server e client, si pu tranquillamente scegliere la voce Embedded Database, altrimenti bisogner appoggiare l'installazione del SEP Manager ad un database Microsoft SQL Server 2000 o 2005. Premere Next per andare avanti; riempire i campi di testo come segue: Password e Confirm Password: inserire la password dell'utente admin, ad esempio symcsep; Email Address: inserire l'indirizzo email della persona che seguir il programma SEP all'interno dell'azienda (ad esempio:

6 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

support@homeworks.it); premere il pulsante Next per proseguire; all'apertura della finestra Management Server Configuration Wizard Completed, selezionare la voce No. Premere il pulsante Finish per concludere la procedura di configurazione del SEP Manager. La procedura di configurazione del SEP Manager pu richiedere qualche decina di minuti; tornati alla finestra Symantec Endpoint Protection Installation Program premere il pulsante Exit per terminare la procedura d'installazione del SEP Manager.

Verifiche post-installazione del SEP Manager


Una volta terminata l'installazione del SEP Manager e prima di procedere con la sua configurazione, bene svolgere qualche verifica per controllare che l'installazione appena effettuata del SEP Manager sia andata a buon fine: accertarsi che la comunicazione col SEP Manager sia operativa, pertanto, da una qualunque postazione della rete, non necessariamente una postazione appartenente al dominio, aprire il browser presente sulla postazione ed inserire, in sequenza, i seguenti URL: http://localhost:<Porta_Ascolto_Sito_Web_SEP_Manager>/secars/secars.dll?hello,secars http://<Indirizzo_IP_SEP_Manager>:<Porta_Ascolto_Sito_Web_SEP_Manager>/secars/secars.dll?hello,secars http://<Nome_FQDN_SEP_Manager>:<Porta_Ascolto_Sito_Web_SEP_Manager>/secars/secars.dll?hello,secars http://<Nome_NetBIOS_SEP_Manager>:<Porta_Ascolto_Sito_Web_SEP_Manager>/secars/secars.dll?hello,secars Se compare una pagina web col messaggio OK, vuol dire che il collegamento verso il SEP Manager funziona correttamente; controllare che i servizi del SEP Manager utilizzino le seguenti porte: il programma SEMSvc.exe deve utilizzare le porte TCP 8443, TCP 9090 e TCP 8005; il programma DBSrv9.exe deve utilizzare la porta TCP 2638; l'uno o l'altro dei programmi inetinfo.exe o w3wp.exe deve utilizzare la porta UDP 1812 (la porta 1812 corrisponde alla porta del RADIUS). Per svolgere questo tipo di analisi, si pu utilizzare il programma TCP View della Sysinternals.

Configurazione del SEP Manager


Una volta installato il SEP Manager, si deve procedere assolutamente alla sua configurazione. Il SEP Manager, a differenza della SAV Console, utilizza una gestione delle postazioni client, ovvero delle postazioni sulle quali installato il SEP Client, basata sul concetto di Politica (Policy). Il principale vantaggio di questa gestione, che le Politche si possono esportare da un SEP Manager ed installare su un altro SEP Manager. In questo modo la configurazione del SEP Manager, relativa alla gestione e configurazione dei SEP Client, risulta di gran lunga pi agevole che non con la SAV Console. La configurazione che andremo a proporre, va bene sia per le piccole, sia per le medie imprese Italiane. Verranno creati degli appositi gruppi di macchine che hanno lo scopo di gestire particolari situazioni che si possono verificare presso talune aziende. Creremo il gruppo Basse Prestazioni per tutte quelle postazioni che hanno o dei componenti hardware non adeguati al carico di lavoro, come ad esempio memoria RAM inferiore ai 512MB, oppure per quelle postazioni che ricoprono ruoli un po' delicati in quanto ospitano programmi specifici, come ad esempio le casse di un supermercato, oppure le casse di una mensa, oppure gli ecografi o gli strumenti di diagniostica di un ospedale. Creremo poi un gruppo dal nome Alta Sicurezza. In questo gruppo dovrebbero venire inserite, temporaneamente, tutte quelle postazioni in cui si desidera svolgere un controllo antivirus rigoroso, a scapito ovviamente delle prestazioni generali della postazione stessa. Questo gruppo, a differenza di tutti gli altri, da considerarsi a permanenza temporanea, in quanto, una volta eseguito il controllo antivirus rigoroso, la postazione dovrebbe venire inserita nel suo gruppo abituale (Portatili, SysAdmin, Speciali e Workstation). I server non andrebbero mai spostati nel gruppo Alta Sicurezza. Creremo poi un gruppo chiamato Speciali. All'interno di questo gruppo andranno inserite tutte le postazioni di lavoro, che non vengono per utilizzata dagli amministratori di rete e dei sistemi o dai programmatori informatici dell'azienda, che hanno bisogno di particolari eccezzioni da parte del SEP Client. Ad esempio, andrebbero inserite in questo gruppo, tutte quelle postazioni in cui si vuole escludere un intero disco dai controlli antivirus del SEP Client. Creremo infine un gruppo chiamato SysAdmins, in cui dovranno venire inserite tutte le postazioni di lavoro degli amministratori di rete e dei sistemi o dai programmatori informatici dell'azienda, siano esse postazioni fisse (Workstations) o mobili (Portatili). A puro titolo di esempio, abbinato a questo articolo, vengono fornite al lettore alcune possibili configurazioni da assegnare ai SEP Client. Il file contenente queste Politiche dei SEP Client, pu essere reperito qui. Per configurare il SEP Manager si pu procedere come indicato di seguito (nel corso della spiegazione, daremo per scontato che la persona che svolge le varie operazioni abbia almeno una conoscenza minima del SEP Manager): disabilitare la scadenza della password dell'utente admin e provvedere a configurarlo opportunamente: avviare la console del SEP Manager ed accedere con le credenziali dell'utente admin; aprire la sezione admin; evidenziare l'utente admin e cliccare sulla voce Edit Administration Properties; nella finestra System Administrator Properties for Admin spostare il cursore relativo ai Logon Attempt Threshold completamente a destra sotto la voce High; impostare il valore del Lock the account for a 5 minuti; inserire nel campo Full Name la sigla Default Primary SEP Manager Administrator User; inserire nel campo Email l'indirizzo email della persona che all'interno dell'azienda seguir il SEP Manager; selezionare le voci (immagine): Lock this account when log attempts exceed the threshold; Send an email alert when the account is locked; andare nella sezione Authentication e selezionare la voce Password Never Expires (immagine); premere il pulsante OK per confermare; creare un utente amministrativo secondario denominato master (il nome sensibile alle maiuscole ed alle minuscole) con password ad esempio symcdomain e nessuna scadenza della password: evidenziare l'utente master e cliccare sulla voce Edit Administration Properties;

7 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

nella finestra System Administrator Properties for master inserire nel campo Full Name la sigla Secondary SEP Manager Administrator User; inserire nel campo Email l'indirizzo email della persona che all'interno dell'azienda seguir il SEP Manager; togliere il segno di selezione dalla voce Lock this account when log attempts exceed the threshold; andare nella sezione Authentication e selezionare la voce Password Never Expires (immagine); premere il pulsante OK per confermare; rinominare il nome del dominio SEP, se lo si ritiene opportuno: dal SEP Manager, aprire la sezione Admin; aprire la sotto-sezione Domains; evidenziare, facendo uso del mouse, il dominio che si desidera rinominare; all'interno della sezione Tasks, cliccare sulla voce Rename Domain; all'interno della finestra che si apre, inserire il nuovo nome del dominio; confermare il nome inserito premendo il pulsante OK; editare le propriet del dominio cliccando sulla voce Edit Domain Properties; inserire all'interno del campo Company Name il nome dell'azienda che ha acquistato il SEP Manager (ad esempio HomeWorks S.p.A.); inserire all'interno del campo Contact List gli indirizzi email delle persone che dovranno gestire il corretto funzionamento del SEP Manager (ad esempio: support@homeworks.it); premere il pulsante OK per confermare i dati inseriti. impostare la descrizione (Description) del LocalHost inserendo la frase: Embedded Database: dal SEP Manager, aprire la sezione Admin; aprire la sotto-sezione Servers; evidenziare, facendo uso del mouse, la voce LocalHost; all'interno della sezione Tasks, cliccare sulla voce Edit Database Property; all'interno della finestra Database Property for localhost, inserire nella casella di testo Description, la frase: Embedded Database; confermare la descrizione inserita, premendo il pulsante OK; impostare la descrizione (Description) del server su cui stato installato il SEP Manager, inserendo la frase: SEP Manager Server: dal SEP Manager, aprire la sezione Admin; aprire la sotto-sezione Servers; evidenziare, facendo uso del mouse, la voce che riporta il nome NetBIOS del server su cui stato installato il SEP Manager; all'interno della sezione Tasks, cliccare sulla voce Edit Server Properties; all'interno della finestra Server Properties, nella sezione General, inserire nella casella di testo Description la frase: SEP Manager Server; confermare la descrizione inserita, premendo il pulsante OK; impostare il Mail Server con cui inviare le email provenienti dal SEP Manager; impostare, anche se di fatto non verr mai utilizzato in questa guida, la sincronizzazione con Active Directory; impostare, se necessario, il Proxy Server con cui far collegare il SEP Manager verso Internet per consentire al programma LiveUpdate di scaricare le definizioni aggironate dei vari componenti del SEP Client; impostare l'aggiornamento del LiveUpdate del SEP Manager ogni 4 ore (immagine); importare le politiche e le eccezioni dei SEP Client precedentemente salvate (alcuni esempi di politiche ed eccezioni sono scaricabili da qui); personalizzare le politiche e le eccezioni di HW (la sigla HW sta per HomeWorks) in base alle esigenze del cliente; impostare i criteri di comunicazione (Communications Settings) del gruppo My Company nel seguente modo (immagine): Heartbeat Interval: 1 ora o superiore; Randomization Windows: 30 minuti; in linea di principio, per tutte le postazioni collegate da una buona connessione di rete (1Mbps o superiore), si pu impostare la modalit di comunicazione fra il SEP Manager ed il SEP Client in modalit Push, in caso contrario (collegamenti di rete inferiori a 1Mbps), conviene impostare la modalit Pull (modificando in modo opportuno il valore del campo Heartbeat Interval) (immagine); impostare opportunamente le impostazioni generali (General Settings) del gruppo My Company: sezione General Settings: impostare il messaggio uguale a Per piacere puoi riavviare il computer. Messaggio dal Symantec Antivirus. sezione Security Settings: selezionare la voce Require a Password to Uninstall the Client ed impostare la password uguale a symantec sezione Tamper Protecion: chiudere tutti i lucchetti, selezionare la voce Display a Notification Message When Tampering is Detected ed impostare l'azione da intraprendere a Log the Event Only; creare i seguenti gruppi con le descrizioni (Description) riportate di fianco. Per creare i vari gruppi andare nella sezione Clients e cliccare sulla voce Add Group...: Alta Sicurezza: postazioni che necessitano di elevati controlli da parte dell'antivirus; Basse Prestazioni: postazioni che hanno limitate risorse hardware; Portatili: postazioni mobili (Laptop) della rete aziendale; Server: postazioni server della rete aziendale; SysAdmins: postazioni degli amministratori di rete; Speciali: postazioni che necessitano di particolari eccezioni; Workstation: postazioni fisse (PC) della rete aziendale; creare le Location necessarie alla configurazione dei vari SEP Client: in linea di principio vanno create tante Location quante sono le sedi (o reti) remote del cliente. Selezionare la voce Enable Location Change Notification ed indicare come messaggio da far comparire a video la frase: La postazione passata da [OLD_LOCATION] a [NEW_LOCATION]; creare la Location denominata Outside per i gruppi Portatili, SysAdmins e Speciali. Questa Location si riferisce a tutte le postazioni di lavoro che possono operare all'esterno della WAN aziendale (immagine); applicare in modo opportuno le politiche e le eccezioni di HW (la sigla HW sta per HomeWorks) ai vari gruppi creati in precedenza: Alta Sicurezza: AV HW High Security FW HW Allow All Traffic IPS HW Office Control HW Client Centralized Exceptions (No SysAdmin) LiveUpdate Settings Policy Basse Prestazioni:

8 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

AV HW Low Performance FW HW Allow All Traffic IPS HW NO Control HW Client Centralized Exceptions (No SysAdmin) LiveUpdate Settings Policy Portatili: AV HW Standard (No SysAdmin) FW HW Allow All Traffic IPS HW Office Control HW Client Centralized Exceptions (No SysAdmin) LiveUpdate Settings Policy (se il portatile in azienda) LU HW Mobile Policy (se il portatile fuori dall'azienda) Server: AV HW Server FW HW Allow All Traffic IPS HW NO Control HW Server Centralized Exceptions LiveUpdate Settings Policy SysAdmins: AV HW Standard (For SysAdmin) FW HW Allow All Traffic IPS HW Office Control HW Client Centralized Exceptions (For SysAdmin) LiveUpdate Settings Policy (se il portatile in azienda) LU HW Mobile Policy (se il portatile fuori dall'azienda) Speciali: AV HW Standard (No SysAdmin) FW HW Allow All Traffic IPS HW Office Control HW Client Centralized Exceptions (For SysAdmin) LiveUpdate Settings Policy (se il portatile in azienda) LU HW Mobile Policy (se il portatile fuori dall'azienda) Workstation: AV HW Standard (No SysAdmin) FW HW Allow All Traffic IPS HW Office Control HW Client Centralized Exceptions (No SysAdmin) LiveUpdate Settings Policy impostare il backup della configurazione del SEP Manager con cadenza settimanale possibilmente prima che vengano eseguiti i salvataggi aziendali settimanali (indicativamente ogni Venerd sera alle 22:00 potrebbe andare bene). Ricordarsi di far modificare (o modificare) le selezioni dei salvataggi settimanali di modo che venga salvata la cartella: <Percorso_Installazione_SEP_Manager>\data\backup preparare le seguenti tipologie d'installazione del SEP Client: Per sapere come realizzare i vari pacchetti d'installazione dei SEP Client, si pu consultare il paragrafo Come preparare i pacchetti d'installazione dei SEP Client. SEP Server Standard: viene installato solamente il pacchetto Antivirus and Antispyware Protection (immagine); SEP Workstation Standard: vengono installati i seguenti componenti (immagine): Antivirus and Antispyware Protection Antivirus Email Protection POP3/SMTP Scanner Microsoft Outlook o Lotus Notes Scanner (dipende dal cliente) Network Threat Protection TruScan Proactive Threat Scan SEP Portatili Standard: vengono installati i seguenti componenti (immagine): Antivirus and Antispyware Protection Antivirus Email Protection POP3/SMTP Scanner Microsoft Outlook o Lotus Notes Scanner (dipende dal cliente) Network Threat Protection TruScan Proactive Threat Scan In generale, il componente Network Threat Protection preferibile che non venga installato sulle postazioni fisse (Workstation); creare le cartelle in cui inserire i vari pacchetti d'installazione:
<Etichetta_Disco>:\_\SEP_Deploy\Win32\<Versione_SEP>\Server <Etichetta_Disco>:\_\SEP_Deploy\Win32\<Versione_SEP>\Portatili <Etichetta_Disco>:\_\SEP_Deploy\Win32\<Versione_SEP>\Workstation <Etichetta_Disco>:\_\SEP_Deploy\Win64\<Versione_SEP>\Server <Etichetta_Disco>:\_\SEP_Deploy\Win64\<Versione_SEP>\Portatili <Etichetta_Disco>:\_\SEP_Deploy\Win64\<Versione_SEP>\Workstation

condividere la cartella <Etichetta_Disco>:\_\SEP_Deploy col nome SEP_Deploy e descrizione Area Distribuzione SEP Client; esportare i pacchetti relativi alle varie tipologie d'installazione nelle rispettive cartelle, precedentemente create, avendo cura di: assegnare un nome significativo alla cartella che contiene il pacchetto d'installazione (ad esempio: Silente_No_Riavvio o Automatica_con_Riavvio); sui server meglio eseguire installazioni automatiche (Unattended); sui client preferibile eseguire installazioni silenti (Silent) in quanto, in certe circostanze, l'installazione automatica (Unattended), pu richiedere l'interazione con l'utente prima di procedere; Il processo d'installazione del SEP Client in modalit automatica (Unattended), su una postazione che sta

9 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

utilizzando il SAV Client o una versione precedente del SEP Client, verifica l'eventuale presenza di file nella quarantena del SAV Client o del SEP Client, col risultato che se vengono rilevati file nella quarantena, il processo d'installazione del SEP Client, s'interrompe per chiedere all'utente se desidera conservare o eliminare i file trovati nella quarantena. Sino a quando il processo d'installazione del SEP Client non riceve una risposta, la procedura d'installazione del SEP Client rester bloccata. creare i seguenti report: Virus Definitions Distribution pianificato ogni primo del mese alle 5:00AM con la raccolta dei dati del mese precedente all'esecuzione (immagine): aprire il SEP Manager ed andare nella sezione Reports; inserire nel campo Report Type la voce Computer Status; inserire nel campo Select a Report la voce Virus Definitions Distribution; nel campo Time Range della sezione Quick Reports inserire la voce Past Month; premere il pulsante Save Filter ed inserire nella casella di testo Filter Name il nome Past Month e premere il pulsante OK per confermare; aprire la sezione Scheduled Reports; cliccare sul URL Add per aggiungere un nuovo report pianificato; inserire nel campo Report Name la frase Virus Definitions Distribution; inserire un eventuale descrizione del report nel campo Description, ad esempio Stato delle singole postazioni di lavoro; selezionare la voce Enable this scheduled report; inserire nel campo Report Type la voce Computer Staus Report dal men a tendina; inserire nel campo Select a Report la voce Virus Definitions Distribution dal men a tendina; inserire nel campo Use a saved filter la voce Past Month, creata in precedenza, dal men a tendina; inserire nel campo Run every la voce 1 al month (una volta al mese); inserire nel campo Start after il primo giorno del mese successivo e come ora di esecuzione le ore 5:00AM del mattino; inserire nel campo Send this report to the following comma-separated email address l'elenco degli indirizzi email a cui si vuole inviare il report Virus Definitions Distribution; premere il pulsante OK per confermare; Infected and At Risk Computers pianificato ogni Luned alle 6:00AM con la raccolta dei dati della settimana precedente (immagine): aprire il SEP Manager ed andare nella sezione Reports; nel campo Time Range della sezione Quick Reports inserire la voce Past Week; inserire nel campo Report Type la voce Risk; inserire nel campo Select a Report la voce Infected and At Risk Computers; premere il pulsante Save Filter ed inserire nella casella di testo Filter Name il nome Past Week e premere il pulsante OK per confermare; aprire la sezione Scheduled Reports; cliccare sul URL Add per aggiungere un nuovo report pianificato; inserire nel campo Report Name la frase Infected and At Risk Computers; inserire un eventuale descrizione del report nel campo Description, ad esempio Elenco delle postazioni che risultano infette; selezionare la voce Enable this scheduled report; inserire nel campo Report Type la voce Risk Report dal men a tendina; inserire nel campo Select a Report la voce Infected and At Risk Computers dal men a tendina; inserire nel campo Use a saved filter la voce Past Week, creata in precedenza, dal men a tendina; inserire nel campo Run every la voce 1 al weeks (una volta alla settimana); inserire nel campo Start after il primo Luned della settimana successiva e come ora di esecuzione le ore 6:00AM del mattino; inserire nel campo Send this report to the following comma-separated email address l'elenco degli indirizzi email a cui si vuole inviare il report Infected and At Risk Computers; premere il pulsante OK per confermare; Se tutto andato bene, si pronti per l'installazione del SEP Client sulle varie postazioni di lavoro e sui server di rete.

Raccolta informazioni per la procedura di ripristino


Salvare solamente il database del SEP Manager non sufficiente per poter svolgere un'eventuale procedura di ripristino (recovery) del SEP Manager, qualora la postazione su cui il SEP Manager subisca dei danni irreparabili che richiedano o la sostituzione della macchina o il suo rifacimento. Per poter svolgere con successo una procedura di ripristino del SEP Manager, bisogna essere in possesso delle seguenti informazioni e file: i file di configurazione di Tomcat; i file di cifratura delle comunicazioni fra il SEP Client ed il SEP Manager; il valore della parola chiave KeystorePass; Per raccogliere le informazioni appena citate, si pu procedere come indicato di seguito: creare una cartella su un server diverso da quello in cui installato il SEP Manager dal nome SEP_Manager_Backup_Configuration; copiare i file presenti nella cartella %ProgramFiles%\Symantec\Symantec Endpoint Protection Manager\Server Private Key Backup\ (a patto che il SEP Manager sia stato installato nella cartella %ProgramFiles%, pi in generale, al posto della cartella %ProgramFiles% va inserita la cartella d'installazione del SEP Manager):
keystore_<Data_Creazione_File>.jks server_<Data_Creazione_File>.xml

all'interno della cartella SEP_Manager_Backup_Configuration; creare all'interno della cartella SEP_Manager_Backup_Configuration tante cartelle quanti sono i gruppi creati all'interno del SEP Manager. Per comodit, il nome di queste cartelle deve coincidere col nome dei gruppi creati all'interno del SEP Manager; copiare all'interno di ciascuna delle cartelle create al punto precedente i file Sylink.xml e Profile.xml che si trovano all'interno delle

10 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

cartelle presenti nella cartella %ProgramFiles%\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent (in generale al posto della cartella %ProgramFiles% va inserita la cartella in cui stato installato il SEP Manager). Per sapere a quale gruppo le cartelle presenti nel percorso %ProgramFiles%\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent fanno riferimento, sufficiente aprire il file Profile.xml con Internet Explorer e controllare il valore delle variabili Name e Path; copiare all'interno della cartella SEP_Manager_Backup_Configuration i file di configurazione di Tomcat che si trovano nella cartella %ProgramFiles%\Symantec\Symantec Endpoint Protection Manager\Tomcat\etc (in generale al posto della cartella %ProgramFiles% va inserita la cartella in cui stato installato il SEP Manager): SesmLuLog.conf; conf.properties; sepm_settings.properties; keystore.jks; editare il file server_<Data_Creazione_File>.xml e copiare nel foglio di calcolo di configurazione del SEP Manager il valore riportato nel campo keystorePass (immagine); Per comodit di lettura, conviene editare il file server_<Data_Creazione_File>.xml col browser Internet Explorer. salvare l'elenco delle Policy create ed applicate ai vari gruppi creati all'interno del SEP Manager: avviare il SEP Manager collegandosi con un account amministrativo; aprire la sezione Report; selezionare nel men a tendina del campo Report type la voce Audit; assicurarsi che nel campo Select a report compaia la voce Policies Used; assicurarsi che nel campo Used a Saved Filter compaia la voce Default; premere il pulsante Create Report; all'interno della finestra del report appena creato, premere il pulsante Save; salvare il report all'interno di una qualunque cartella del server su cui stato installato il SEP Manager, col nome <DataCreazioneReport>_<NomeCliente>_Policy_Settings.mht; copiare il file <DataCreazioneReport>_<NomeCliente>_Policy_Settings.mht all'interno della cartella SEP_Manager_Backup_Configuration; eseguire un backup estemporaneo del SEP Manager e copiare il file di backup creato all'interno della cartella SEP_Manager_Backup_Configuration. Per svolgere un backup estemporaneo del SEP Manager, basta procedere come indicato di seguito: avviare il SEP Manager collegandosi con un account amministrativo; aprire la sezione Admin; aprire la sott-sezione Servers; selezionare in alto la voce Localhost; dal men Tasks, cliccare sulla voce Backup Site Now; confermare l'avvio della procedura di backup premendo il pulsante Yes; il file di salvataggio verr creato nella cartella %ProgramFiles%\Symantec\Symantec Endpoint Protection Manager\data \backup (in generale al posto della cartella %ProgramFiles% va inserita la cartella in cui stato installato il SEP Manager). Il nome del file di backup, segue la seguente convenzione: <Data-Creazione-File<_<Ora-Creazione-File<.zip; fare in modo che la cartella SEP_Manager_Backup_Configuration venga regolarmente salvata dai cicli di salvataggio notturni dei dati. Per maggiori informazioni, si pu consultare il documento della Symantec Best Practices for Disaster Recovery with Symantec Endpoint Protection.

Come gestire le Location dei SEP Client


La gestione delle Location, una delle principali novit introdotte col Symantec Endpoint Protection (SEP). Lo scopo principale delle Location, quello di gestire le diverse posizioni che una postazione di lavoro pu ricoprire all'interno di una rete aziendale. La gestione delle Location va effettuata una volta che si provveduto a creare i vari gruppi che identificano le diverse tipologie di postazioni. Grazie all'utilizzo delle Location, possibile impostare diverse politiche, a seconda di dove si trova ad operare una data postazione di lavoro. Ad esempio, si potrebbe gestire il caso in un cui una postazione mobile, come ad esempio un laptop, si trovi ad operare al di fuori della rete aziendale e quindi non fosse in grado di contattare il SEP Manager. In queste circostanze, si potrebbe desiderare di far aggiorare le definizioni dell'antivirus, direttamente da Internet, piuttosto che dal SEP Manager (come di norma dovrebbe avvenire, quando la postazioni si dovesse trovare all'interno della rete aziendale). Grazie alle Location, possibile stabilire quando la postazion mobile, il laptop, si trova ad operare all'esterno della rete aziendale e quindi impostare un'opportuna politica del LiveUpdate che consenta l'aggiornamento via Internet delle definizioni antivirus. Un altro importante utilizzo delle Location, riguarda la gestione delle comunicazioni fra il SEP Client ed il SEP Manager. Di norma, quando il SEP Manager ed il SEP Client sono ben connessi, le comunicazioni fra il SEP Manager ed il SEP Client, avvengono in modalit Push: il SEP Manager invia le informazioni a tutti i SEP Client contemporaneamente. Di norma, all'interno della LAN in cui si trova ad operare il SEP Manager, la modalit di comunicazione fra il SEP Manager ed il SEP Client di tipo Push, non comporta alcun onere aggiuntivo sugli apparati di rete, ne un utilizzo particolamente inferiore della banda Internet. Diversamente, in un collegamento di tipo WAN, la modalit di comunicazione Push, pu provocare dei picchi indesiderati di utilizzo della banda Internet; pertanto per le comunicazioni di tipo WAN, sarebbe pi aspicabile un tipo di comunicazione Pull, in cui ciascun SEP Client, contatta ad intervalli regolari il server che ospita il programma SEP Manager. Esistono due casi particolarmente interessanti: una sede centrale, col SEP Manager operativo e una miriade di sedi remote di modeste dimensioni (ciascuna sede ha meno di dieci postazioni di lavoro); una sede centrale di notevoli dimensioni, in cui opera il SEP Manager e due o tre sedi di cospique dimensioni (con almeno venti postazioni di lavoro). Nel caso di un unica sede centrale, nella quale sono ospitati la maggior parte dei server aziendali e tante sedi remote di piccole dimensioni, ciascuna dotata di un proprio file server di modeste capacit hardware. Nell'ipotesi che tutte le sedi remote siano ben connesse, ad esempio attraverso una linea MPLS da 2Mbps, la scelta pi opportuna quella di creare tre Location: una Location per gestire le postazioni di lavoro e server che si trovano nella sede centrale; una Location per gestire tutte le postazioni che si trovano nelle sedi periferiche, indipendentemente da quale sede perifica la

11 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

postazione si trovi; una Location per gestire le postazioni mobili (Laptops) che si trovano ad operare al di fuori della rete aziendale. A ciascuna Location citata, rester associata una opportuna configurazione del Live Update e una opportuna configurazione dei Comunication Settings, di modo da rendere l'occupazione della banda da parte delle procedura di aggiornamento dei SEP Client delle sedi periferiche, la meno onerosa possibile. Nel caso invece di una sede centrale di notevoli dimensioni, in cui attivo il SEP Manager e di alcune sedi periferiche di cospique dimensioni, almeno venti postazioni di lavoro ciascuna, supponendo anche in questo caso che le sedi periferiche e la sede centrale, siano ben connesse, fra di loro, ovvero sia presente almeno una linea MPLS da 2Mbps; la soluzione pi opportuna la seguente: creare una Location per gestire i server e le postazioni di lavoro presenti nella sede centrale; creare una Location per ciascuna sede perifica di conspique dimensioni; creare una Location per tutte le eventuali sedi perifiche minori, ovvero con meno di dieci postazioni di lavoro; creare una Location per gestire le postazioni mobili (Laptops) che si trovano ad operare al di fuori della rete aziendale. A ciascuna Location citata, rester associata una opportuna configurazione del Live Update e una opportuna configurazione dei Comunication Settings, di modo da rendere l'occupazione della banda da parte delle procedura di aggiornamento dei SEP Client delle sedi periferiche, la meno onerosa possibile. Alle Location che corrispondono alle sedi periferiche di maggiori dimensioni, rester associata anche la configurazione di un Group Update Provider di modo che le postazioni di lavoro e server delle sedi periferiche di maggiori dimensioni, prelevino gli aggiornamenti delle definizioni da server (Group Update Provider) che si trovino all'interno della loro stessa sede (o pi in generale rete locale), di modo da ridurre notevolmente il traffico di rete sulla WAN (Wide Area Network).

Come gestire le esclusioni da impostare sui SEP Client Come configurare il Group Update Provider
Per maggiori informazioni sulle maggiori novit introdotte dalla versione RU5 del SEP alla configurazione del Group Update Provider, l'autore di questo documento consiglia di leggere sia quanto riportato nel forum della Symantec, What's new in Group Update Providers in RU5 release, introdotto da Aniket Amdekar, sia gli articoli Configuring Group Update Providers in Symantec Endpoint Protection 11.0 RU5 e How to analyze Debug logs from GUP to determine which clients are taking definitions from GUP scritti da Aniket Amdekar.

Come aggiornare il SEP Manager ad una nuova versione


La procedura di aggiornamento del SEP Manager ad una nuova versione piuttosto semplice. Di solito questa procedura richiede pochi minuti e non implica, di norma, il riavvio del server su cui installato il SEP Manager. L'ultima versione disponibile del SEP Manager, la versione RU6-MP1. Questa versione un aggiornamento delle versioni RU6 e RU6A, pertanto, prima di applicare l'aggiornamento alla versione RU6-MP1 bisogna prima installare la versione RU6A o la versione RU6 del SEP Manager. L'aggiornamento alla versione RU6A o alla versione RU6, pu essere fatto su tutte le versioni precedenti del SEP Manager. La procedura da seguire per aggiornare il SEP Manager ad una versione successiva la seguente: Nel corso della spiegazione, supporemo che il file Setup.exe con la nuova versione del SEP Manager si trovi nella cartella %SystemDrive%\_\Antivirus\Symantec_Endpoint_Protection\Ver_<Nuova_Versione_SEP>\Eng\CD1 \SEPM\Setup.exe collegarsi al server in cui installato il SEP Manager con un account avente diritti amministrativi; eseguire un backup della configurazione del SEP Manager: aprire il men Start, aprire la sezione All Programs, aprire la sezione Symantec Endpoint Protection Manager ed infine aprire la voce Database Backup and Restore; all'apertura delle finestra Database Backup and Restore premere il pulsante Back Up. Alla domanda Are you sure you want to back up the database? rispondere premendo il pulsante Yes; attendere qualche minuto sino a quando la procedura di backup non terminata; alla comparsa del messaggio The database has been successfully backed up to the following file ... vuol dire che la procedura di salvataggio andata a buon fine. Premere OK per terminare la procedura di salvataggio; chiudere la finestra Database Backup and Restore. disabilitare la procedura di replicazione fra il SEP Manager che si sta aggiornado e i suoi partner di replica: aprire la console di amministrazione del SEP Manager; collegarsi al SEP Manager con un utente amministrativo (ad esempio admin); all'apertura della finestra Symantec Endpoint Protection Manager Console, premere il pulsante Admin che si trova in basso a sinistra; aprire la sottosezione Servers e poi espandere la voce Local Site; espandere la voce Replication Partners. Cancellare tutte le voci che compaiono sotto la sezione Replication Partners, evidenziando la voce e premendo il pulsante Delete; confermare la cancellazione del partner di replica premendo il pulsante Yes; premere il link Log Off per usicere dalla Symantec Endpoint Protection Manager Console. fermare il servzio Symantec Endpoint Protection Manager: aprire il men Start e selezionare la voce Run...; scrivere all'interno del campo Open il comando:
services.msc

Premere OK per confermare; evidenziare il servizio Symantec Endpoint Protection Manager e premere il pulsante di Stop (quello col quadratino);

12 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

in alternativa, cliccare col pulsante destro sul servizio Symantec Endpoint Protection Manager e selezionare la voce Stop per fermare il servizio; oppure, digitare dalla Command Prompt il comando:
net stop "Symantec Endpoint Protection Manager"

procedere con l'aggiornamento del SEP Manager eseguendo il comando:


%SystemDrive%\_\Antivirus\Symantec_Endpoint_Protection\Ver_<Nuova_Versione_SEP>\Eng\CD1\SEPM\Setup.exe

e seguire il wizard dell'installazione. Di solito l'aggiornamento del SEP Manager non comporta particolari problemi (guarda il video); riabilitare le procedura di replica con i partner: aprire la console di amministrazione del SEP Manager; collegarsi al SEP Manager con un utente amministrativo; all'apertura della finestra Symantec Endpoint Protection Manager Console, premere il pulsante Admin che si trova in basso a sinistra; aprire la sottosezione Servers e poi espandere la voce Local Site; cliccare sul link Add Existing Replication Partner per aggiungere i vari partner di replica. Seguire il wizard per aggiungere i partner; modificare il percorso dei file di log di ciascun Client Install Settings che si realizzato, inserendo il nuovo percorso
%CommonProgramFiles%\SEP_11_<Nuova_Versione_SEP_Client>_Inst.log

ricreare i pacchetti d'installazione col nuovo percorso dei file di log inserito nei Client Install Settings.

Installazione del SEP Client


La pianificazione dell'installazione del SEP Client cambia ovviamente da cliente a cliente. Ad ogni modo, si dovrebbe far sempre riferimento alle seguenti linee guida: eseguire prima l'installazione del SEP Client sul server che ospita il SEP Manager; la prima installazione del SEP Client dovrebbe essere effettuata su un numero esiguo (pari a circa il 5% del numero complessivo delle postazioni di lavoro) di postazione di lavoro (no server) rappresentati le varie tipologie di postazioni che sono presenti presso il cliente. Fra queste postazioni di lavoro, ci dovrebbe essere sempre almeno un portatile. Questa prima fase d'installazione del SEP Client prende il nome d'Installazione Pilota. installare il SEP Client sui server solamente dopo aver configurato le esclusioni centralizzate dei server ed aver attentamente preso nota di ci che installato su ciascun server ( bene eseguire l'installazione sui server dopo aver svolto l'Installazione Pilota); estendere l'Installazione Pilota ad un numero maggiore di postazioni di lavoro (pari a circa il 20% del numero complessivo delle postazioni di lavoro). Questa seconda fase dell'installazione del SEP Client prende il nome d'Installazione di Pre-Produzione; trascorso qualche giorno dall'Installazione di Pre-Produzione, procedere con l'installazione massiva del SEP Client su tutte le postazioni di lavoro. Questa terza fase d'installazione del SEP Client prende il nome d'Installazione di Produzione.

Come preparare i pacchetti d'installazione dei SEP Client


La creazione dei pacchetti d'installazione andrebbe svolta solamente dopo aver configurato opportunamente il SEP Manager. Per sapere come configurare il SEP Manager, si pu consultare il paragrafo Configurazione del SEP Manager. Prima di procedere con la creazione dei pacchetti d'installazione dei SEP Client, conviene creare la seguente struttura di cartelle in cui installare i pacchetti d'installazione:
<Etichetta_Disco>:\_\SEP_Deploy\Win32\<Versione_SEP>\Server <Etichetta_Disco>:\_\SEP_Deploy\Win32\<Versione_SEP>\Portatili <Etichetta_Disco>:\_\SEP_Deploy\Win32\<Versione_SEP>\Workstation <Etichetta_Disco>:\_\SEP_Deploy\Win64\<Versione_SEP>\Server <Etichetta_Disco>:\_\SEP_Deploy\Win64\<Versione_SEP>\Portatili <Etichetta_Disco>:\_\SEP_Deploy\Win64\<Versione_SEP>\Workstation

La creazione dei pacchetti d'installazione dei SEP Client prevede tre fasi: impostare i Client Install Settings, ovvero stabilire se si desidera avere un'installazione unattended (automatica) con o senza reboot (riavvio), oppure silent con o senza reboot (riavvio); impostare i Client Install Feature Sets, ovvero decidere quali componenti del SEP Client installare; creazione dei pacchetti d'installazione. Il SEP Client composto dai seguenti componenti: Antivirus and Antispyware Protection: il motore antivirus ed antispyware, con i componenti per il controllo della posta elettronica POP3/SMTP, Microsoft Outlook e Lotus Notes; TruScan Proactive Threat Scan: il motore euristico per contrastare i virus e malware non ancora identificati all'interno delle definizioni antivirus della Symantec; Network Threat Protection: il firewall client realizzato dalla Symantec; Application and Device Control: il componente per la gestione dei dispositivi esterni, come ad esempio le chiavette USB o i masterizzatori DVD e CDRom e delle applicazioni. Come accennato in precedenza, per prima cosa, bisogna creare i seguenti Client Install Settings: aprire il SEP Manager e collegarsi con un account avente diritti amministrativi sul SEP Manager; aprire la sezione Admin cliccando sul pulsante Admin che si trova in basso a sinistra; aprire la sezione Install Packages cliccando sulla sigla Install Packages; aprire la sotto-sezione Client Install Settings cliccando sulla sigla Client Install Settings;

13 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

creare la modalit d'installazione Unattended without Reboot (immagine): cliccare sulla sigla Add Client Install Settings; inserire nel campo Name la sigla Unattended without Reboot; inserire nel campo Description una descrizione appropriata; selezionare dal men del campo Select an installation type la voce Unattended; selezionare la voce Do not restart the computer after installation; selezionare la voce Install to the default installation folder; selezionare la voce Enable installation logging ed impostare il percorso (si ricordi che la cartella specificata deve gi esistere) %CommonProgramFiles%\%COMPUTERNAME%_SEP_11_<Versione_SEP_Client>_Inst.log (ad esempio %CommonProgramFiles%\%COMPUTERNAME%_SEP_11_RU5_Inst.log); Qualora si volessero centralizzare i file di log d'installazione del SEP Client, conviene specificare un percorso UNC (Universal Naming Convention), del tipo \\<Nome_Server>\<Nome_Risorsa_Condivisa> \%COMPUTERNAME%_SEP_11_<Versione_SEP_Client>_Inst.log, ad esempio: \\RUSSEL
\LOG\%COMPUTERNAME%_SEP_11_RU5_Inst.log

selezionare la voce Add the program to the Start Menu; selezionare la voce Remove all previous logs and policies, and reset the client-server communication settings; premere il pulsante OK per confermare; creare la modalit d'installazione Silent without Reboot (immagine): cliccare sulla sigla Add Client Install Settings; inserire nel campo Name la sigla Silent without Reboot; inserire nel campo Description una descrizione appropriata; selezionare dal men del campo Select an installation type la voce Silent; selezionare la voce Do not restart the computer after installation; selezionare la voce Install to the default installation folder; selezionare la voce Enable installation logging ed impostare il percorso (si ricordi che la cartella specificata deve gi esistere) %CommonProgramFiles%\%COMPUTERNAME%_SEP_11_<Versione_SEP_Client>_Inst.log (ad esempio %CommonProgramFiles%\%COMPUTERNAME%_SEP_11_RU5_Inst.log); Qualora si volessero centralizzare i file di log d'installazione del SEP Client, conviene specificare un percorso UNC (Universal Naming Convention), del tipo \\<Nome_Server>\<Nome_Risorsa_Condivisa> \%COMPUTERNAME%_SEP_11_<Versione_SEP_Client>_Inst.log, ad esempio: \\RUSSEL
\LOG\%COMPUTERNAME%_SEP_11_RU5_Inst.log

selezionare la voce Add the program to the Start Menu; selezionare la voce Remove all previous logs and policies, and reset the client-server communication settings; premere il pulsante OK per confermare; creare la modalit d'installazione Silent with Reboot (immagine): cliccare sulla sigla Add Client Install Settings; inserire nel campo Name la sigla Silent with Reboot; inserire nel campo Description una descrizione appropriata; selezionare dal men del campo Select an installation type la voce Silent; selezionare la voce Restart the computer after installation; selezionare la voce Install to the default installation folder; selezionare la voce Enable installation logging ed impostare il percorso (si ricordi che la cartella specificata deve gi esistere) %CommonProgramFiles%\%COMPUTERNAME%_SEP_11_<Versione_SEP_Client>_Inst.log (ad esempio %CommonProgramFiles%\%COMPUTERNAME%_SEP_11_RU5_Inst.log); Qualora si volessero centralizzare i file di log d'installazione del SEP Client, conviene specificare un percorso UNC (Universal Naming Convention), del tipo \\<Nome_Server>\<Nome_Risorsa_Condivisa> \%COMPUTERNAME%_SEP_11_<Versione_SEP_Client>_Inst.log, ad esempio: \\RUSSEL
\LOG\%COMPUTERNAME%_SEP_11_RU5_Inst.log

selezionare la voce Add the program to the Start Menu; selezionare la voce Remove all previous logs and policies, and reset the client-server communication settings; premere il pulsante OK per confermare; Una volta creati i Client Install Settings, si pu procedere con la creazione dei Client Install Feature Sets: Si consiglia vivamente d'installare sempre il modulo Network Threat Protection per poi cos attivare le policy di Intrusion Prevention System che consentono di individuare e di norma impedire l'infezione di certi malware, come ad esempio il Conficker, o i Fake-Antivirus. Per maggiori informazioni sui Fake-Antivirus, si pu consultare il documento Trojan.Fake-AV della Symantec. aprire la sotto-sezione Client Install Feature Sets cliccando sulla sigla Client Install Feature Sets; creare l'insieme di caratteristiche del SEP Client per i server, SEP Server Standard (immagine): cliccare sulla sigla Add Client Install Feature Set ..; inserire nel campo Name la sigla SEP Server Standard; inserire nel campo Description una descrizione appropriata; selezionare la voce Antivirus and Antispyware Protection; togliere il segno di selezione da tutte le altre voci; premere il pulsante OK per confermare; creare l'insieme di caratteristiche del SEP Client per le postazioni fisse, SEP Workstation Standard (immagine): cliccare sulla sigla Add Client Install Feature Set ..; inserire nel campo Name la sigla SEP Workstation Standard; inserire nel campo Description una descrizione appropriata; selezionare la voce Antivirus and Antispyware Protection; selezionare la voce Antivirus Email Protection; selezionare la voce POP3/SMTP Scanner; selezionare, eventualmente, o la voce Microsoft Outlook Scanner, se sulle postazioni si trova il programma Microsoft Outlook, o la voce Lotus Notes Scanner, se sulle postazioni si trova il programma IBM Lotus Notes;

14 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

selezionare la voce Network Threat Protection; selezionare la voce TruScan Proactive Threat Scan; togliere il segno di selezione da tutte le altre voci; premere il pulsante OK per confermare; creare l'insieme di caratteristiche del SEP Client per le postazioni mobili (laptop), SEP Portatili Standard (immagine): cliccare sulla sigla Add Client Install Feature Set ..; inserire nel campo Name la sigla SEP Portatili Standard; inserire nel campo Description una descrizione appropriata; selezionare la voce Antivirus and Antispyware Protection; selezionare la voce Antivirus Email Protection; selezionare la voce POP3/SMTP Scanner; selezionare, eventualmente, o la voce Microsoft Outlook Scanner, se sulle postazioni si trova il programma Microsoft Outlook, o la voce Lotus Notes Scanner, se sulle postazioni si trova il programma IBM Lotus Notes; selezionare la voce TruScan Proactive Threat Scan; selezionare la voce Network Threat Protection; togliere il segno di selezione da tutte le altre voci; premere il pulsante OK per confermare; Una volta creati sia i Client Install Settings sia i Client Install Feature Sets, si pu procedere con la creazione dei pacchetti d'installazione delle varie tipologie di SEP Client, per i server, per le postazioni mobili e per le postazioni fisse: Le operazioni che verranno indicate di seguito dovranno venire eseguite per creare almeno un pacchetto d'installazione per i server, per le workstation e per i portatili. Idealmente, per le postazioni workstation ed i portatili andrebbero creati sia pacchetti che prevedeno un installazione di tipo automatico (unattended), sia pacchetti che prevedeno un installazione di tipo silente (silent). Per i server, invece, non andrebbe creato nessun pacchetto d'installazione che preveda un'installazione di tipo silente (silent), a meno che il numero di server non sia cos elevato che l'unico modo per installare in modo proffittevole il SEP Client, sia quello di procedere con un'installazione di tipo push. aprire il SEP Manager e collegarsi con un account avente diritti amministrativi sul SEP Manager; aprire la sezione Admin cliccando sul pulsante Admin che si trova in basso a sinistra; aprire la sezione Install Packages cliccando sulla sigla Install Packages; evidenziare, nella colonna Package Name la versione del SEP che si vuole installare sulle varie postazioni server e di lavoro; cliccare sulla voce Export Client Install Package ... che si trova sulla sinistra nella sezione Tasks; nella finestra Export Package accertarsi che siano selezionate le voci (immagine): Create a single .EXE file for this package; Export a managed client; Export packages with policices from the following groups; Add clients automatically to the selected group; Computer mode; dal men a tendina della voce Pick the customized installation settings below, selezionare la modalit d'installazione (ad esempio Unattended without Reboot): Unattended without Reboot: va selezionata ogni qual volta si vuole creare un pacchetto d'installazione per i server. Questa selezione va bene anche per le postazioni di lavoro (workstation e laptop), anche se per i pacchetti d'installazione relativi alle installazioni massive va selezionata la voce Silent without Reboot; Silent without Reboot: va selezionata per i pacchetti d'installazione relativi alle postazioni di lavoro, da utilizzare per le installazioni di tipo massivo; Silent with Reboot: da utilizzare esclusivamente per le postazioni di lavoro e mai per i server; dal men a tendina Select the features you want to use, selezionare la tipologia di pacchetto che si vuole realizzare: SEP Server Standard: se si vuole creare un pacchetto d'installazione per i server; SEP Workstation Standard: se si vuole creare un pacchetto d'installazione per le workstation; SEP Portatili Standard: se si vuole creare un pacchetto d'installazione per i portatili; selezionare il gruppo in cui si vuole che la macchina in cui viene installato il pacchetto del SEP venga inserita: Server: per il pacchetto d'installazione dei server; Workstation: per il pacchetto d'installazione destinato alle workstation; Portatili: per il pacchetto d'installazione destinato ai portatili (laptop); facendo uso del pulsante Browse, inserire nel campo di testo Export Folder il percorso di destinazione del pacchetto: <Etichetta_Disco>:\_\SEP_Deploy\Win32\<Versione_SEP>\Server o <Etichetta_Disco>:\_\SEP_Deploy\Win64 \<Versione_SEP>\Server: per i pacchetti d'installazione dei server; <Etichetta_Disco>:\_\SEP_Deploy\Win32\<Versione_SEP>\Workstation o <Etichetta_Disco>:\_\SEP_Deploy\Win64 \<Versione_SEP>\Workstation: per i pacchetti d'installazione delle postazioni fisse (workstation); <Etichetta_Disco>:\_\SEP_Deploy\Win32\<Versione_SEP>\Portatili o <Etichetta_Disco>:\_\SEP_Deploy\Win64 \<Versione_SEP>\Portatili: per i pacchetti d'installazione dei portatili (laptop); premere il pulsante OK per avviare la procedura di creazione del pacchetto (immagine); al termine della procedura di creazione dei pacchetti, qualora fosse andata a buon fine, all'interno della cartella specificata nella voce Export Folder, sar stata creata una cartella contenente il file d'installazione Setup.exe, rinominare questa la cartella con uno dei seguenti nomi: Automatica_No_Riavvio se si utilizzato come installation settings la voce Unattended without Reboot; Silente_No_Riavvio se si utilizzato come installation settings la voce Silent without Reboot; Silente_Con_Riavvio se si utilizzato come installation settings la voce Silent with Reboot; Ricordarsi di non rinominare il file Setup.exe altrimenti non si riesce pi ad utilizzare il Push Deployment Wizard. Una volta creati i pacchetti d'installazione, si pronti per installare sui server e sulle varie postazioni di lavoro il SEP Client.

Come installare il SEP Client


La Symantec mette a disposizione diveri metodi per installare o aggiornare il SEP Client.

15 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

Prima di procedere con l'installazione, bisogna preparare i pacchetti da installare sulle varie postazioni di lavoro o sui server. A prescindere da quale sia il metodo utilizzato per installare il SEP Client, conviene, prima dell'installazione del SEP Client, qualora si fosse deciso di installare i componenti Microsoft Outlook Scanner per il controllo dei messaggi di posta elettronica che si inviano e si ricevono col programma Microsoft Outlook, chiudere il programma Microsoft Outlook. In caso contrario o si verificano dei problemi con la rimozione del vecchio programma antivirus SAV Client, oppure la procedura d'installazione del SEP Client non si avvia regolarmente. Conviene poi aggiornare la versione di Microsoft Office presente sulle varie postazioni, all'ultima Service Pack disponibile, in particolar modo per le versioni 2000, 2002 ed XP di Microsoft Office, altrimenti si potrebbero verificare dei problemi con i file allegati ai messaggi di posta elettronica quando questi vengono letti con Microsoft Outlook, come riportato nel documento della Symantec Unable to open or save attachments with Outlook 2002 with Outlook AutoProtect turned on. Qualora si dovesse installare il componente Lotus Notes, per svolgere i controlli sulla posta elettronica inviata e ricevuta dal programma omonimo Lotus Notes, bisogna, prima d'installare il SEP Client, accertarsi che il programma Lotus Notes sia chiuso, altrimenti o l'installazione del SEP Client non va a buon fine, oppure il processo d'installazione del SEP Client stesso non riesce ad avviarsi regolarmente. metodo Push (Push Deployment Wizard): con questo metodo possibile lanciare l'installazione del SEP Client su pi postazione di lavoro contemporaneamente. Questa metodologia d'installazione, infatti, viene utilizzata di solito per installazioni di tipo massivo. Per sfruttare questo metodo d'installazione bisogna utilizzare il programma Push Deployment Wizard che la Symantec mette a corredo del SEP. Quando si utilizza questa metodologia d'installazione, bene utilizzare pacchetti d'installazione che prevedono il metodo d'installazione Silent, in quanto col metodo Unattended pu darsi che venga chiesto, quando si esegue un aggiornamento da una versione del SEP Client ad una pi recente, se conservare o meno i file in quarantena. Sino a quando non viene fornita una risposta, la procedura d'installazione, seppur automatica, non va avanti. Questo inconveniente non si presente con i pacchetti che utilizzano il metodo Silent, i file nella quarantena vengono tacitamente conservati. Si osservi che questa procedura d'installazione non richiede che la persona che sta operando su una data postazione di lavoro quando viene eseguita la procedura d'installazione del SEP Client, debba avere dei diritti amministrativi sulla postazione su cui sta operando. Il Push Deployment Wizard si trova all'interno del cdrom numero due, all'interno della cartella Tools. Conviene copiare la cartella PushDeploymentWizard all'interno della stessa cartella in cui si trovano i pacchetti da installare sulle varie postazioni di lavoro, ad esempio nella cartella <Etichetta_Disco>:\_\SEP_Deploy. Per utilizzare il Push Deployment Wizard, basta seguire la seguente procedura: eseguire il comando:
<Etichetta_Disco>:\_\SEP_Deploy\PushDeploymentWizard\ClientRemote.exe

una volta apparsa la schermata di benvenuto, premere il pulsante Next per andare avanti; facendo uso del pulsante Browse, inserire nel campo Specify the folder containg the client software you wish to deploy. Ad esempio, se si desidera installare il SEP Client su una Workstation a 32bit, si pu selezionare il pacchetto <Etichetta_Disco>:\_\SEP_Deploy\Win32\<Versione_SEP>\Workstation\Silente_Con_Riavvio. Per selezionare un pacchetto d'installazione, bisogna selezionare la cartella che contiene il file Setup.exe, non il file Setup.exe direttamente. se si vuole aumentare o diminuire il numero di SEP Client da installare contemporaneamente, aumentare o diminuire il valore del campo Specify the maximum number of concorrent deployments. Premere il pulsante Next per andare avanti; facendo uso della sezione Available Computers si possono selezionare i vari computer su cui installare il pacchetto del SEP Client selezionato in precedenza. Una volta selezionata la postazione, si deve premere il pulsante Add per aggiungerla alla lista delle postazioni (Computers to deploy to) su cui installare il pacchetto del SEP Client selezionato. Di solito, per, pi conveniente e rapido utilizzare il pulsante Add or Import Computer; se si premuto il pulsante Add or Import Computer, all'interno della finestra dal titolo Add or Import Computer si possono selezionare le postazioni su cui installare il SEP Client o per IP Address, oppure per Host Name. Una volta impostato IP Address o l'Host Name, premere il pulsante Add per aggiungere la postazion all'elenco Computers adds. In alternativa al IP Address o all'Host Name, si pu importare un file di testo contenente la lista delle postazioni su cui installare il SEP Client, selezionando l'opzione File containing hosts names and IP addresses ed ultilizzando il pulsante Browse per individuare il file di testo contenente la lista delle postazioni; Il file di testo contenente l'elenco delle postazioni deve essere composto da un unica colonna, in cui in ogni riga viene riportato il nome FQDN di ciascuna postazione di lavoro. una volta impostato l'elenco delle postazioni da importare, premere il pulsante OK per andare avanti; tornati alla finestra Push Deployment Wizard premere il pulsante Finish per avviare la procedura d'installazione. Se lo si desidera, si pu visualizzare il file di log relativo alla copia dei vari pacchetti del SEP Client sulle postazioni di lavoro selezionate durante l'utilizzo del Push Deployment Wizard. Il metodo Push particolarmente comodo quando si devono installare delle postazioni remote. In questo caso conviene copiare su una postazione Windows 2000/XP/2003 di cui si pu prendere il controllo remoto via RDP, i pacchetti da installare del SEP Client sulle postazioni remote. Copiare, possibilmente nella stessa cartella in cui si sono copiati i pacchetti da installare del SEP Client, la cartella PushDeploymentWizard contenete il programma Push Deployment Wizard. Prendendo il controllo remoto della postazione in cui si sono copiati i pacchetti da installare del SEP Client, eseguire il comando ClientRemote.exe e sfruttando il Push Deployment Wizard provvedere ad installare il SEP Client sulle postazioni remote. Il Push Deployment Wizard non consente di vedere se l'installazione dei vari pacchetti del SEP Client va a buon fine o meno. Per ottenere questa informazioni si deve o tenere sottocontrollo i vari gruppi del SEP Manager per vedere quando le postazioni destinatarie dei vari pacchetti d'installazione del SEP Client lanciati col Push Deployment Wizard compaiono, oppure si devono consultare i vari file di log relativi all'installazione dei vari pacchetti del SEP Client. Qualora si decidesse di utilizzare questo secondo metodo, converrebbe accentrare in un unico percorso UNC,

16 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

tutti i file di log dei vari pacchetti del SEP Client. Per far questo, bisogna modificare il campo Enable installation logging (immagine) di ciascun Client Install Settings relativo ai vari pacchetti da installare del SEP Client da eseguire durante il Push Deployment Wizard. metodo Pull: questo metodo da preferire quando l'installazione del SEP Client viene effettuata su dei server o su Windows Vista o quando si desidera installare solamente una singola postazione di lavoro. Il metodo consiste nel collegarsi alla postazione su cui si vuole installare il SEP Client, con un utente avente diritti amministrativi sulla postazione stessa, accedere al percorso di rete \\<Nome_NetBIOS_SEP_Manager_Server>\SEP_Deploy, individuare il pacchetto d'installazione che si desidera eseguire (ad esempio \\<Nome_NetBIOS_SEP_Manager_Server>\SEP_Deploy\Win32\<Versione_SEP>\Server\Automatica_No_Riavvio \Setup.exe) ed eseguirlo. L'installazione del SEP Client verr effettuata nella modalit specificata dal pacchetto d'installazione, ovvero Automatica, sullo schermo comparir una barra di scorrimento che informa sullo stato di avanzamento dell'installazione, o Silente, sullo schermo non apparir nessuna indicazione sullo stato d'avanzamento dell'installazione, in questo secondo caso, ci si potr rendere conto che l'installazione del SEP Client terminata o consultando il file di log dell'installazione, %CommonProgramFiles%\SEP_11_<Versione_SEP_Client>_Inst.log, oppure osservando la comparsa dello scudo giallo con pallino verde all'interno della system tray di Windows. Se si desidera utilizzare i meccanismi di distribuzione del software messi a disposizione da Active Directory per l'installazione del SEP Client, si pu consultare l'articolo di Jeff Vandervoort Startup Scripts and SylinkDrop Better Together.

Installazione del SEP Client su Windows Vista


Il SEP Client supporta pienamente la famiglia dei sistemi operativi Microsoft Windows Vista. Nel corso di questo articolo, prenderemo in considerazione solamente le postazioni Windows Vista che fanno parte di un Dominio Active Directory, ovvero che non si trovano ad operare in modalit Workgroup. Il modo pi semplice per installare il SEP Client su una postazione Windows Vista quello di utilizzare il metodo Pull. Prima di procedere con l'installazione del SEP Client su una postazione con Windows Vista, assegnare una password all'utente Administrator locale della macchina, in quanto, per impostazione predefinita, l'utente Administrator risulta privo di password. Per maggiori informazioni su come installare il SEP Client su Windows Vista, si pu consultare il documento Network Antivirus Training al paragrafo Preparing Computers That Run Windows Vista For Remote Client Deployment. Si osservi che qualora si utilizzi il metodo Push per l'installazione del SEP Client e si scelga un pacchetto del SEP Client che esegue un'installazione di tipo automatica (unattended), la barra di scorrimento relativa all'installazione automatica del SEP Client non compare a video. Pertanto, qualora si utilizzi il metodo Push per installare il SEP Client sulle postazioni Windows Vista, meglio utilizzare solamente pacchetti d'installazione del SEP Client che eseguono installazioni di tipo silente (Silent).

Installazione del SEP Client su Windows 7


Solamente la versione del RU5 del SEP Client compatibile con Windows 7. Tutte le versioni antecedenti alla versione RU5 (ovvero dalla MR4 MP2 in gi) non possono venire installate su Windows 7. Di norma l'installazione del SEP Client sulle postazioni con Windows 7 non comporta problemi. bene sottolineare, per, che esiste un caso in cui si possono presentare dei problemi. Il programma Live Update presente nel SEP Manager, in grado di scaricare le nuove versioni del Symantec Endpoint Protection, compresa anche la versione RU5. stato per riscontrato che le versioni precedenti alla RU5 del SEP Manager, seppur in grado di scaricare correttamente il pacchetto d'installazione del SEP Client aggiornato alla versione RU5, non sono in grado di aggiornare la versione del Live Update presente nel pacchetto d'installazione del SEP Client RU5 scaricato. Questo comporta dei problemi durante l'installazione del LiveUpdate presente nel pacchetto SEP Client RU5 sulle postazioni di lavoro con Windows 7 e sui server con Windows 2008 R2 (queste versioni del sistema operativo richiedono una versione aggiornata del LiveUpdate che si trova solamente all'interno dei cdrom d'installazione del SEP aggiornato alla versione RU5). Per le nuove installazioni del SEP Manager RU5, questo problema non si presenta. Il problema si presenta solamente negli aggironamenti dalle versioni precedenti alla RU5, alla versione RU5 del SEP Manager, per le quali il pacchetto d'installazione del SEP Client RU5 risulta gi scaricato in precedenza tramite il LiveUpdate. Per maggiori informazioni, si pu leggere il seguente Blog della Symantec: How To Install SEP Client on Windows 7 Per risolvere i problemi legati al Live Update, durante l'installazione del SEP Client RU5 sulle postazioni di lavoro con Windows 7 e sui server con Windows 2008 R2, si pu procedere come indicato di seguito: installare manualmente il LiveUpdate, eseguendo il file LUSetUp.exe che si trova nella cartella SEP del primo cdrom d'installazione del SEP Manager; riavviare la postazione su cui si appena installato il LiveUpdate; procedere con l'installazione del SEP Client. Questa soluzione, ovviamente, non pu essere applicata in modo massivo, ovvero durante un'installazione intensiva del SEP Client RU5 su un numero elevato di postazioni di lavoro. In questi casi, si possono seguire i suggerimenti indicati all'interno del Blog della Symantec: How To Install SEP Client on Windows 7 Qualora, consultando il file di log dell'installazione del SEP Client, dovessero comparire dei messaggi d'errore simili a questo:
LUCA: InstallLiveUpdate enter. LUCA: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ZLIUCRWD\LiveUpdate\lucheck.exe LUCA: InstallLiveUpdate : CreateProcessAndWait( LUCHECK.EXE ) returned 206 Action ended 17:36:22: InstallFinalize. Return value 3.

17 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

Dove viene riportato il codice d'errore 206, bene leggere quanto riportato nella seguente Knowledge Base della Symantec: Installation rollback for Symantec Endpoint Protection Client, LuCheck.exe returning value 206.

Installazione del SEP Client in un Terminal Server


Sui server che svolgono il ruolo di Terminal Server va installato solamente le versioni del SEP Client superiore alla MR3 (le versioni precedenti hanno un baco di funzionamento che aumenta indiscriminatamente l'utilizzo del processore, come riportato nella Knowledge Base della Symantec Terminal Server Resources Consumed by Multiple Instances SEP Processes). L'installazione del SEP Client va effettuata in modalit Terminal Server, ovvero seguendo la procedura riportata di seguito: Nel corso della spiegazione faremo riferimento all'installazione del pacchetto \\<Nome_Server_SEP_Manager> \SEP_Deploy\Win32\<Versione_SEP>\Server\Automatica_No_Riavvio\Setup.exe che si riferisce all'installazione di un server, in modalit automatica, senza che venga eseguito il riavvio della macchina in automatico. La spiegazione che riportiamo si riferisce ad un Terminal Server su Windows 2003 R2. Qualora si debba svolgere l'installazione del SEP Client su di un Terminal Server su Windows 2000, prima di avviare l'installazione del SEP Client, bisogna eseguire dalla Command Prompt il comando change user /install al termine della procedura d'installazione del SEP Client, bisogna invece eseguire il comando change user /execute Per maggiori informazioni, si pu consultare la Knowledge Base della Microsoft KB320185. collegarsi al server che svolge la mansione di Terminal Server in modalit console, con un utente avente diritti amministrativi sul server; dal men Start, selezionare la voce Control Panel e poi la voce Add or Remove Programs; all'apertura della finestra dal titolo Add or Remove Programs, premere il pulsante sulla sinistra chiamato Add New Programs; premere poi il pulsante CD or Floppy; all'apertura della finestra Install Program from Floppy Disk or CD-Rom, premere il pulsante Next per andare avanti; nella casella di testo Open, facendo uso del pulsante Browse, impostare il percorso del file Setup.exe da cui installare il SEP Client, ad esempio: \\<Nome_Server_SEP_Manager>\SEP_Deploy\Win32\<Versione_SEP>\Server\Automatica_No_Riavvio \Setup.exe; premere il pulsante Next per avviare l'installazione, a prescindere poi dall'esito dell'installazione, premere il pulsante Finish. Se tutto va bene, l'installazione del SEP Client dovrebbe richiedere pochi minuti. Di solito, al termine dell'installazione del SEP Client, bene eseguire un riavvio del server. Per evitare un utilizzo eccessivo delle risorse hardware dei Terminal Server da parte del SEP Client, conviene modificare il registro di Windows nel seguente modo: creare la chiave DWORD: HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\LaunchSmcGui ed assegnargli il vaore 0. In questo modo si evita di avere in esecuzione molteplici istanze dell'interfaccia grafica del SEP (corrispondenti al processo SmcGui.exe); cancellare la chiave di registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp sulle postazioni Windows a 32bit, la chiave HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\ccApp sulle postazioni Windows a 64bit. In questo modo si evita che venga eseguito all'avvio di ogni sessione terminal il programma ccApp.exe che si preoccupa del controllo dei messaggi di posta elettronica. Qualora sul Terminal Server fosse stato installato il servizio UPHClean, risulta conveniente, per evitare inutili segnalazioni dal parte della Tamper Protection del SEP Client, introdurre la seguente eccezione all'interno della sezione Tamper Protection Exception dell'esclusione centralizzata HW Server Centralized Exceptions: Per maggiori informazioni sul programma UPHClean si pu consultare il blog della Microsoft ad esso dedicato: UPHClean and other profile ramblings. Il programma UPHClean pu venire scaricato direttamente dal sito della Microsoft. Si osservi che recentemente la Microsoft ha provveduto a ritirare il programma UPHClean. collegarsi al SEP Manager con un account amministrativo (admin va pi che bene); aprire la sezione Policies, nella colonna View Policies selezionare la voce Centralized Excpetions; fare doppio clic sull'eccezione HW Server Centralized Exceptions; all'apertura della HW Server Centralized Exceptions andare nella sezione Centralized Excpetions; premere il pulsante Add, selezionare la voce Tamper Protection Exception; dal men a tendina del campo Prefix variable, selezionare la voce [PROGRAM_FILES] (immagine); inserire nella casella di testo File (include full path) il percorso \UPHClean\uphclean.exe e confermare premendo il pulsante OK; premere il pulsante OK che si trova nella finestra HW Server Centralized Exceptions; uscire dal SEP Manager cliccando sul URL Log Off in alto a destra; Per maggiori informazioni si pu consultare l'articolo della Symantec SEP Client on Terminal Servers.

Installazione del SEP Client in un Microsoft Cluster


Il SEP Client si pu installare senza problemi su un sistema Microsoft Cluster (High Availability/Failover Clustering). Trattandosi di un Microsoft Cluster, probabile che le risorse ospitate dal Microsoft Cluster si trovino distrubite su uno o pi nodi del clutser. L'installazione del SEP Client va fatta un nodo per volta e sul nodo in cui si vuole installare il SEP Client, non ci devono essere risorse attive. I passi da seguire per installare il SEP Client sono: Prima di procedere con l'installazione del SEP Client su un server che fa parte di un Microsoft Cluster, conviene modificare la politica HW Server Centralized Exceptions di modo che vengano escluse la cartella %Windir%\Cluster, la cartella in cui si trova il File Share Witness, qualora sul Microsoft Cluster sia installato Microsoft Exchange 2007 e il Quorum Disk del sistema cluster. 1. spostare tutte le risorse attive su un nodo diverso da quello in cui si vuole installare il SEP Client. Per comodit, chiameremo il

18 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

nodo privo di risorse attive del Microsoft Cluster col nome di Nodo Passivo (pi in generale, indicheremo col nome Nodo Passivo anche il server del cluster su cui si appena installato il SEP Client); 2. disabilitare il processo di Fail Back Automatico sulle risorse del cluster che hanno come nodo principale il Nodo Passivo (immagine); 3. procedere con l'installazione del SEP Client sul Nodo Passivo; Il SEP Client va installato in una risorsa locale del Nodo Passivo, ovvero non condivisa all'interno delle risorse messe in cluster. Ad esempio, all'interno dello stesso disco in cui si trova la cartella d'installazione di Windows (%Windir%). Se l'installazione del SEP Client viene fatta in modalit Push, bisogna far puntare il pacchetto d'installazione al nome FQDN o all'indirizzo IP del Nodo Passivo e non al nome FQDN o all'indirizzo IP delle risorse clusterizzate. 4. escludere dai processi di scansione del modulo Auto-Protect del SEP Client installato sul Nodo Passivo la cartella %Windir%\Cluster; 5. escludere dai processi di scansione del modulo Auto-Protect del SEP Client installato sul Nodo Passivo il Quorum Disk; 6. se sul Microsoft Cluster installato Microsoft Exchange 2007 in modalit cluster, escludere dai processi di scansione del modulo Auto-Protect del SEP Client installato sul Nodo Passivo la cartella che contiene il File Share Witness (tipicamente questa cartella si trova sul server che ricopre il ruolo di Hub Transport Server); 7. riavviare il Nodo Passivo qualora la procedura d'installazione del SEP Client non lo abbia gi fatto; 8. spostare le risorse attive del cluster che hanno il Nodo Passivo come nodo principale; 9. riattivare, qualora la configurazione del Microsoft Cluster lo prevedeva, il Fail Backup Automatico delle risorse del cluster cha hanno il Nodo Passivo come nodo principale; 10. ripetere tutti i punti precedenti per tutti i nodi del cluster. Per maggiori informazioni sull'installazione del SEP Client sui server che compongono un Microsoft Cluster, si possono consultare le seguenti Knowledge Base della Symantec: Installing SEP Client to MS Cluster Server e Preventing SEP Scanning Microsoft Exchange Cluster.

Installazione del SEP Client in un server con MS Exchange 2003/2007


Il SEP Client, a partire dalla versione MR3, risulta perfettamente compatibile coi programmi Microsoft Exchange 2003 e Microsoft Exchange 2007. In particolare, il SEP Client da considerarsi un programma antivirus Exchange-Compatibile, ovvero in grado di riconoscere la presenza del programma MIcrosoft Exchange e di escludere, in automatico, i file e le cartelle fondamentali per il corretto funzionamento del programma MIcrosoft Exchange. La Microsoft ha messo a disposizione un documento, File-Level Antivirus Scanning on Exchange 2007 in cui vegono riportate le cartelle ed i file da escludere dalla scansioni in real-time dei programmi antivirus. Il SEP Client in grado di procedere, in modo automatico, alla configurazione di queste esclusioni, sia per il programma Microsoft Exchange 2003, sia per il programma Microsoft Exchange 2007. Per accertarsi che al termine dell'installazione del SEP Client, le escluisoni riportate nel documento File-Level Antivirus Scanning on Exchange 2007 siano operative, basta controllare il registro del server che ospita il programma Microsoft Exchange: Si ricordi che sui sistemi server, va installato il SEP Client contenente solamente il pacchetto SEP Server Standard. terminata l'installazione del SEP Client, collegarsi al server in cui installato il programma Microsoft Exchange con le credenziali di un utente avente diritti amministrativi sul server stesso; aprire il men Start e selezionare la voce Run... digitare nella casella di testo il comando:
regedit

premere il pulsante OK per aprire l'editor del registro di Windows; se il server su cui installato il programma Microsoft Exchange a 32bits bisogna aprire le seguenti chiavi di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Exclusions\Exchange Server\FileExceptions HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Exclusions\Exchange Server\NoScanDir ed accertarsi che il contenuto delle chiavi di registro citate corrisponda a quanto riportato nel documento File-Level Antivirus Scanning on Exchange 2007; se il server su cui installato il programma Microsoft Exchange a 64bits bisogna aprire le seguenti chiavi di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions \Exchange Server e accertarsi che siano presenti le seguenti due chiavi DWORD: HaveExceptionFiles impostata ad 1; HaveExceptionDirs impostata ad 1; HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions \Exchange Server\FileExceptions HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions \Exchange Server\NoScanDir ed accertarsi che il contenuto delle chiavi di registro citate corrisponda a quanto riportato nel documento File-Level Antivirus Scanning on Exchange 2007; Per un server a 32bits in cui installato Microsoft Exchange 2003, le chiavi di registro citate dovrebbero avere contenuti simili ai seguenti: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Exclusions\Exchange Server\FileExceptions:
"C:\\Program "C:\\Program "C:\\Program "C:\\Program "C:\\Program Files\\Exchsrvr\\SRSDATA\\srs.edb"=dword:00000000 Files\\Exchsrvr\\SRSDATA\\temp.edb"=dword:00000000 Files\\Exchsrvr\\ZSELENE.log"=dword:00000000 Files\\Exchsrvr\\mdbdata\\priv1.edb"=dword:00000000 Files\\Exchsrvr\\mdbdata\\priv1.stm"=dword:00000000

19 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

"C:\\Program Files\\Exchsrvr\\mdbdata\\pub1.edb"=dword:00000000 "C:\\Program Files\\Exchsrvr\\mdbdata\\pub1.stm"=dword:00000000

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Exclusions\Exchange Server\NoScanDir:


"C:\\Program Files\\Exchsrvr\\MDBDATA"=dword:00000000 "C:\\Program Files\\Exchsrvr\\mtadata"=dword:00000000 "C:\\Program Files\\Exchsrvr\\SRSDATA"=dword:00000000 "C:\\WINDOWS\\system32\\inetsrv"=dword:00000000 "C:\\WINDOWS\\TEMP\\gthrsvc"=dword:00000000 "C:\\Program Files\\Symantec\\SMSMSE\\5.0\\Server\\Quarantine"=dword:00000001 "C:\\Program Files\\Symantec\\SMSMSE\\5.0\\Server\\Temp"=dword:00000001 "C:\\Program Files\\Exchsrvr\\Mailroot\\vsi 1\\BadMail"=dword:00000000 "C:\\Program Files\\Exchsrvr\\Mailroot\\vsi 1\\PickUp"=dword:00000000 "C:\\Program Files\\Exchsrvr\\Mailroot\\vsi 1\\Queue"=dword:00000000 "C:\\Program Files\\Exchsrvr"=dword:00000000

Per un server a 64bits in cui installato Microsoft Exchange 2007, le chiavi di registro citate dovrebbero avere contenuti simili ai seguenti: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions \Exchange Server\FileExceptions:
"C:\\Program Files\\Microsoft\\Exchange Server\\Mailbox\\First Storage Group\\Mailbox Database.edb"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\Mailbox\\Second Storage Group\\Public Folder Database.edb"=dword:00000000

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions \Exchange Server\NoScanDir:


"C:\\Program Files\\Microsoft\\Exchange Server\\Bin"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\ClientAccess"=dword:00000001 "C:\\Program Files\\Microsoft\\Exchange Server\\ExchangeOAB"=dword:00000001 "C:\\Program Files\\Microsoft\\Exchange Server\\Logging\\Managed Folder Assistant"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\Mailbox"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\Mailbox\\First Storage Group"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\Mailbox\\Mailroot\\vsi 1\\BadMail"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\Mailbox\\Mailroot\\vsi 1\\PickUp"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\Mailbox\\Mailroot\\vsi 1\\Queue"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\Mailbox\\MDBTemp"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\Mailbox\\Second Storage Group"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Data\\IpFilter"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Data\\Queue"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Data\\SenderReputation"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Logs"=dword:00000001 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Logs\\Connectivity"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Logs\\MessageTracking"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Logs\\PipelineTracing"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Logs\\ProtocolLog\\SmtpReceive"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Logs\\ProtocolLog\\SmtpSend"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Logs\\Routing"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Pickup"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\TransportRoles\\Replay"=dword:00000000 "C:\\Program Files\\Microsoft\\Exchange Server\\Working\\OleConverter"=dword:00000000 "C:\\WINDOWS\\IIS Temporary Compressed Files"=dword:00000000 "C:\\WINDOWS\\system32\\inetsrv"=dword:00000000

Verifiche post-installazione del SEP Client


Una volta terminata l'installazione del SEP Client, bene svolgere qualche piccola verifica per accertarsi che l'installazione sia andata a buon fine: verificare che compaia, nella System Tray di Windows, uno scudetto giallo con un pallino verde (il pallino verde sta ad indicare che la comunicazione col SEP Manager funzionante); accertarsi che la comunicazione col SEP Manager sia operativa, pertanto aprire uno qualunque dei browser presenti sulla postazione (Internet Explorer o Firefox vanno benissimo) ed inserire, in sequenza, i seguenti URL: http://<Indirizzo_IP_SEP_Manager>:<Porta_Ascolto_Sito_Web_SEP_Manager>/secars/secars.dll?hello,secars http://<Nome_FQDN_SEP_Manager>:<Porta_Ascolto_Sito_Web_SEP_Manager>/secars/secars.dll?hello,secars http://<Nome_NetBIOS_SEP_Manager>:<Porta_Ascolto_Sito_Web_SEP_Manager>/secars/secars.dll?hello,secars Se compare una pagina web col messaggio OK, vuol dire che il collegamento verso il SEP Manager funziona correttamente; verificare che il SEP Client abbia caricato la giusta policy: cliccare col pulsante destro del mouse sopra lo scudetto giallo con un pallino verde e selezionare la voce Open Symantec Endpoint Protection; all'apertura della finestra Symantec Endpoint Protection, premere il pulsante giallo in alto a destra chiamato Help and Support e selezionare la voce Troubleshouting ...; all'apertura della finestra Troubleshouting, selezionare sulla sinistra la voce Management e verificare che le impostazioni riportate all'interno delle voci Server, Group e Location siano quelle corrette; premere il pulsante Close per chiudere la finestra Troubleshouting. verificare la modalit di aggiornamento del SEP Client: aprire la chiave di registro HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\LiveUpdate controllare il valore della chiave UseLiveUpdateServer, se impostato a 1 allora l'aggironamento del SEP Client e delle definizioni antivirus, viene effettuato via Internet (Symantec LiveUpdate); controllare il valore della chiave UseManagementServer, se impostato a 1 allora l'aggironamento del SEP Client e delle definizioni antivirus, viene effettuato tramite il SEP Manager; controllare il valore della chiave UseMasterClient, se impostato a 1 allora l'aggironamento del SEP Client e delle definizioni antivirus, viene effettuato tramite il Group Update Provider; Accertarsi che la configurazione delle chiavi di registro UseLiveUpdateServer, UseManagementServer e UseMasterClient, sia in linea con la configurazione impostata sul SEP Client analizzato;

20 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

qualora la chiave di registro HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\LiveUpdate \UseMasterClient abbia valore 1, verificare il contenuto delle chiavi MasterClientHost e MasterClientPort per accertarsi che i valori riportati siano quelli corretti. La chiave MasterClientHost contiene il nome FQDN o l'indirizzo IP del SEP Client che svolge le mansioni di Group Update Provider. La chiave MasterClientPort contiene la porta in cui resta in ascolto il mini-server HTTP del Group Update Provider; sulle postazioni designate a svolgere la mansione di Group Update Provider, verificare che venga creata ed opportunamente popolata, la cartella %ProgramFiles%\Symantec\Symantec Endpoint Protection\ShareUpdates; controllare il contenuto delle chiavi di registro (per le postazioni a 32bits): HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Exclusions\ScanningEngines \Directory\Admin HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Exclusions\ScanningEngines \Extensions\Admin\Extensions\Exts e verificare che il loro contenuto sia in linea con le impostazioni riportate nelle eccezzioni centralizzate HW Client Centralized Exceptions (No SysAdmin), HW Client Centralized Exceptions (For SysAdmin) o HW Server Centralized Exceptions; controllare il contenuto delle chiavi di registro (per le postazioni a 64bits): HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions \ScanningEngines\Directory\Admin HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions \ScanningEngines\Extensions\Admin\Extensions\Exts e verificare che il loro contenuto sia in linea con le impostazioni riportate nelle eccezzioni centralizzate HW Client Centralized Exceptions (No SysAdmin), HW Client Centralized Exceptions (For SysAdmin) o HW Server Centralized Exceptions; controllare se il device driver SPBBCDrv stato installato ed in esecuzione: dalla Command Prompt eseguire il seguente comando:
sc query SPBBCDrv

verificare che compaia la scritta seguente:


SERVICE_NAME: SPBBCDrv TYPE STATE WIN32_EXIT_CODE SERVICE_EXIT_CODE CHECKPOINT WAIT_HINT : 1 : 4 : : : : 0 0 0x0 0x0 KERNEL_DRIVER RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) (0x0) (0x0)

se nella riga STATE compare la voce STOPPED, allora bisogna riavviare la postazione di lavoro o il server per consentire il caricamento e l'esecuzione del device driver SPBBCDrv. Se le condizioni riportate di sopra sono tutte soddisfatte, ed i controlli richeisti sono andati bene, vuol dire che l'installazione del SEP Client andata eseguita in modo corretto.

Come disinstallare il SEP Client


La rimozione del SEP Client, pu essere fatta in diversi modi, a seconda della strategia di rimozione che si vuole utilizzare. Indicativamente il metodo migliore e pi semplice, quello di utilizzare lo snap-in Add or Remove Programs di Windows 2000/2003/XP: collegarsi alla postazione su cui si vuole rimuovere il SEP Client con un utente avente diritti amministrativi sulla postazione di lavoro stessa; aprire il Control Panel (Pannello di Controllo) di Windows; fare doppio clic sull'icona Add or Remove Programs (Installazione Applicazioni), selezionare la voce Symantec Endpoint Protection e premere il pulsante Remove; quando richiesto e se richiesto, inserire la password per approvare la rimozione del SEP Client; al termine della procedura di rimozione, riavviare la macchina; al successivo riavvio della postazione, collegarsi al sistema con le stesse credenziali utilizzate per rimuovere il SEP Client in precedenza; aprire il Control Panel (Pannello di Controllo) di Windows; fare doppio clic sull'icona Add or Remove Programs (Installazione Applicazioni), selezionare la voce LiveUpdate <Numero_Versione> e premere il pulsante Remove; attendere la rimozione del programma LiveUpdate. Si osservi che il programma LiveUpdate pu venire rimosso solamente se sulla postazione non ci sono altri programmi della Symantec che lo utilizzano. In alternativa alla procedura appena indicata, si pu utilizzare un comando da eseguire con la Command Prompt. Per conoscere questo comando bisogna aprire l'editor del registro di Windows (regedit.exe) e prendere nota del comando riportato nella chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\<Product_Key>\UninstallString Un possibile esempio di questo comando potrebbe essere:
MsiExec.exe /I{C1B0BDC8-0624-4036-90D1-F7DF0EE8C96D}

Una volta individuato il comando presente nella chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Uninstall\<Product_Key>\UninstallString, per rimuovere il SEP Client basta eseguire il seguente comando:
MsiExec.exe /X<Product_Key> /passive /promptrestart /log %SystemDrive%\Logs\SEP_Client_Uninstall.log

Ad esempio:

21 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

MsiExec.exe /X{C1B0BDC8-0624-4036-90D1-F7DF0EE8C96D} /passive /promptrestart /log %SystemDrive%\Logs \SEP_Client_Uninstall.log

Si osservi che se impostata una password per rimuovere il SEP Client, durante il processo di disinstallazione del SEP Client verr richiesta questa password, anche se si utilizza il comando riportato in precedenza. Pertanto, se si vuole automatizzare la procedura di disinstallazione, si deve configurare il SEP Manager di modo che non venga richiesta una password durante il processo di disinstallazione (immagine). Per maggiori informazioni sull'utilizzo della riga di comando per disinstallare il SEP Client, si pu consultare la Knowledge Base: How to Uninstall SEP Client Silently Using Command Line. Qualora la rimozione tramite lo strumento Add or Remove Programs o con la riga di comando non fosse possibile, esistono altri due metodi che si possono utilizzare per rimuovere il SEP Client: metodo manuale: utilizzando le informazioni contenute nel documento How to Manually Uninstall SEP Client per rimuovere manualmente il SEP Client. Questo procedimento prevede la cancellazione dei file, delle cartelle e delle chiavi di registro utilizzate dal programma SEP Client; metodo automatico: utilizzando il programma CleanWipe possibile svolgere le operazioni riportate nel documento How to Manually Uninstall SEP Client in maniera automatica. Il programma CleanWipe va richiesto direttamente al Supporto Tecnico della Symantec, in altri termini, non pu venire scaricato come prodotto a parte. Si osservi che l'utilizzo del programma CleanWipe pu comportare dei problemi sulla scheda di rete del computer su cui viene eseguito. Si pu verificare, infatti, che al successivo riavvio della postazione di lavoro, possa succedere che la postazione non riesca pi ad accedere alla rete. Questo problema pu venire risolto seguendo le indicazioni riportate nell'articolo How to restore network connectivity if cleanwipe tool removes the network card drivers.

Manutenzione del SEP Manager


In questa sezione vengono riportate quelle che sono le operazioni pi comuni nella manutenzione del SEP Manager. Le operazioni indicate, vanno svolte, di solito, occasionalmente, in generale, ogni qual volta se ne presenta la necessit.

Come togliere lo stato "Still Infected" dal SEP Manager


Se per qualche motivo, uno o pi SEP Client, riportano al SEP Manager che non sono riusciti a rimuovere uno o pi virus (Left Alone), allora sulla Home Page del SEP Manager, compare, all'interno della sezione Action Summary by Detection Count, sotto la colanna Virus, un numero riportante le postazioni che risultano ancora infette (Still Infected) (immagine). Per rimuovere lo stato di Still Infected da queste postazioni bisogna svolgere le seguenti operazioni: verificare che il virus che viene segnalato come non rimosso (Left Alone), sia stato effettivamente rimosso; rimuovere lo stato di ancora infetto (Still Infected). Per sapere se il virus stato effettivamente rimosso, procedere come indicato: aprire il SEP Manager e collegarsi come utente admin; andare nella sezione Monitors e poi nella sotto-sezione Logs; modificare come segue i seguenti campi (immagine): Log Type: Risk Use a saved filter: Default Time range: impostare la finestra temporale desiderata (ad esempio Past three months) premere il pulsante View Log per visualizzare gli eventi registrati; all'interno della colonna Event Actual Action rintracciare i virus che non sono stati rimossi Left Alone. Una volta rintracciati questi virus, controllare le colonne Computer Domain e Filepath per valutare, tramite un controllo manuale e diretto, se i file infetti segnalati sono ancora presenti all'interno delle postazioni citate nella colonna Computer Domain; una volta preso nota di tutti i file e le postazioni da controllare, premere il link <<Back per tornare alla sotto-sezione Logs; Una volta certi che le postazioni riportata nella riga Still Infected della Home Page del SEP Manager non risultano pi compromesse da virus, per rimuovere lo stato Still Infected procedere come segue: aprire il SEP Manager e collegarsi come utente admin; andare nella sezione Monitors e poi nella sotto-sezione Logs; modificare come segue i seguenti campi (immagine): Log Type: Computer Status Use a saved filter: Default Time range: impostare la finestra temporale desiderata (ad esempio Past three months) Di norma, bisogna impostare il campo Time range con lo stesso intervallo di tempo specificato quando si cercavano i log relativi alla rimozione dei vari virus (Risk) rilevati. premere il pulsante View Log per visualizzare gli eventi registrati; controllare la prima colonna e cercare le postazioni che riportano un rombino rosso; una volta individuate le postazioni col rombino rosso, evidenziarle e poi cliccare sul link Clear Infected Status. Accertarsi che il rombino rosso diventi un rombino verde (immagine); Se si desiderano ricevere maggiori informazioni sull'infezione che ha colpito una data postazione, si pu premere l'icona col blocco note e la lente d'ingradimento che si trova all'interno della colonna Infected che riporta la sigla More Info. terminato di rimuovere lo stato Still Infected da tutte le postazioni che lo riportavano, tornare alla Home Page del SEP Manager aprendo la sezione Home;

22 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

verificare all'interno della finestra Action Summary by Detection Count e accertarsi che non comapiano pi postazioni che riportano la digitura Still Infected; se lo si desidera, a questo punto si pu chiudere il SEP Manager.

Come disabilitare le scansioni del SEP Client al Logon e quando vengono aggiornate le definizioni
Una delle piaghe dei sistemi antivirus della famiglia Symantec AntiVirus (SAV), era il fatto che ad ogni aggiornamento delle definizioni antivirus, il programma SAV partiva con una scansione locale. Sebbene questa scansione non fosse troppo approfondita, era comunque un vero fastidio! Grazie al SEP Client, questo problema pu venire rimosso! Per accertarsi che il SEP Client non esegua alcuna scansione quando vengono o aggiornate le definizioni antivirus o al Logon di un utente, bisogna procedere come segue: aprire il SEP Manager e collegarsi come utente admin; aprire la sezione Policies ed evidenziare la voce Antivirus and Antispyware; selezionare la politica che si vuole modificare (ovvero la politica che determina la scansione del SEP Client al Logon o all'aggiornamento delle definizioni antivirus); cliccare sulla voce Edit The Policy che si trova sotto la colonna Tasks, sulla sinistra; all'apertura della finestra che contiene le specifiche della politica selezionata, andare nella sezione Administrator-defined Scans; aprire la sezione Advanced e assicurarsi che non siano selezionate le seguenti voci (immagine): Run startup scans when users log on Run an Active Scan when new definitions arrive premere il pulsante OK per confermare le modifiche.

Come pianificare una scansione antivirus nel SEP Client


Le scansioni pianificate sono sempre un cruccio per gli amministratori di sistema. Di norma non si hanno vantaggi a svolgere scansioni pianificate sulle postazioni di lavoro. Nella maggior parte dei casi le scansioni pianificate sulle postazioni di lavoro, ovvero le postazioni su cui operano i dipendenti aziendali, sono pi causa di disagi che altro. I virus e pi in generale i malware sono processi nati per essere eseguiti, non per stare a riposare sul file system dei sistemi operativi. Per questo motivo, assolutamente bene che il controllo File System Auto-Protect (ovvero il controllo in tempo reale da parte del SEP Client dei processi in esecuzione e dei file che vengono aperti e scritti sul File System ) sia sempre in esecuzione. Viceversa, sui File Server, ovvero su quei server in cui vengono archiviati i file aziendali, pu avere senso svolgere con regolarit una scansione pianificata. Questo tipo di scansioni di norma richiedono molto tempo e possono arrivare a consumare, dipende dalle impostazioni adottate, la maggior parte delle risorse hardware del server. Per questi motivi, bene che queste scansioni pianificate vengano programmate tenendo conto delle seguenti osservazioni: la scansione antivirus non deve essere sovrapporsi con le procedure di salvataggio dei dati aziendali. In altri termini, la scansione antivirus andrebbe svolta nelle ore in cui la macchina non sottoposta a cicli di salvataggio; la scnasione antivirus deve concludersi prima dell'inizio dell'orario di lavoro. Ovvero la scansione antivirus non deve compromettere l'utilizzo quotidiano del File Server. Viste le osserviazioni appena esposte, conveniente svolgere le scansioni antivirus nel fine settimana e possibilmente dopo che il salvataggio dei dati aziendali si concluso. Dal momento che si tratta di processi pianificati che vanno svolti solamente sui server che svolgono la mansione di File Server, non risulta possibile gestire centralmente questi processi, ma vanno pianificati server per server. Bisogna quindi predisporre ciascun SEP Client dei File Server a svolgere nell'orario pi consono queste scansioni antivirus pianificate. Per pianificare queste scansioni antivirus si pu procedere come indicato di seguito: collegarsi sul server in cui si vuole attivare una scansione antivirus pianificata con le credenziali di un utente amministrativo sul server; apri la console di amministrazione del SEP Client: Start, All Programs, Symantec Endpoint Protection e cliccare sulla voce Symantec Endpoint Protection; andare nella sezione Scan For Threats; cliccare sul collegamento Create New Scan; selezionare la voce Custom Scan e premere il pulsante Next; selezionare i dischi o le cartelle in cui si trovano i dati aziendali e premere il pulsante Next; lasciare le impostazioni di default (se necessario si possono modificare in seguito) e premere il pulsante Next; selezionare la voce At Specific Time e premere il pulsante Next; impostare l'ora e la frequenza con si vuole che questa scansione venga eseguita (tenere presente quanto affermato in precedenza). Togliere il segno di selezione dalla voce Retry the scan within (meglio che non giri, piuttosto che giri nel momento sbagliato) (immagine). Premere il pulsante Next per andare avanti; nel campo Scan Name inserire un nome significativo alla scansione, ad esempio: # Scansione Settimanale Dati Utente; nel campo Scan Description inserire una breve descrizione dello scopo della scansione; premere il pulsante Finish per rendere operativa la scansione. Accertarsi che la scansione appena pianificata venga effettivamente eseguita e controllare che la sua durata rientri nei limiti operativi descritti in precedenza.

Come conoscere quali sono le definizioni scariate dal SEP Manager


Per conoscere quali sono le definizioni scaricate di recente dal SEP Manager si pu procedere come segue: collegarsi al SEP Manager con le credenziali dell'utente admin (o pi in generale le credenziali di un utente amministrativo del SEP Manager); andare nella sezione Admin; andare nella sottosezione Servers; evidenziare la voce Local Site (<Nome_del_Sito>) dove al posto della sigla <Nome_del_Sito> dovrebbe comparire il nome del sito in cui si trova il SEP Manager; nella parte bassa della finestra principale si possono vedere parte dei log del SEP Manager, in particolare si pu verificare se di

23 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

recente l'esecuzione del LiveUpdate andata a buon fine; cliccare sulla voce Show LiveUpdate Status per sapere se il LiveUpdate in esecuzione (se non compare alcuna scritta, vuol dire che il LiveUpdate non in esecuzione); se il LiveUpdate non in esecuzione, cliccare sulla voce Show LiveUpdate Downloads per vedere che cosa ha scaricato il LiveUpdate di recente (immagine); per chiudere la finestra Show LiveUpdate Downloads sufficiente premere il pulsante Close; a questo punto si pu uscire dal SEP Manager.

Analisi dei problemi noti e loro gestione


Ogni tanto, durante la fase d'installazione del SEP Client si possono presentare dei problemi d'installazione. La maggior parte di questi problemi sono riconducibili al programma Windows Installer che per qualche motivo, non riuscito a svolgere fino in fondo l'installazione del SEP Client.

Outlook segnala che all'avvio non riesce a caricare una DLL legata ai prodotti Symantec
Quando si esegue un aggiornamento dal SAV Client al SEP Client e il programma Microsoft Outlook risulta in esecuzione, pu succedere (e di norma succede) che non tutte le DLL legate al SAV Client vengano deregistrate dal programma Microsoft Outlook. Il problema si pone, ogni qual volta, nel SAV Client risultavano presenti i componenti per la gestione di Microsoft Outlook (se tali componenti non erano presenti, il problema in questione non si dovrebbe porre). Soluzione: per risolvere il problema, basta rinominare il file extend.dat associato al programma Microsoft Outlook che presenta il problema. Di solito il file extend.dat si trova nella cartella %USERPROFILE%\Impostazioni locali\Dati applicazioni\Microsoft \Outlook\extend.dat: chiudere il programma Microsoft Outlook; assicurarsi che il processo Outlook.exe non sia pi in esecuzione (ad esempio utilizzando il programma Task Manager o eseguendo il comando taskmgr.exe); abrire Esplora Risorse e andare nella cartella %USERPROFILE%\Impostazioni locali\Dati applicazioni\Microsoft\Outlook; rinominare il file extend.dat; riavviare il programma Microsoft Outlook ed accertarsi che il messaggio di avviso non compaia pi;

L'installazione del SEP Client non va a buon fine e viene continuamente riavviata la procedura d'installazione
Talvolta, durante il processo d'installazione del SEP Client, si pu presentare un problema piuttosto spinoso, ovvero l'installazione del SEP Client non va a buon fine ed il programma Windows Installer (il processo di Windows che si occupa dell'installazione del SEP Client), tenta di continuo d'installare il SEP Client, senza mai riuscirci. Soluzione: Per cercare d'interrompere questi tentativi, inutili, d'installazione del SEP Client, bisogna modificare la chiave di registro legata alla rimozione del SEP Client, pertanto: collegarsi alla postazione che presenta il problema con un utente avente diritti amministrativi sulla postazione stessa; aprire il registro di Windows utilizzando il comando:
regedit.exe

aprire la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall; individuare la chiave di registro relativa alla rimozione del programma SEP Client. Per individuare la chiave di registro relativa alla rimozione del SEP Client, si pu ricercare la stringa Symantec Endpoint Protection che compare all'interno della chiave di registro DisplayName; una volta trovata la chiave di registro relativa alla rimozione del SEP Client, modificare il contenuto della chiave stringa UninstallString, sostituendo la lettera /I con la lettera /X. Ad esempio, se compare la sigla seguente all'interno della chiave UninstallString:
MsiExec.exe /I{C1B0BDC8-0624-4036-90D1-F7DF0EE8C96D}

bisogna modificare la stringa indicata come segue:


MsiExec.exe /X{C1B0BDC8-0624-4036-90D1-F7DF0EE8C96D}

riavviare la postazione di lavoro; a questo punto, il processo di rimozione del SEP Client dovrebbe interrompersi e consentire di tornare ad operare normalmente sulla postazione. Una volta svolto questo intervento, si dovr indagare meglio il problema che ha portato a questo comportamento anomalo. Si tenga presente, che in questi casi, l'unica soluzione potrebbe essere quella di reinstallare il sistema operativo della postazione di lavoro che ha presentato il problema.

Come analizzare i problemi legati al LiveUpdate


Talvolta su una o pi postazioni di lavoro, si possono verificare dei problemi di aggiornamento delle definizioni da parte dei SEP Client installati su queste postazioni. In questi casi bisogna verificare se l'impostazione del LiveUpdate corretta. Il LiveUpdate il programma che si preoccupa, in linea di massima, di tenere aggiornati i vari prodotti della Symantec, compreso il Symantec Endpoint Protection. Per farsi un idea di quello che potrebbe essere la causa dell'erroneo funzionamento del LiveUpdate, basta consultare il file di log del LiveUpdate, ovvero il file %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate \Log.LiveUpdate, se il server in lingua Inglese, %SystemDrive%\Documents and Settings\All Users\Dati applicazioni\Symantec \LiveUpdate\Log.LiveUpdate se il server in lingua Italiana (per aprire il file sufficiente un qualunque editor di testo come WordPad.exe).

24 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

Per poter accedere al file %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate \Log.LiveUpdate bisogna che il file Log.LiveUpdate non sia in uso, ovvero che il servizio LiveUpdate non sia in esecuzione. In una installazione predefinita del SEP Client, il servizio LiveUpdate impostato per avviarsi in modo manuale (Manual). Verificare che nel file di log %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate \Log.LiveUpdate compaia quanto segue: controllare se compaiono delle righe contenenti il testo DOWNLOAD_FILE_START, ad esempio (per comodit di lettura il messaggio stato suddiviso in pi righe):
Progress Update: DOWNLOAD_FILE_START: URL: "http://liveupdate.symantecliveupdate.com /liveupdate_3.3.0.78_english_livetri.zip", Estimated Size: 0, Destination Folder: "C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Downloads"

le righe con la sigla DOWNLOAD_FILE_START riportano a fianco lo URL da cui hanno tentato di scaricare gli aggiornamenti. La riga successiva a quella in cui compare la sigla DOWNLOAD_FILE_START, riporta l'esito della procedura di scaricamento delle definizioni. Se compare una frase del tipo:
HttpSendRequest (status 404): Request failed - File does not exist on the server.

Vuol dire che non stato possibile accedere al URL http://liveupdate.symantecliveupdate.com /liveupdate_3.3.0.78_english_livetri.zip Altri possibili messaggi potrebbero essere:
HttpSendRequest (status 304): Request succeeded - File up to date so download is not required

In questo caso le definizioni antivirus presenti nel SEP Client sono gi aggiornate con l'ultima versione disponibile. Oppure:
HttpSendRequest (status 200): Request succeeded

In questo caso la procedura di scaricamento delle definizioni ha avuto inizio in modo regolare. Se successivamente compare la riga:
Progress Update: DOWNLOAD_BATCH_FINISH: HR: 0x0, Num Successful: 1

vuol dire che il processo di scaricamento delle definizioni antivirus andato a buon fine. controllare se compaiono delle righe contenenti la sigla HOST_SELECTION_ERROR, come ad esempio la seguente:
Progress Update: HOST_SELECTION_ERROR: Error: 0x802A0027

In questo caso il programma LiveUpdate non riuscito a contattare la sorgente degli aggiornamenti. Di solito, subito dopo la riga citata compaiono le righe seguenti:
LiveUpdate did not find any new updates for the given products. EVENT - SESSION END FAILED EVENT - The LiveUpdate session ran in Silent Mode. LiveUpdate found 0 updates available, of which 0 were installed and 0 failed to install. The LiveUpdate session exited with a return code of 1814, LiveUpdate could not retrieve the catalog file of available Symantec product and component updates.

Una volta analizzato il file di log del programma LiveUpdate, conviene verificare che la sorgente di aggiornamento del LiveUpdate sia quella corretta. Per svolgere questa verifica bisogna controllare il valore della chiave di registro HKEY_LOCAL_MACHINE\Software \Symantec\Symantec Endpoint Protection\LiveUpdate come indicato nel paragrafo Verifiche post-installazione del SEP Client. Se osservando il registro degli eventi di Windows, ovvero l'Event Viewer, nella sezione Application, compaiono messaggi del tipo LU1825 (LiveUpdate non ha compreso come installare questo aggiornamento), pu darsi che la versione installata del LiveUpdate tenti di scaricare le definizioni di un programma antivirus diverso da quello che installato sulla macchina. Questo problema si pu presentare se ad esempio l'installazione del SEP Client su una postazione che aveva il programma antivirus Norton installato, non riuscita a sostituire il programma LiveUpdate presente sulla postazione, col risultato che il programma LiveUpdate anzich scaricare le definizioni del SEP, continua a scaricare le definizioni del Norton. Di solito i problemi legati al LiveUpdate si risolvono facilmente procedendo con la reinstallazione del programma LiveUpdate, come indicato di seguito (per maggiori informazioni si pu consultare la Knowledge Base della Symantec How to Uninstall and Reinstall LiveUpdate When a Symantec Endpoint Protection Manager or Symantec Endpoint Protection Client is Installed): Nel corso della spiegazione faremo riferimento al programma LUSetup.exe relativo al SEP Manager che per semplicit di spiegazione, supporemo che si trovi nel percorso UNC \\Nome_Server_SEP_Manager\_\Antivirus\Symantec \Ver_11.0.4_MR4_MP2\SEPM\LUSetup.exe La spiegazione che riportiamo, si applica a tutte le postazioni che hanno il SEP Client installato, tranne che a quelle in cui risulta pure installato il SEP Manager. Per sapere come rimuovere e poi reinstallare il LiveUpdate dal server su cui installato il SEP Manager si pu consultare la Knowledge Base della Symantec How to Uninstall and Reinstall LiveUpdate When a Symantec Endpoint Protection Manager or Symantec Endpoint Protection Client is Installed. collegarsi alla postazione di lavoro col SEP Client che ha problemi col LiveUpdate con un utente avente diritti amministrativi sulla

25 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

postazione; rimuovere da Add and Remove Programs il programma Symantec LiveUpdate; cancellare la cartella %ALLUSERSPROFILE%\Dati Applicazioni\Symantec\LiveUpdate; riavviare la postazione di lavoro; collegarsi alla postazione di lavoro con un utente avente diritti amministrativi sulla postazione; installare il programma Symantec LiveUpdate dal cdrom d'installazione del SEP che supporemo si trovi nel percorso UNC \\Nome_Server_SEP_Manager\_\Antivirus\Symantec\Ver_11.0.4_MR4_MP2\SEPM\LUSetup.exe; tornare a registrare il SEP Client col SEP Manager: aprire il Control Panel ed andare nella sezione Add and Remove Programs; evidenziare la voce Symantec Endpoint Protection e premere il pulsante Change; scegliere la voce Repair (Ripristina) e seguire la procedura guidata; verificare che tutto sia andato bene e riavviare di nuovo la postazione; al termine del riavvio, collegarsi alla postazione di lavoro con un utente avente diritti amministrativi sulla postazione; eseguire un nuovo ciclo di LiveUpdate ed accertarsi che tutto vada bene.

SEP Manager e l'errore "LiveUpdate encountered one or more errors. Return code = 4"
Uno dei principali problemi che si possono riscontrare col LiveUpdate del SEP Manager, l'impossibilit di scaricare gli aggironamenti che quotidianamente la Symantec rilascia. Di solito, questo problema riconducibile o ad un erronea configurazione del Proxy Server utilizzato dal LiveUpdate per scaricare gli aggiornamenti, oppure ad un'erronea configurazione del Firewall aziendale che non consente al server su cui opera il SEP Manager di contattare i server della Symantec da cui scaricare gli aggiornamenti. Come descritto nel paragrafo Come analizzare i problemi legati al LiveUpdate, per poter comprendere i problemi legati al mancato aggironamento delle definizioni antivirus, bisogna consultare il file di log %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Log.LiveUpdate. Per poter accedere al file %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate \Log.LiveUpdate bisogna che il file Log.LiveUpdate non sia in uso, ovvero che il servizio LiveUpdate non sia in esecuzione. In una installazione predefinita del SEP Client, il servizio LiveUpdate impostato per avviarsi in modo manuale (Manual). Se consultando il file %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Log.LiveUpdate, dovesse comparire il messaggio:
Error: LiveUpdate encountered one or more errors. Return code = 4

Vuol dire che molto probabilmente il problema del mancato aggiornamento delle definizioni della Symantec da ricondurre ad un problema di comunicazione fra il SEP Manager ed i server della Symantec: liveupdate.symantecliveupdate.com. Il LiveUpdate utilizza sia il protocollo HTTP, sia il protocollo FTP per accedere al pool di server liveupdate.symantecliveupdate.com:
Progress Update: TRYING_HOST: HostName: "liveupdate.symantecliveupdate.com" URL: "http://liveupdate.symantecliveupdate.com" HostNumber: 0

e
Progress Update: TRYING_HOST: HostName: "liveupdate.symantecliveupdate.com" URL: "ftp://liveupdate.symantecliveupdate.com" HostNumber: 0

Per maggiori informazioni sull'errore LiveUpdate encountered one or more errors. Return code = 4 si pu consultare la Knowledge Base della Symantec "Error: LiveUpdate encountered one or more errors. Return code = 4" in LiveUpdate status in Symantec Endpoint Protection Manager. In particolare, per comprendere meglio la natura del problema, si pu procedere come segue: verificare che la configurazione del Proxy Server del LiveUpdate del SEP Manager, sia impostata correttamente: dal SEP Manager, aprire la sezione Admin; aprire la sotto-sezione Servers; evidenziare, facendo uso del mouse, la voce che riporta il nome NetBIOS del server su cui stato installato il SEP Manager; all'interno della sezione Tasks, cliccare sulla voce Edit Server Properties; andare nella sezione Proxy Server e modificare, se necessario, il Proxy Server con cui far collegare il SEP Manager verso Internet per consentire al programma LiveUpdate di scaricare le definizioni aggironate dei vari componenti del SEP Client; verificare la configurazione del Firewall aziendale; Per questa analisi, si rivela particolarmente utile, analizzare i file di log del Firewall aziendale, per verificare se il Firewall aziendale blocca, per qualunque motivo, l'accesso, da parte del server che ospita il SEP Manager, verso il pool di server liveupdate.symantecliveupdate.com. dal server che ospita il SEP Manager, aprire Internet Explorer e provare a scaircare il seguente file: http://liveupdate.symantecliveupdate.com/livetri.zip. Se non risulta possibile scaricare il file citato, vuol dire che o l'impostazione del Proxy Server del LiveUpdate non corretta, oppure che il Firewall aziendale impedisce l'accesso al pool di server web della Symantec: http://liveupdate.symantecliveupdate.com; accertarsi, eseguendo il comando dalla Command Prompt del server che ospita SEP Manager:
telnet liveupdate.symantecliveupdate.com 80

che il collegamento verso il pool di server liveupdate.symantecliveupdate.com vada a buon fine. Se il collegamento verso il pool di server liveupdate.symantecliveupdate.com non va a buon fine, vuol dire, molto probabilmente, che la configurazione del Firewall aziendale non consenta al server che ospita il SEP Manager di collegarsi ai server del pool

26 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

liveupdate.symantecliveupdate.com. Per maggiori informazioni su come deve venire configurato il Firewall aziendale per consentire al LiveUpdate di scaricare correttamente le definizioni antivirus aggiornate, si pu consultare la Knowledge Base della Symantec: How to determine whether your firewall is blocking LiveUpdate. Se sia la configurazione del Proxy Server del LiveUpdate, sia la configurazione del Firewall aziendale sono corrette, non resta che provare a ri-registrare il SEP Manager sul portale della Symantec (per maggiori informazioni si pu consultare la Knowledge Base della Symantec How to Uninstall and Reinstall LiveUpdate When a Symantec Endpoint Protection Manager or Symantec Endpoint Protection Client is Installed): collegarsi al server che ospita il SEP Manager con un account amministrativo sul server stesso; aprire la Command Prompt ed andare nella cartella in cui stato installato il SEP Manager, ad esempio:
cd %SystemDrive%\Program Files\Symantec\Symantec Endpoint Protection Manager\bin

o pi in generale:
cd <Cartella_Installazione_SEP_Manager>\bin

eseguire il comando:
lucatalog -update

provare a eseguire di nuovo il LiveUpdate;

Come gestire l'errore "Unable to Communicate with the Reporting Component" del SEP Manager
La segnalazione d'errore Unable to Communicate with the Reporting Component che si pu presentare subito dopo l'accesso al SEP Manager uno dei problemi pi spinosi da gestire, in quanto le cause che stanno alla base del problema possono essere molteplici, come evidenziato nella Knowledge Base della Symantec Unable to communicate with the reporting component. Il problema riportato dal messaggio d'errore Unable to Communicate with the Reporting Component legato alla parte PHP del SEP Manager, ovvero alle sezioni: Home, Monitors e Reports. L'area PHP del SEP Manager ed in particolare la sezione Reporting si trovano all'interno delle seguenti cartelle: Area PHP: <Cartella_Installazione_SEP_Manager>\Php (ad esempio: C:\Program Files\Symantec\Symantec Endpoint Protection Manager\Php); Reporting: <Cartella_Installazione_SEP_Manager>\Inetpub\Reporting (ad esempio: C:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting); Alla cartella <Cartella_Installazione_SEP_Manager>\Inetpub\Reporting resta associata una virtual directory all'interno del sito web del SEP Manager (immagine). L'accesso alla virtual directory Reporting deve avvenire, come per l'intero sito web del SEP Manager (Symantec Web Server) in maniera anonima (immagine). Se i test effettuati nel paragrafo Verifiche post-installazione del SEP Manager sono andati tutti a buon fine, allora il problema di accesso alla virtual directory da imputarsi ad un problema di permessi. Una possibile procedura da seguire, per poter risalire alla causa del problema, ovvero al problema di mancato accesso ad una risorsa, potrebbe essere la seguente: accertarsi che l'accesso anonimo alla virtual directory Reporting sia garantito: da una qualunque postazione della rete avviare Internet Explorer (almeno aggiornato alla versione 6 con Service Pack 1) ed inserire il seguente URL: http://<Indirizzo_IP_SEP_Manager>:<Porta_Ascolto_Sito_Web_SEP_Manager> /Reporting Accertarsi che compaia la schermata di Logon (immagine); dal server che ospita il SEP Manager, aprire Internet Explorer (almeno aggiornato alla versione 6 con Service Pack 1) ed inserire il seguente URL: http://localhost:<Porta_Ascolto_Sito_Web_SEP_Manager>/Reporting Accertarsi che compaia la schermata di Logon (immagine); In generale, i test appena riportati, possono venire svolti con qualunque browser, non necessarimente con solamente Internet Explorer, sebbene, gli autori di questa guida, consiglino di preferire, in questa fase di analisi, l'utilizzo di Internet Explorer agli altri browser. verificare che la connessione ODBC al database del SEP Manager sia impostata correttamente (la spiegazione che riportiamo si riferisce solamente al Embedded Database del SEP Manager, per ottenere la procedura da seguire per MS SQL Server, si consulti la Knowledge Base Unable to communicate with the reporting component): dal server che ospita il SEP Manager, aprire gli Administrative Tools e selezionare la voce Data Source (ODBC); andare nella sezione System DSN ed accertarsi che compaia il System Data Source chiamato SymantecEndpointSecurityDSN e che abbia come driver il Adaptive Server Anywhere 9.0 (immagine); facendo uso del programma Process Monitor della Sysinternals, verificare che il processo php-cgi.exe non abbia degli Access Denied su qualche cartella o chiave di registro, come ad esempio la chiave HKEY_CLASS_ROOT\ASAProv (immagine). Assegnare alle chiavi di registro o alle cartelle i permessi pi opportuni di modo che il processo php-cgi.exe possa accedervi regolarmente. Il processo php-cgi.exe gira con le credenziali dell'utente System, pertanto sufficiente garantire all'utente System l'accesso completo (Full Control) o alle chiavi di registro o alle cartelle che il programma Process Monitor riporta come Access Denied. Si tenga infine presente che i problemi di accesso all'area Reporting del sito Symantec Web Server possono essere anche dovuti ad un problema di autenticazione sul database del SEP Manager. Pertanto, se anche dopo aver assegnato i corretti permessi di accesso alle chiavi di registro e alle cartelle all'utente System, il problema della segnalazione Unable to Communicate with the Reporting Component si dovesse ancora presentare, bene accertarsi che il processo di autenticazione verso il database del vada a buon fine. Una possibile procedura da seguire per svolgere questo controllo, potrebbe essere la seguente: La spiegazione che riportiamo si riferisce ad un installazione del SEP Manager sul Embedded Database, per MS SQL Server i controlli sono simili ma non identici a quelli riportati.

27 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

collegarsi con un account amministrativo al server su cui installato il SEP Manager; aprire gli Administrative Tools (Strumenti di Amministrazione) e selezionare la voce Data Source (ODBC) (Origine Dati (ODBC)); andare nella sezione System DSN ed accertarsi che compaia il System Data Source chiamato SymantecEndpointSecurityDSN e che abbia come driver il Adaptive Server Anywhere 9.0 (immagine); selezionare la voce SymantecEndpointSecurityDSN e premere il pulsante Configuration; nella sezione ODBC premere il pulsante Test Connection (immagine) e verificare che compaia la finestra col messaggio Connection Succesfull; Si osservi che di default, ovvero per impostazione predefinita, il test di connessione appena eseguito non va mai a buon fine in quanto non sono riportate le credenziali di accesso al database! qualora il test di connessione sia andato male, andare nella sezione Login ed inserire le seguenti credenziali di accesso al database del SEP Manager (immagine);: selezionare la voce Supply User ID and Password; inserire nel campo User ID il nome utente dba; inserire nel campo Password la prima password che stata assegnata all'utente admin (l'utente admin l'utente amministrativo del SEP Manager), ovvero la password che stata assegnata all'utente admin durante la fase d'installazione del SEP Manager (nel corso di questa guida, la password da inserire symcsep); andare nella sezione Database e verificare che i campi di testo siano impostati come segue: nel campo Server Name deve venire riportata la sigla SPC_<Nome_NetBIOS_Server_del_SEP_Manager> (ad esempio SPC_PHOTON); nel campo Database Name inserire, qualora non fosse presente, il nome del database del SEP Manager: sem5; nel campo Database File accertarsi che compaia il percorso completo <Cartella_Installazione_SEP_Manager>\db\sem5 (ad esempio C:\Program Files\Symantec\Symantec Endpoint Protection Manager\db\sem5). Se cos non fosse, premere il pulsante Browse e selezionare il file <Cartella_Installazione_SEP_Manager>\db\sem5.db; accertarsi che siano selezionate le voci: Start Database Automatically Stop Database After Last Disconnect andare nella sezione Network e accertarsi che nel campo di testo TCP/IP compaia la sigla IP=127.0.0.1:2638 (immagine); premere il pulsante OK; selezionare la voce SymantecEndpointSecurityDSN e premere il pulsante Configuration; nella sezione ODBC, tronare a premere il pulsante Test Connection (immagine) e verificare che compaia la finestra col messaggio Connection Succesfull. Se appare la finestra col messaggio Connection Succesfull, vuol dire che la connessione col database del SEP Manager corretta, in caso contrario bisogner investigare meglio la problematica. Alcune possibili cause che possono stare alla base di una mancata connessione verso il database del SEP Manager possono essere: il servizio Symantec Embedded Database non in esecuzione; il programma DBSrv9.exe non in ascolto sulla porta TCP 2638; il file %windir%\system32\drivers\etc\hosts non impostato correttamente, ovvero non risolve bene la voce localhost nell'indirizzo IP 127.0.0.1; Ad ogni modo, a prescindere da quale sia la causa che sta alla base dell'erronea connessione al database del SEP Manager, si dovr svolgere un'analisi molto approfondita per comprendere meglio la natura del problema.

Come analizzare i problemi di comunicazione fra i SEP Client ed il SEP Manager


In questa sezione cercheremo di spiegare come analizzare il traffico di rete fra un SEP Client ed il SEP Manager per comprendere quali potrebbero essere gli eventuali problemi di comunicazione che un SEP Client potrebbe avere nei confronti di un SEP Manager. Parte del contenuto di questa sezione, si basa sull'articolo scritto da Aniket Amdekar, del supporto tecnico della Symantec, dal titolo How to capture SEP-SEPM communication logs with SylinkMonitor for MR3 onwards for troubleshooting communication issues. Quando si verificano dei problemi di comunicazione fra il SEP Client ed il SEP Manager, conviene svolgere i seguenti passi: verificare la connettivit HTTP del SEP Client verso il SEP Manager: avviare il browser installato sulla postazione che presenta dei problemi di comunicazione fra il SEP Client ed il SEP Manager, Internet Explorer va pi che bene; inserire i seguenti URL e verificare se compare il messaggio con la scritta OK: http://localhost:<Porta_Ascolto_Sito_Web_SEP_Manager>/secars/secars.dll?hello,secars http://<Indirizzo_IP_SEP_Manager>:<Porta_Ascolto_Sito_Web_SEP_Manager>/secars/secars.dll?hello,secars http://<Nome_FQDN_SEP_Manager>:<Porta_Ascolto_Sito_Web_SEP_Manager>/secars /secars.dll?hello,secars http://<Nome_NetBIOS_SEP_Manager>:<Porta_Ascolto_Sito_Web_SEP_Manager>/secars /secars.dll?hello,secars controllare le impostazioni di comunicazione verso Internet: aprire l'editor del registro di Windows eseguendo il comando:
regedit.exe

aprire la chiave di registro HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings; se presente la chiave GlobalUserOffline, provvedere a cancellarla (per scruperlo, conviene prima esprtarne il contenuto); riavviare la postazione di lavoro; al successivo riavvio, verificare che compaia il pallino verde sullo scudetto giallo del SEP Client; in alternativa, aprire il men Start, All Programs, Symantec Endpoint Protection e selezionare la voce Symantec Endpoint Protection; cliccare sul pulsante Help and Support e selezionare la voce Troubleshooting;

28 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

controllare nella sezione General Information che le voci Server, Group e Location siano impostate correttamente; analizzare il traffico di rete fra il SEP Client ed il SEP Manager: Per svolgere questo tipo di analisi bisogna essere in possesso del programma Sylink Monitor. Quando questo articolo stato scritto, era disponibile la versione 6.7.33 del programma Sylink Monitor. aprire il registro di Windows utilizzando il comando:
regedit.exe

modificare il valore della chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\smc_debuglog_on da 0 a 1; chiudere la finestra del editor del registro di Windows; qualora fosse aperta, chiudere la finestra Symantec Endpoint Protection del SEP Client; eseguire i comandi, nella sequenza riportata, dalla Command Prompt:
<Cartella_Installazione_SEP_Client>\smc -stop <Cartella_Installazione_SEP_Client>smc -start

ad esempio:
%ProgramFiles%\Symantec Endpoint Protection\smc -stop %ProgramFiles%\Symantec Endpoint Protection\smc -start

controllare che lo scudo giallo del SEP Client ricompaia nella System Tray; eseguire il programma Sylink Monitor eseguendo il file SylinkMonitor.exe (il programma Sylink Monitor pu essere scaricato qui) cliccare col pulsante destro del mouse sopra lo scudo giallo del SEP Client ed eseguire il comando Update Policy; dalla finestra del programma Sylink Moinitor si dovrebbe vedere scorrere, in tempo reale, la registrazione del traffico di rete fra il SEP Client ed il SEP Manager; premere il pulsante Save per salvare la registrazione della comunicazione; aprire il registro di Windows utilizzando il comando:
regedit.exe

modificare il valore della chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\smc_debuglog_on da 1 a 0; chiudere la finestra del editor del registro di Windows; qualora fosse aperta, chiudere la finestra Symantec Endpoint Protection del SEP Client; eseguire i comandi, nella sequenza riportata, dalla Command Prompt:
smc -stop smc -start

controllare che lo scudo giallo del SEP Client ricompaia nella System Tray; procedere ad analizzare il file contenete la registrazione del traffico di rete fra il SEP Client ed il SEP Manager, realizzato col programma Sylink Monitor. Trattandosi di problemi di comunicazione di rete, un utile strumento di analisi potrebbe essere WireShark, il famoso strumento di analisi del traffico TCP/IP, un utilissima guida per imparare ad utilizzare il programma WireShark, il video realizzato da Aniket Amdekar dal titolo Capturing network communication packets with Wireshark Utility.

Come gestire l'errore "Error Code 9 Heuristic Scan or Load Failure"


Sebbene ufficialmente risolto con la versione del SEP MR4 MP1a (come riportato nel documento della Symantec dal titolo TruScan has generated an error code 9), il problema della segnalazione TruScan error code 9 Heuristic Scan or Load Failure (immagine) si pu presentare ancora sulle postazioni con Windows 2000. In base all'esperienza maturata dall'autore di questo documento, il problema del TruScan error code 9 Heuristic Scan or Load Failure pu venire risolto solamente sulle postazioni che abbiano installato la versione RU5 o superiore del SEP Client. Per risolvere il problema, bisogna assicurarsi che le seguenti condizioni siano soddisfatte: il SEP Client aggiorna regolarmente le definizioni antivirus, sia per il componente Antivirus and Antispyware Protection, sia per il componente Proactive Threat Protection; il device driver SRTPL risulta caricato correttamente dal sistema operativo (immagine): aprire il men Start e cliccare col pulsante destro del mouse sopra la voce My Computer, dal men a scomparsa, selezionare la voce Manage (qualora non si trovasse la voce My Computer all'interno del men Start, si pu cercare l'icona My Computer sul desktop); nella finestra Computer Management, selezionare la voce Device Manager; aprire il men View e selezionare la voce Show hidden devices; nella finestra di sinistra, espandere la voce Non-Plug and Play Drivers e cercare il driver SRTPL; cliccare col pulsante destro del mouse sopra il driver SRTPL e cliccare sulla voce Properties; accertarsi che all'interno della finestra Device status compaia la frase This device is working properly. Questo significa che il driver SRTPL funziona correttamente; premere il pulsante Cancel e chiudere la finestra Computer Management.

29 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

Se le condizioni appena riportate sono soddisfatte, allora forse si tratta di un falso positivo, in altri termini, il componente Proactive Threat Protection si aggiorna regolarmente e quindi la segnalazione di mancato aggiornamento delle definizioni antivirus relative al componente Proactive Threat Protection, non corretta. Per rimuovere questa falsa segnalazione, bisogna andare a modificare manualmente il registro di windows: collegarsi alla postazione che presenta il problema con un utente avente diritti amministrativi sulla postazione stessa; aggiornare, se non gi fatto in precedenza, il SEP Client alla versione RU5 o superiore e riavviare la postazione di lavoro; appena la postazione di lavoro torna disponibile, collegarsi alla postazione con un utente avente diritti amministrativi sulla postazione stessa; aprire il men Start e selezionare la voce Run...; scrivere nella casella di testo Opern: il comando:
regedit

premere il pulsante OK per confermare; all'apertura del editor del registro di Windows, aprire la chiave di registro HKEY_LOCAL_MACHINE\Software\Symantec \Symantec Endpoint Protection\AV\Storages\SymHeurProcessProtection\RealTimeScan\Error; sostituire il valore esadecimale 49 (o decimale 73) col valore 0; chiudere l'editor del registro di Windows; verificare che il componente Proactive Threat Protection si sia avviato regolarmente. Se anche dopo la modifica della chiave di registro HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\AV\Storages\SymHeurProcessProtection\RealTimeScan\Error il problema persiste, ci si dovr rivolgere al personale di supporto della Symantec.

Come gestire la segnalazione "The wizard was interrupted before Symantec Endpoint Protection could be completely installed"
In alcune circostanze, tipicamente quando l'installazione del SEP Client non viene eseguita utilizzando l'utente Administrator, si pu presentare una situazione anomala: l'installazione del SEP Client si avvia per poi fermarsi quasi subito riportando il messaggio The wizard was interrupted before Symantec Endpoint Protection could be completely installed. Questo messaggio, The wizard was interrupted before Symantec Endpoint Protection could be completely installed, di norma dovuto al fatto che i permessi sulla configurazione DCOM della macchina non sono impostati correttamente. Il problema legato al messaggio The wizard was interrupted before Symantec Endpoint Protection could be completely installed, pu presentarsi su tutte le postazioni Windows, 2000, 2003, 2008, XP, Vista e 7. Per risolvere questo problema si pu prcedere come riportato di seguito: collegarsi alla postazione che presenta il problema con un utente avente diritti amministrativi sulla postazione stessa; aprire il men Start, selezionare la voce Run... e digitare nella casella di testo Open il comando:
dcomcnfg.exe

premere il pulsante OK per confermare; all'apertura della finiestra Component Services, cliccare sulla voce Component Services che si trova sulla sinistra; espandere le voci Component Services, Computers e My Computer; cliccare col pulsante destro del mouse sulla voce My Computer, dal men contestuale che si apre, selezionare la voce Properties; andare nella sezione Default Properties e assicurarsi che siano impostate e selezionate le seguenti voci (immagine): Enable Distributed COM on this ccomputer; Default Authentication Level impostato su Connect; Default Impersonation Level impostato su Identity; andare nella sezione COM Security (immagine); premere il pulsante Edit Default della sottosezione Access Permission; accertarsi che i permessi siano impostati come segue (se non lo sono, provvedere ad adeguare l'impostazione a quella riportata di seguito): il gruppo SELF deve avere i permessi di Allow in Local Access e Remote Access; il gruppo SYSTEM deve avere i permessi di Allow in Local Access; il gruppo Administrators locale della macchina deve avere i permessi di Allow in Local Access e Remote Access; premere il pulsante OK per confermare i permessi impostati; premere il pulsante Edit Default della sottosezione Launch and Activation Permissions; accertarsi che i permessi siano impostati come segue (se non lo sono, provvedere ad adeguare l'impostazione a quella riportata di seguito): il gruppo SYSTEM deve avere i permessi di Allow in Local Launch, Remote Launch, Local Activation, Remote Activation; il gruppo Administrators locale della macchina deve avere i permessi di Allow in Local Launch, Remote Launch, Local Activation, Remote Activation; il gruppo INTERACTIVE deve avere i permessi di Allow in Local Launch, Remote Launch, Local Activation, Remote Activation; premere il pulsante OK per confermare i permessi impostati; premere il pulsante OK per confermare la configurazione impostata; riavviare la postazione onde possa prendere la nuova configurazione DCOM; una volta riavviata la postazione, procedere di nuovo con l'installazione del SEP Client. Se la soluzione proposta non dovesse funzionare, ovvero le impostazioni DCOM erano corrette, vuol dire che molto probabilmente la DLL Oleaut32.dll non registrata (come descritto nella Knowledge Base Unable to install the Symantec Endpoint Protection). Per registrare la libreria Oleaut32.dll basta eseguire il seguente comando (va bene anche dalla Command Prompt):
regsvr32 oleaut32.dll

30 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

Come gestire la segnalazione "Symantec Endpoint Protection has detected that there are pending system changes that require a reboot"
Talvolta quando si tenta d'installare il SEP Client su talune postazioni di lavoro, siano esse con Windows 2000, o Windows XP, o con Windows Vista, l'installazione del SEP Client s'interrompe e compare a video il messaggio: Symantec Endpoint Protection has detected that there are pending system changes that require a reboot. Please reboot the system and rerun the installation. Anche se si riavvia la postazione, il processo d'installazione del SEP Client continua ad interrompersi sempre con la stessa segnalazione d'avviso: Symantec Endpoint Protection has detected that there are pending system changes that require a reboot. Please reboot the system and rerun the installation. Per risolvere questo problema, basta procedere come riportato di seguito: collegarsi alla postazione che presenta il problema con un utente avente diritti amministrativi sulla postazione stessa; aprire il men Start e selezionare la voce Run...; scrivere nella casella di testo Opern: il comando:
regedit

premere il pulsante OK per confermare; all'apertura del editor del registro di Windows, aprire la chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager per le postazioni con Windows 2000/XP/Vista; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Control\SessionManager per le postazioni con Windows Vista; esportare il contenuto della chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager per le postazioni con Windows 2000/XP/Vista; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Control\SessionManager per le postazioni con Windows Vista; in un file .reg; cancellare il contenuto della chiave string denominata PendingFileRenameOperations; chiudere l'editor del registro di Windows e procedere con l'installazione del SEP Client; riavviare la postazione di lavoro; appena la postazione di lavoro torna disponibile, collegarsi alla postazione con un utente avente diritti amministrativi sulla postazione stessa; aprire il men Start e selezionare la voce Run...; scrivere nella casella di testo Open: il comando:
regedit

premere il pulsante OK per confermare; verificare che il contenuto della chiave di registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\PendingFileRenameOperations per le postazioni con Windows 2000/XP; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Control\SessionManager \PendingFileRenameOperations per le postazioni con Windows Vista; sia tornato quello originale, qualora non lo fosse, provvedere a recuperare il contenuto della chiave di registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\PendingFileRenameOperations per le postazioni con Windows 2000/XP; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Control\SessionManager \PendingFileRenameOperations per le postazioni con Windows Vista; sfruttando il file .reg precedentemente realizzato; chiudere l'editor del registro di Windows e riavviare la postazione di lavoro; appena la postazione di lavoro torna disponibile, verificare che la postazione funzioni correttamente; procedere di nuovo con l'installazione del SEP Client. Per maggiori informazioni su questo tipo di problema si pu consultare il post How to fix issue with Symantec Endpoint client not installing due to a required reboot.

Come gestire le postazioni infette da virus o malware


Non esiste una vera e propria ricetta per gestire le postazioni infette con virus, worm o malware. Ogni virus, worm o malware ha le sue peculiarit, le sue modalit operative e un suo modo per venire rimosso o disattivato. Ci non di meno, si possono consigliare delle procedure da seguire e degli strumenti da utilizzare quando ci si trova di fronte ad una postazione infettata da virus, worm o malware. Di solito la percezione che una postazione di lavoro ha un virus o un malware, si ha quando la postazione, improvvisamente, smette di comportatsi in modo corretto. La presenza di virus o malware pu essere in taluni casi esplicita, ovvero il virus o il malware annuncia la sua presenza mostrandosi apertamente, ad esempio aprendo di continuo uno o pi determinati programmi, oppure il programma antivirus riporta un messaggio a video in cui segnala la presenza di qualcosa di anomalo. In alcuni casi il malware si pu mostrare spacciandosi esso stesso per un sistema antivirus, comunicando, tramite una finestra pop-up a video, la presenza di infezioni fasulle all'interno della postazione di lavoro. Di norma, a corredo di queste segnalazioni, viene sempre fornita la possibilit, previo invio di un pagamento tramite carta di credito, di eliminare le infezioni segnalate. La presenza di worm in una data postazione di lavoro pu essere invece pi subdola, di solito la presenza di un worm si ha per un improvviso collassamento di alcuni programmi o servizi di rete che all'improvviso smettono di rispondere. Recentemente alcuni virus informatici si sono avvantaggiati della possibilit di agire come rootkit all'interno del sistema operativo. Negli ultimi anni sono stati creati diversi cavalli di troia (Trojan) ed altri programmi maligni (Malware) in grado di ottenere il controllo di un computer da locale o da remoto in maniera nascosta, ossia non rilevabile dai pi comuni strumenti di amministrazione e controllo. I rootkit vengono tipicamente usati per nascondere delle backdoor. Negli ultimi anni, tuttavia, s' molto diffusa la pratica, tra i creatori di malware, di utilizzare i rootkit per rendere pi difficile la rilevazione di particolari Trojan e Spyware, indipendentemente dalla presenza in

31 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

essi di funzioni di backdoor, proprio grazie alla possibilit di occultarne i processi principali. Grazie all'alto livello di priorit con la quale sono in esecuzione, i rootkit sono molto difficili da rilevare e da rimuovere con i normali software antivirus. I rootkit vengono usati anche per trovare le informazioni personali presenti in un computer e inviarle al mittente del malware ed essere poi utilizzate da esso per scopi personali, come per esempio un keylogger (a livello kernel) che memorizza tutti i tasti premuti direttamente dal driver per il controllo della tastiera. I pi comuni rootkit fanno uso di moduli del kernel. Una possibile ricetta per individuare i virus, i worm o i malware potrebbe essere quella che propongo di seguito: come prima analisi, si possono utilizzare gli strumenti della Sysinternals, come ad esempio Autoruns, Process Explorer e Process Monitor. Questi tre strumenti si rivelano molto preziosi per individuare i processi anomali che sono in esecuzione su una postazione infetta. Si tenga presente che i virus, worm e malware generano di norma dei processi che soddisfano alle seguenti regole: Per ottenere maggiori informazioni sui processi che sono in esecuzione, si pu consultare il sito web http://www.processlibrary.com generano processi che di solito vengono eseguiti al momento dell'avvio del sistema operativo o al momento del Logon di una persona. Per questo tipi di processi, il programma Autoruns si rivela particolarmente utile; generano processi dai nomi anomali, composti da consonanti e vocali che danno vita a parole o acronimi senza senso; si trovano in percorsi anomali, come ad esempio la cartella dei file temporanei di Internet Explorer (%USERPROFILE%\Local Settings\Temporary Internet Files) o all'interno delle cartelle che contengono i file temporanei (%USERPROFILE%\Local Settings\Temp) dei processi o delle applicazioni eseguite dal personale che opera sulla postazione; taluni virus, worm o malware pi difficili da scovare, si masherano all'interno del processo svchost.exe. Pertanto, conviene sempre dare un'occhiata al contenuto della chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost per vedere se ci sono dei processi strani che verranno avviati al momento della partenza del sistema operativo. Per avere un'idea su come utilizzare i comandi Process Explorer e Process Monitor si pu consultare la presentazione Advanced Malware Cleaning realizzata da Mark Russinovich. qualora si ritenga che sulla postazione ci sia un worm o un malware, si possono installare sulla postazione infetta, qualora fosse possibile, i seguenti programmi: Malwarebytes Anti-Malware; Sophos Anti-Rootkit; ComboFix (questo programma funziona, per, solamente con le postazioni Windows XP, non va utilizzato con tutti gli altri sistemi operativi della Microsoft); e svolgere con questi programmi una opportuna scansione di tutti i processi attivi sulla postazione. Si tenga presente che taluni virus, worm o malware impediscono l'installazione o l'utilizzo di alcuni programmi di analisi che possono rivelare la loro presenza. per rimuovere i virus, worm o malware pi insidiosi, si possono utilizzare i LiveCD, ovvero cdrom con un sistema operativo ed un programma antivirus in grado di controllare i dischi locali di una macchina. Un utile LiveCD per questo tipo di attivit potrebbe essere ClamAV Live CD. Recentemente la Symantec ha messo a disposizione dei suoi clienti il Symantec Endpoint Support Tool Cdrom, un utilissimo boot cdrom per svolgere questo tipo di scansioni. Per sapere come utilizzare questo cdrom, si pu consultare il video How to use Symantec Endpoint Support Tool Cdrom; un metodo alternativo a quello dei LiveCD, quello di estrarre i dischi fisici, qualora non sia presente un RAID, di una postazione infetta, inserirlo in un convertitore che trasforma i connettori EIDE o SATA in USB, collegare il disco ad una porta USB di un computer sicuro con installato un buon motore antivirus, come ad esempio il SEP Client e provvedere ad una scansione approfondita del disco della postazione infetta; in taluni casi, una scansione antivirus eseguita in Modalit Provvisoria di Windows, pu risolvere il problema. Di solito questa tecnica viene utilizzata per rimuovere eventuali rootkit presenti all'interno del sistema operativo; un altro tentativo che pu valere la pena eseguire il ripristino del sistema operativo. Per svolgere per questa operazione, bisogna essere in possesso di un cdrom del sistema operativo (Windows 2000/XP) o un DVD, nel caso di Windows Vista/7, aggiornato con la stessa Service Pack del sistema operativo che si cerca di ripristinare. Una volta terminata la procedura di ripristino, si dovr procedere con l'applicazione di tutte le HotFix della Microsoft rilasciate dal momento della realizzazione della Service Pack applicata al sistema operativo appena ripristinato. Le procedure riportate hanno valenza generale, si tenga per presente che non sempre le procedure indicate possono risolvere i problemi causati da un virus, o un worm, o un malware. Pu succedere, infatti, che i danni causati alla postazione siano tali che l'unica soluzione praticabile, quella di reinstallare da zero la postazione di lavoro. Pertanto una buona analisi della propria infrstruttura di rete, del uso dei vari PC aziendali o del grado a cui vogliamo esporre le postazioni di lavoro ad Internet, pu evitare futuri e spiacevoli imprevisti.

Come evitare di essere vittime dei Virus


Sebbene nel mondo vengano prodotti di continuo virus e codici maligni, non ci si deve rassegnare all'inevitabile, virus e codici maligni si possono evitare! Basta adottare una buona politica di sicurezza. Per evitare i virus, o comunque ridurre gli effetti che possono causare, basta seguire alcune semplici regole: evitare di fornire privilegi amministrativi ai vari dipendenti aziendali sulle loro postazioni di lavoro (per maggiori informazioni si pu consultare l'articolo della Microsoft Applying the Principle of the Least Privilege to User Accounts); dotare le postazioni Windows aziendali di un buon programma antivirus ed antispyware, come ad esempio il Symantec Endpoint Protection; assicurarsi che il programma antivirus ed antispywere delle varie postazioni Windows si aggiorni regolarmente; dotare la propria azienda di un buon sistema di firewall perimetrale opportunamente configurato; dotare la propria azienda di un buon programma di Network Intrusion Detection System, come ad esempio SNORT; chiudere in modo selettivo la porta TCP 25 sul firewall aziendale (in altri termini, dalle postazioni di lavoro dei dipendenti non dovrebbe essere possibile inviare email sfruttando server SMTP esterni alla rete aziendale); dotare l'azienda di una soluzione per il controllo della navigazione Internet da parte dei dipendenti aziendali; installare l'ultima versione disponibile di Internet Explorer; aggiornare regolarmente le postazioni di lavoro con le ultime HotFix di sicurezza, utilizzando ad esempio il programma Microsoft Windows Server Update Services; aggiornare regolarmente all'ultima versione disponibile i programmi, se utilizzati, Adobe Acrobat Reader ed Adobe Flash Player.

32 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

Una discussione interessante su come non sempre un programma antivirus sia in grado di proteggere, da solo, una postazione di lavoro la seguente: Antivirus software and the illusion of protection.

Riferimenti utili
Di seguito riportiamo alcuni riferimenti utili, per reperire informazioni sul SEP e su come contattare la Symantec per aprire eventuali chiamate al supporto tecnico: per questioni non tecniche, come problemi sulle licenze, contattate il Servizio Clienti, in lingua Italiana, al numero 02/48270040; per problematiche tecniche, come problemi d'installazione o di funzionamento del SEP, oppure per richiedere il programma CleanWipe per la rimozione automatica del SEP Client, si pu contattate il Supporto Clienti, in lingua Italiana, al numero 02/45281050; per problematiche tecniche, si possono aprire le chiamate anche utilizzando, previa registrazione, il sito web Symantec MySupport. Per chiamare o il Servizio Clienti o il Supporto Clienti bisogna essere in possesso di un codice di licenza valido. Per registrarsi sul sito Symantec MySupport bisogna essere in possesso di un ContactID che di solito viene fornito alle societ che sono registrate sul sito web Symantec PartnerNet. Alcuni siti web che possono tornare utili: Symantec FileConnect per scaricare le utlime versioni del SEP. Per poter accedere al sito bisogna essere in possesso di un codice di licenza valido; Symantec Endpoint Protection Definitions dove scaricare le definizioni aggironate dei SEP Client e del SEP Manager; Upload a Suspected Infected File per segnalare alla Symantec eventuali file infetti non individuati dal SEP Client (bisogna essere in possesso di un Contact ID valido); Symantec Connect il portale sulla documentazione ufficiale Symantec. Nei vari Blogs vengono riportate anche le opinioni e le esperienze delle varie persone che utilizzano i prodotti Symantec; Security Symantec Connect il Blog ufficiale del SEP; Articles Created For You By Technical Support & Trusted Advisors alcuni dei migliori articoli scritti sul SEP; VirusTotal: un utilissimo sito per controllare la bont di un file. VirusTotal controlla il contenuto del file con oltre 40 motori antivirus diversi, evidenziando i risultati ottenuti da ciascun motore antivirus. Un modo per sapere se un file infetto o meno; Alcuni strumenti che possono tornare utili: Malwarebytes Anti-Malware: fornisce, gratuitamente, un utile strumento per rintracciare i malware all'interno di una postazione di lavoro; Sophos Anti-Rootkit: uno dei migliori strumenti gratuiti per rimuovere malware e rootkit da un computer; ClamAV Live CD: l'autore del sito mette a disposizione un Live CD con pre-installato il programma antivirus ClamAV, per eseguire la scansione di interi dischi senza l'ingombro del sistema operativo installato sulla postazione caricato; Sysinternals: l'autore del sito, Mark Russinovich, mette a disposizione tutta una serie di strumenti fondamentali per l'analisi della sicurezza delle varie postazioni di lavoro. Tra i vari strumenti di lavoro messi a disposizione, citiamo: Autoruns; Handle: ListDLLs; Process Explorer; Process Monitor; RootkitRevealer; CAINE Live CD: un progetto realizzato dall'Universit di Modena e Reggio Emilia, che ha lo scopo di fornire agli amministratori di sistema e a coloro che si occupano di Computer Forensics, tutta una serie di strumenti per realizzare un analisi approfondita sulla sicurezza di una postazione di lavoro; Hiren's Boot CD: uno dei Live CD pi interessanti, non solamente per la sicurezza informatica. Si pu scaricare questo fantastico Live CD da qui.

File e cartelle da escludere dai controlli del Auto-Protect


Sulle postazioni client, conviene escludere le seguenti estensioni di file dai controlli del Auto-Protect: ESTENSIONE FILE chk dbx dcp dcu dfm dit edb eml fdb Delphi Compiled Unit File degli strumenti di gestione della Cisco File di Active Directory (Directory Information Tree) Empress Embedded Database File di testo delle email di Thunderbird Font Definition Block File di Aiuto di Windows File di Outlook Express DESCRIZIONE

33 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

ESTENSIONE FILE gdb jdb lck ldb ldf lnk log mdb mdf nsf ntf pas pat pipp pst tmp txt vmdk vmem vmsd vmx iso File generati dal GNU Debugger File dei database di Java

DESCRIZIONE

File dei lock dei database di MS SQL Server File dei transaction log dei database di MS SQL Server File di testo di Active Directory (LDIF) File di collegamento ad una applicazione di Windows File di testo File dei database di Access File dei transaction log dei database di Access File d'archiviazione della posta elettronica di IBM Lotus Notes File temporanei del programma IBM Lotus Notes

File di archivio delle Mailbox di Outlook File temporaneo File di testo File di VMWare File di VMWare File di VMWare File di VMWare File d'archivio per supporti ottici (ISO 9660 File System)

Sia sulle postazioni server, sia sulle postazioni client, andrebbe escluso il seguente file dai controlli in Auto-Protect: %SystemDrive%\Pagefile.sys Sulle postazioni server che ricoprono il ruolo di Domain Controller andrebbero tolte dai controlli del Auto-Protect le seguenti cartelle e file: %SystemDrive%\Pagefile.sys %SystemRoot%\ntds %SystemRoot%\ntfrs\jet %SystemRoot%\SYSVOL %systemroot%\SYSVOL\staging %systemroot%\SYSVOL\staging areas %systemroot%\SYSVOL\SYSVOL %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory Sui server che svolgono la mansione di DNS, va esclusa dai controlli del Auto-Protect la seguente cartella: %systemroot%\system32\dns Sui server che svolgono la mansione di DHCP, va esclusa dai controlli del Auto-Protect la seguente cartella: %systemroot%\system32\dhcp Sui server che svolgono la mansione di WINS, va esclusa dai controlli del Auto-Protect la seguente cartella: %systemroot%\system32\wins Sui server in cui stato installato il servizio WSUS, va esclusa la cartella in cui stato installato il programma WSUS, di solito la cartella %SystemDrive%\WSUS. Se si attivato il servizio DFS, bisogna escludere la cartella in cui sono state archiviate le cartelle radici del DFS, di solito %SystemDrive%\DFSRoot. Pi in generale vanno escluse dal Auto-Protect tutte le cartelle che contengono dei database o i transaction log dei database.

34 di 35

07/03/2012 10.07

Amministrazione del Symantec Endpoint Protection

http://www.homeworks.it/Html/Amministrazione_SEP_Ita.html

Follow us on Twitter

Be a fan on Facebook

2011 Home Works - all rights reserved Questo sito ha superato il test W3C Validator HTML e CSS Si ringrazia il sito http://css.flepstudio.org

35 di 35

07/03/2012 10.07