SEP12-展望端点防护的未来

PresentationIdentifierGoesHere1SymantecEndpointProtection

简介

SEP产品功能介绍SEP主要功能模块12.1版本新功能简介SEP防病毒方案的主要组件及架构SEPM服务器的安装环境Server-Client式端点防护的实现当前客户环境下的常见问题

----戚明峰赛门铁克端点防护（SEP）系统组成PresentationIdentifierGoesHere2产品组件功能说明防病毒及接入控制SEPM管理服务器SEP客户端客户端agent，包括防病毒和防间谍软件、网络威胁防护防护、主动型威胁防护、接入控制等功能模块接入控制网关SNAC

6100接入控制网关设备主要模块及其功能介绍

PresentationIdentifierGoesHere3防病毒和防间谍软件网络威胁防护主动型威胁防护网络访问控制SymantecEndpoint

Protection防病毒和防间谍软件检测,阻止,移除病毒间谍软件Rootkits其他恶意程序主动型威胁防护主动威胁扫描设备控制应用程序控制网络威胁防护防火墙过滤入侵防护，特征自动更新处所自动切换网络访问控制终端遵从和强制策略阻止不满足遵从性验证的客户端进入网络控制访客进入网络SymantecEndpointProtection恶意软件防护个性化防火墙入侵防御设备控制应用程序控制AccessControlSymantecEndpointProtection124一个控制台一个代理Win、

OSX、Linux以Insight为后盾新增功能-无可匹敌的安全保障InsightSONAR-引人瞩目的性能扫描速度更快-针对虚拟环境而构建识别并管理虚拟客户端减少扫描工作量SymantecEndpointProtection12.1Symantec

Insight技术SymantecEndpointProtection12新增功能SymantecEndpointProtection125更高的虚拟机密度与11.x相比，预计执行完整扫描的磁盘IO会减少80%-90%改进了客户端安装和部署向导集成了Mac客户端支持和管理针对虚拟环境而设计简化安装部署、支持多平台结合文件的具体环境，识别检测不到的威胁，会发现变化多端的变种文件（识别内些间于风险文件和可信文件之间的可疑文件），Insight-优化的扫描，跳过我们确信可靠的任何文件，从而可以缩短扫描时间SEP防病毒系统组件及其架构SymantecEndpointProtection6SEP各组件简介

可集中管理连接至服务器的客户端计算机,进行防护策略、病毒特征库的配置和分发，并提供统一的监控和报表统计功能。

存储各项安全策略及事件的数据库。数据库可安装在承载SymantecEndpointProtectionManager的计算机上，也可设置单独的数据库服务器。安装在客户端计算机上的agent程序，提供终端防护功能。包括防病毒和防间谍软件、网络威胁防护防护、主动型威胁防护等功能模块。利用SEP客户端搭建的内容更新节点，为分行客户端提供内容更新。

LiveUpdateServer可从SymantecLiveUpdate服务器下载定义、特征和产品更新，并将更新派送至客户端计算机。PresentationIdentifierGoesHere7数据库（SQLServer）SEP客户端LiveUpdateServer（LUA）管理服务器（SEPM）GroupUpdateProvider（GUP）SEPM的安装环境系统要求：具有ServicePack3或更高版本的Windows 2000Server、

Windowsserver2003或2008（R2）内存：至少4G硬盘：对于大多数系统而言，要有100GB用于服务器，另有100GB用于数据库数据库：具有ServicePack4或更高版本的MicrosoftSQLServer2000、具有ServicePack2的MicrosoftSQLServer2005、MicrosoftSQLServer2008磁盘规划：系统盘60G；D盘剩余全部操作系统密码：长于8位，至少包含1个大写字母，1个小写字母，1个数字和1个特殊字符启用“Java”和“活动脚本”，设置隐私中的Cookie选项改为“中”关闭Windows防火墙静态IP地址远程桌面服务开启，server服务自启动PresentationIdentifierGoesHere8SEPM的安装SEPM的安装环境准备完成，即可进行安装SQL数据库的安装SQL补丁包的安装SEP防病毒模块和SNAC模块的安装SEP安装包的导出及发布PresentationIdentifierGoesHere9客户端的安装安装环境确认操作系统版本需要本地管理员用户安装。需要IE6.0以上版本。

确认C盘有大于1GB的可用空间。内存大于等于512M冲突软件卸载集团报表服务器瑞星防病毒，瑞星防火墙，瑞星卡卡上网安全助手卡巴斯基防病毒，趋势防病毒，Kill防病毒，MacAfee防病毒金山毒霸，江民，天网防火墙等F-secure防病毒，AVG防病毒,Nod32防病毒Symantec个人版产品-NIS（网络特警），Norton360360保险箱PresentationIdentifierGoesHere10服务器侧管理及操作本地方式，SEPM服务器上安装有SymantecEndpointProtectionManager管理程序，管理员可以打开该程序登录管理平台远程方式，管理员访问http://SEPServerIP:9090访问SEP远程管理平台，需要安装Java基础程序和远程管理平台PresentationIdentifierGoesHere11服务器常用操作及管理---管理报告和日志通过登录SEP管理平台，访问报告和日志界面通过访问http://SEP_Server_IP/Reporting界面，访问报告和日志界面PresentationIdentifierGoesHere12服务器常用操作及管理---管理报告和日志PresentationIdentifierGoesHere13服务器常用操作及管理---客户端管理系统管理员登录管理平台后，可以对当前的SEP客户端进行管理，包括“删除”、“移动”、“对客户端执行命令”等工作。其中所有的管理界面可以通过鼠标右键点击客户端图标调出。PresentationIdentifierGoesHere14

客户端策略：管理员可以通过登录管理平台对所有策略进行编辑、分配、撤回等操作。PresentationIdentifierGoesHere15服务器常用操作及管理---系统备份及还原目前SEP服务器每天自动会进行系统备份，备份内容为SEP数据库，备份位置：d:\ProgramFiles\Symantec\SymantecEndpointProtectionManager\date\backup，如果服务器出现故障或意外情况，可以在其它的SEPM服务器上还原数据库。另外可以直接选择SEPM服务器上“数据库备份和还原”选项进行手动的备份和还原。PresentationIdentifierGoesHere16常见的客户案例客户端病毒定义无法升级

常见原因：脱机----与服务器的通信文件出现问题 C盘不足----客户端C盘须预保留1.5G空间

客户端版本脚低，建议升级客户端后在升级病毒定义

此问题用户使用SEP的常见问题，普遍存在，但数量有多有少，目前银联数量较多，也较为关注。PresentationIdentifierGoesHere17常见的客户案例SEPM服务器及数据库工作异常

该问题在银联和东亚银行都出现过，问题只发生在使用SQL2005的数据库服务器上。

现象：各站点的数据库数据量增长较快。这可能由于默认的数据库文件大小限制（每个数据库文件默认限制大小为20000MB），导致数据库和SEPM工作不正常。常见的错误如下：SEPM策略，终端的维护操作无法完成；SEPM不能正常查看和报错报告，日志；PresentationIdentifierGoesHere18

解决方法：使用具有管理权限的账户登录SQLServermanagementstudio选择“数据库”“SEM5”，右键选择“属性”，更改以下数据库文件的限制大小：

SEM5; SEM5_content; SEM5_index; SEM5_loginfo; SEM5_rptinfo;调整方法为：选择逻辑名称对应的“自动增长”列中的“……”按钮。选择最大文件限制为“不限制文件增长”

“确定”。PresentationIdentifierGoesHere19常见的客户案例使用SQL2005数据库的SEPM无法正常更新病毒定义原因：赛门铁克AV内容的定义大小超出了已知的SQL2005数据库的限制。由于这个原因，SEPM服务器无法发布定义。解决方案：解决这个限制值，就要为server.xml(RU6或更早版本)orroot.xml(RU7所有版本)添加数据库连接设置（“PACKETSIZE”）。目前客户的SEPM版本基本都在在11.0.7200及以后版本，故只需修改root.xml内容，方法如下：

停止SEPM服务；

进入%SEPM安装文件%\tomcat\conf\Catalina\localhost\下，备份ROOT.xml文件；

编辑该目录下ROOT.xml

，增加一行：

重启SEPM服务，执行liveupdate。PresentationIdentifierGoesHere20常见的客户案例控制台无法登录，显示意外的服务器错误现象：SEPM挂起或崩溃，出现错误“无法获取连接，池错误超时等待闲置对象”原因：发生此错误的原因是Tomcat的连接池已满解决方法：停止SymantecE