Symantec Endpoint Protection

[Pablo Z 0]

Подскажите, пожалуйста, как организовать централизованное управление филиалами из одной консоли, чтобы трафик и использование полосы пропускания между ними и центральным офисом были минимальными (то есть обновления баз каждый филиал производит сам, а политики и настройки серверов производятся в одном месте и один раз)

И если прервется связь между офисами, чем это грозит?

[Кирилл Керценбаум 671]

Pablo Z есть два варианта:

1. Использовать Group Update Provider (GUP) - тогда все все политики будут настраиваться централизованно, вопрос поиска новых ПК в других подсетях можно решить с помощью Unmanaged Detector. Клиенты будут получать с сервера напрямую только обновленные политики и передавать на сервер логи, примерный трафик примерно 500 Кб в день, в зависимости от типа передаваемых логов. При этом обновления будет загружать только один локальный ПК, а все остальные будут получать обновления с него. Если прервется связь - ничего не произойдет, либо клиенты останутся без обновлений, либо пойдут за ними в Интернет после истечения заданного вами интервала времени

2. Использование второго сервера SEPM ддя репликации. Плюс - все работает даже в автономном режиме, возможно перенастраивать политики и т.д. Минус - трафик для репликаций может достигать примерно 100 Мб в день

[Pablo Z 0]

Pablo Z есть два варианта:

1. Использовать Group Update Provider (GUP) - тогда все все политики будут настраиваться централизованно, вопрос поиска новых ПК в других подсетях можно решить с помощью Unmanaged Detector. Клиенты будут получать с сервера напрямую только обновленные политики и передавать на сервер логи, примерный трафик примерно 500 Кб в день, в зависимости от типа передаваемых логов. При этом обновления будет загружать только один локальный ПК, а все остальные будут получать обновления с него. Если прервется связь - ничего не произойдет, либо клиенты останутся без обновлений, либо пойдут за ними в Интернет после истечения заданного вами интервала времени

2. Использование второго сервера SEPM ддя репликации. Плюс - все работает даже в автономном режиме, возможно перенастраивать политики и т.д. Минус - трафик для репликаций может достигать примерно 100 Мб в день

Кирилл, спасибо за ответ!

Сразу возикают еще вопросы:

Как использовать GUP? Где почитать подробно? Это на сервере ставится? Он только для обновлений баз?

А клиенты будут подключены только к одному серверу в центральном офисе? При этом как я понимаю должен быть открыт 80 порт наружу?

Какие порты должны быть открыты в 1 и 2 случае?

Можно сделать так, чтобы обновления качались прямо из интернета сервером?

Клиента разливаю групповой политикой, единственный вопрос как их при этом добавить в нужную группу? Только экспортировать разные пакеты?

[Кирилл Керценбаум 671]

Pablo Z Раздел Сведения об обновлении содержимого на клиентских компьютерах с помощью Поставщика обновлений групп в administration_guide.pdf

Это на сервере ставится?

На любом ПК

Он только для обновлений баз?

Пока Да

А клиенты будут подключены только к одному серверу в центральном офисе?

В этом сценарии да

Можно сделать так, чтобы обновления качались прямо из интернета сервером?

Можно, почему нет

Только экспортировать разные пакеты?

Да

[Pablo Z 0]

Pablo Z Раздел Сведения об обновлении содержимого на клиентских компьютерах с помощью Поставщика обновлений групп в administration_guide.pdf

На любом ПК

Пока Да

В этом сценарии да

Можно, почему нет

Да

Кирилл, спасибо за ответы и ссылку-буду изучать

Еще маленький вопросик: а если политика не задана (убрана), а компонент на клиенте стоит, к примеру файрвол, будет применяться политика по умолчанию или компонент не будет работать?

И насчет портов, какие открывать в случае удаленных клиентов, это только 80?

[Кирилл Керценбаум 671]

Еще маленький вопросик: а если политика не задана (убрана), а компонент на клиенте стоит, к примеру файрвол, будет применяться политика по умолчанию или компонент не будет работать?

Компонент будет работать в прозрачном режиме

[angel-keeper 60]

И все таки для меня не совсем ясно. Если использовать Group Update Provider, то клиенты с указанного сервера будут обновлять политики и обновления вирусных баз.? Или клиенты будут только обновлять политики, а обновления вирусных баз будут брать с локального сервера Symantec Endpoint Protection Manager.?

[Кирилл Керценбаум 671]

Если использовать Group Update Provider, то клиенты с указанного сервера будут обновлять политики и обновления вирусных баз.?

На данный момент через GUP могут обновляться только базы: АВ, проактивная защита, IPS, ничего другого. И еще: это не обязательно должен быть сервер, GUP активируется на любом ПК, где установлен клиент SEP

[ejik 10]

На данный момент через GUP могут обновляться только базы: АВ, проактивная защита, IPS, ничего другого. И еще: это не обязательно должен быть сервер, GUP активируется на любом ПК, где установлен клиент SEP

Весь пост прочитал, но все равно не понял. GUP - это отдельный софт или он идет в комплекте с SEPM?

Кирилл, спасибо за ответы и ссылку-буду изучать

Я вот не нашел где ссылка, Кирилл не могли бы еще раз тыкнуть носом?

[Кирилл Керценбаум 671]

Я вот не нашел где ссылка, Кирилл не могли бы еще раз тыкнуть носом?

Сведения об обновлении содержимого на клиентских компьютерах с помощью Поставщика обновлений групп в administration_guide.pdf

Весь пост прочитал, но все равно не понял. GUP - это отдельный софт или он идет в комплекте с SEPM?

Это отдельная dll на каждом клиенте SEP, как только мы активируем его как GUP - она начинает работать

[ejik 10]

Спасибо Кирилл.

[A lone 20]

Кирилл, а планируется ли еще возможность указывать врменной интервал, когда GUP может закачать с SEPMа обновления для клиентов ? Как в MR3 указывается время хранения обновлений ? Это я к тому, что было бы неплохо, если бы можно было создать условие при котором обновления закачивалисть бы на GUP только ночью.

P.S.: наверное в пожеланиях по улучшению надо было написать

[Кирилл Керценбаум 671]

P.S.: наверное в пожеланиях по улучшению надо было написать

Лучше напишите, я чуть позже их консолидирую и зашлю по назначению

[A lone 20]

Кирилл, хотел уточнить такой момент: GUP обязательно должен находиться в той же группе, что и клиенты которых он обновляет ?

Соль вопроса заключается в том, что в моем случае GUPом назначается файловый сервер в удаленном офисе, и логично, что политики защиты от вирусов и пр. шпионов для серверов и рабочих станций отличаются, поэтому GUPы имеют свою группу. Но по непонятным мне причинам клиенты GUPов плохо обновляются. В чем может быть дело ?

[Кирилл Керценбаум 671]

A lone согласно вот этому описанию, GUPом клиент становится при первом обращении к нему, так что нахождение в одной группе совсем необязательно, главное чтобы IP адрес GUP клиента был доступен клиентам SEP, для которых он установлен

[in4stor 0]

Про политики и базы все понятно, но у меня возник другой вопрос - назначенный нами GUP скачивает базы для всех модулей СЕПа (антивирус, проактивная защита и т.д.) или только для тех, которые установлены на нем самом? Например, я хочу установить в качестве GUPа машину, на которой не будет фаервола, но с нее будут обновляться клиенты с фаерволом - получат ли они свои обновления в полной мере?

[Кирилл Керценбаум 671]

Про политики и базы все понятно, но у меня возник другой вопрос - назначенный нами GUP скачивает базы для всех модулей СЕПа (антивирус, проактивная защита и т.д.) или только для тех, которые установлены на нем самом? Например, я хочу установить в качестве GUPа машину, на которой не будет фаервола, но с нее будут обновляться клиенты с фаерволом - получат ли они свои обновления в полной мере?

GUP закачивает все обновления для всех компонент, которые есть на SEPM, а клиенты забирают только те что им нужны

[in4stor 0]

Отлично! Спасибо за оперативный ответ! )))

[ejik 10]

Кирилл, такой вопрос, можно в политиках обновления настроить так чтобы филиалы обновлялись со своего GUP-a, и не при каких обстоятельствах не ломились за обновлением на SEPM. Сейчас сложилась такая ситуация, обновления GUP качает ночью (если его не тушат) остальные подключаются к GUP-у в течении дня, но если GUP все таки потушили, то клиенты начинают ломиться за обновлениями на SEPM и тем самым вешают сеть. Можно ли это обойти?

[Олег Просветов 85]

такой вопрос, можно в политиках обновления настроить так чтобы филиалы обновлялись со своего GUP-a, и не при каких обстоятельствах не ломились за обновлением на SEPM. Сейчас сложилась такая ситуация, обновления GUP качает ночью (если его не тушат) остальные подключаются к GUP-у в течении дня, но если GUP все таки потушили, то клиенты начинают ломиться за обновлениями на SEPM и тем самым вешают сеть. Можно ли это обойти?

Добрый день,

Да это можно сделать. В политике Liveupdate для этих компьютеров в качестве источника обновлений выбрать GUP. В самих настройках GUPа в пункте Bypass Group Update Provider указать - Never. Для верности можно убрать галочки со всех остальных источников обновления помимо GUP.

[ejik 10]

Да это можно сделать. В политике Liveupdate для этих компьютеров в качестве источника обновлений выбрать GUP. В самих настройках GUPа в пункте Bypass Group Update Provider указать - Never. Для верности можно убрать галочки со всех остальных источников обновления помимо GUP.

В насторойках GUPa именно так все и настроено, а вот с остальним источниками обновления у меня галочки стоят на сервер управления по умолчанию (при сняти галочки дает ошибку) и сервер liveupdate (может эту галочку нужно снять.)

[man 5]

можно ещё дать группе доступ до того диапазона адрессов в которой находятся рабочии станции и так же использовать gup. при этом самому gupу разрешить доступ до sepm.

[ejik 10]

можно ещё дать группе доступ до того диапазона адрессов в которой находятся рабочии станции и так же использовать gup. при этом самому gupу разрешить доступ до sepm.

Не уточните как это сделать?

[man 5]

у меня сделано так:

1. 2 группы

1 группа - сервера (dc, fs)

2 группа - рабочии станции

2. политика для live update с использованием gup'а (gup'ом является один из серверов)

3. политика апрувится на 2 группы

4. группе серверов, выдаётся правилом, куда могут они стучаться (ip adress sepm и диапазон по gateway'ю, кому раздавать апдейты)

группе станций только диапазон по gateway'ю, чтоб они не могли тянуть апдейты с sepm.

единственное не понимаю, как они тянут политики, т.к. gup не раздаёт политики, он только фигурирует апдейтами. видимо есть ещё не доработки, хотя все политики тянутся с самого sepm.

[ejik 10]

4. группе серверов, выдаётся правилом, куда могут они стучаться (ip adress sepm и диапазон по gateway'ю, кому раздавать апдейты)

группе станций только диапазон по gateway'ю, чтоб они не могли тянуть апдейты с

Я так понимаю, что это настраевается в политеках брандмауэра?

Вот все что я нашел в инструкции: В качестве альтернативы можно настроить политику параметров так, чтобы клиенты получали обновления только от поставщика обновлений групп, не задействуя сервер управления.

Но ни слово от том как это настроить.