Kategori: Symantec

Symantec Endpoint Protection

Yorum bırakın

Symantec Endpoint Protection

Symantec Endpoint Protection (SEP), kullanıcı bilgisayarları ve sunucular için komple güvenlik çözümüdür. SEP temel olarak bir Antivirüs çözümü olmakla beraber içerisinde bulunan ilave modüllerle, uç noktada (bilgisayar / sunucu), ağ üzerinden ve giriş çıkış noktalarından gelecek tehditlere karşı da koruma sağlamaktadır.

SEP, ağdan gelecek tehditleri henüz bilgisayara gelmeden bertaraf etmek için “Personal Firewall” (FW, kişisel güvenlik duvarı) ve “Personal Intrusion Prevention System “(IPS, kişisel saldırı önleme sistemi) modüllerine sahiptir.

Yine giriş çıkış noktalarının kontrolü ve kurum politikalarına uygun (istenmeyen programların kullanımının engellenmesi v.b.) bigisayar kullanımının sağlanarak, güvenlik risklerinin azaltılabilmesi için SEP, “Application and Device Control” modülüne sahiptir.

Yukarıda belirtilen tüm modüller, SEP’in ileri teknolojisi sayesinde, kullanıcı bilgisayarında tek bir program gibi çalışmakta ve tek bir yönetim merkezinden, farklı kullanım politikaları ile çalıştırılabilmektedir.

 

SEP, asıl görev alanı ve çıkış noktasındaki misyonunu olan virüslere karşı koruma sağlaması anlamında pazar lideri konumunu senelerdir sürdürmektedir.  SEP’in en gelişmiş ve tam fonksiyonlu modülü, Antivirus and Antispyware modülüdür. Klasik AV korumasının ötesinde, ileri seviye sezgisel algılama teknolojisi ve buluttan eş zamanlı risk bilgisi sağlama altyapısı ile en güncel virüslerin tespit edilerek temizlenmesi sağlanabilmektedir.

 

SEP’de bulunan her bir modül’ün benzeri çeşitli üreticilerin programları, Bilgi Sistem Güvenliği pazarında yer alan farklı güvenlik çözümü ürün ailelerinde yer almaktadır. Her ne kadar SEP, ilave modülleri sayesinde standart bir Antivirüs çözümünün ötesinde bir güvenlik sağlasa da bu modüllerin yeteneklerinin, sadece bu alanlarda çözüm sağlayan ürünlerin seviyesinde olması mümkün değildir.

 

SEP Windows XP,Windows Vista,Windows 7, Windows 8 – 8.1 ,Windows 2003,Windows 2008, Windows Server 2012 – R2 ve Macintosh işletim sistemlerini destelemektedir.  Linux üzerinde Symantec AV olarak çalışmaktadır.

Antivirus & Antispyware

Bu modül ile bilgisayarlar  üzerinde temel koruma sağlanmaktadır. Bu korumalar anlık kontrol yapan Auto-Protect, zamanlanmış taramalar yapan Scheduled Scan, Sezgisel, Reputasyon kontrolü yapan SONAR ve Bloodhound, indirilen dosyaların reputasyon kontrolünü yapan Download Insight, e-mail tarafında bilgisayar  koruması sağlayan, POP3,Lotus Notes ve Outlook korumalarından oluşmaktadır.

Tarama Süreleri ve CPU kullanımı

Yaptığımız testlerde Intel Core Duo T6670 İşlemcili 2 GB Ram’li  bilgisayar üzerinde tarama süresi 1 saat 10 dakika taranan dosya sayısı 178065 olarak görülmüştür.

Insight

Symantec Insight reputation-based güvenlik teknolojisidir. 200 ülkede 100 milyondan fazla sistem tarafından oluşturulan ortak havuzu takip ederek güvenli dosyalar ile risk altındaki dosyaları birbirinden otomatik olarak ayırır.  Dosya taramaları esnasında Symantec tarafından güvenilir olarak işaretlenen dosyalar taranmamaktadır.

 

Ayrıntılı bilgi için :  http://www.symantec.com/tv/products/details.jsp?vid=922722776001

Virtual Image Exception

Sanal platform için hazırlanmış olan VIE Tool base imajları tarayarak istisna listeleri oluşturur. Dosyalar değişmediği sürece o dosyaları tekrar taramaz. Bu özellik  DISK I/O’larinda az kaynak kullanımı sağlar.

Offline Image Scanner

Symantec Offline Image Scanner (SOIS)  aracı  vmdk dosyalarını offline olarak virus tarama işlemi yapmaktadır.

Security Virtual Appliance – Shared Insight Cache

Symantec Endpoint Protection Security Virtual Appliance VMware vShield ile entegle olarak Vmware Host sunucularinda Disk I/O’larini azaltarak perfomans  artırır.

Symantec Endpoint Protection’in yüklü sunucu ve bilgisayarlar tarama esnasında taranan dosya bilgilerini insight sunuculara gönderiler. Diğer tarama yapan bilgisayarlar  daha önceden taranıp güvenilir olarak işaretlenmiş dosyaları taramazlar.

Ayrıntılı bilgi için : http://www.symantec.com/docs/HOWTO55311

Central Quarantine

Merkezi Karantina uygulaması SEP yüklü bilgisayarlar üzerinde bulunan  zararlı yazılımları merkezi olarak yöneten modüldür. Merkezi Karantina Sunucular üzerinden zararlı dosyaları inceleyip geri  yükleme yapılabilir.

Application and Device Control

Bu modül, Application Control özelliği ile bilgisayar üzerinde uygulama kontrolü sağlamaktadır. Yine aynı özellik, belirtilen uygulamaların çalıştırılmasını, Windows Registry’de  belli dizinlere yazılmasını yasaklama gibi basit çözümler sağlarken, çıkarılabilir medyalar üzerinden  uygulamaların çalıştırılmamasını ya da çıkarılabilir medyalara yazılan dosyaların kayıt altına alınması gibi daha esnek politikalar yazmaya da imkan vermektedir.

        Aynı modülün Device Control yeteneği ile bilgisayarlar üzerinde donanım kontrolü sağlanmaktadır. Donanım bölümünde aklımıza gelebilecek herhangi bir donanımın kullanımı yasaklanabilir , belirli gruplara izin verebilmekle beraber belirli bir marka model hariç USB belleklerin tüm bilgisayarlarda  kullanımının engellenmesi şeklinde esnek politikalar da uygulanabilmektedir.

Firewall

Bu modül ile bilgisayar üzerinde network trafik koruması sağlanmaktadır. Modül içerisinde application, host-remote host, source-destination, time based, protocol based, interface based kurallar yazılabilmekle beraber, DDOS, MAC-ARP Spoof, Port Scan detection ve block özellikleri mevcuttur.         Belirli portlar üzerinden belirli uygulamalara özellikler verilebilmektedir.

IPS

Bu modül ile bilgisayarlar üzerinde network trafik koruması sağlanmaktadır. Modül içerisinde halihazırda aktif gelen, güncellemelerle sayısı artan ve önemine göre aksiyonları önceden belirlenmiş 2800’den  fazla imza bulunmaktadır. İstenildiği takdirde custom imzalar yazmak mümkündür.

LiveUpdate

Bu modül ile bilgisayarların  güncellemeleri hangi metotla alacağı belirlenmektedir. Kullanılabilecek metotlar : Kullanıcıların doğrudan SEPM’lerden güncelleme alması, kullanıcıların doğrudan İnternetten güncelleme alması, kullanıcı bilgisayarlarından bazılarının güncelleyici rolünü üstelenerek bölgesindeki bilgisayarlara dağıtması ve güncellemelerin Symantec LiveUpdate Administrator ürünü ile dağıtılması şeklindedir.

LiveUpdate Administrator sayesinde Symantec Endpoint Protection Manager sunucuları internete çıkarmadan LiveUpdate sunucular üzerinden bilgisayarların güncelleme almaları sağlanabilmektedir.

Group Update Provider (GUP)

Group Update Provider (GUP) SEPM veya LiveUpdate sunucularından  içerik güncellemelerini (virüs imzalarını) alarak SEP yüklü bilgisayarlara dağıtmakla görevli SEP Agent yüklü bilgisayarlardır. Bir bilgisayarı GUP yapabilmek için üstünde SEP agentinin yüklü olması yeterlidir.

Örneklemek gerekirse 192.168.1.0/24 networkünde 200 adet SEP yüklü bilgisayarınız bulunmaktadır. Biz buradan 1 veya 3 adet bilgisayarı LiveUpdate politikalarından GUP olarak yapılandırıyoruz. İlgili gruplara uyguluyoruz. Bu aşamadan sonra SEPM üzerinden güncellemeleri sadece GUP’lar almaktadır. Geriye kalan 195 adet SEP yüklü bilgisayar güncellemeleri GUP olarak yapılandırılmış bilgisayarlardan alacaklardır. Bu yapılandırma, SEP istemcileri ve SEPM sunucu arasındaki bant genişliği kullanımını optimize eder.

SEPM Content Dist. Monitor ile GUP’ların disk alanları, güncelleme durumlarını, online ve offline durumlarını monitör edebiliyoruz. Bunun haricinde hangi grupların güncelleme alıp almadığında görebiliyoruz.

Symantec Endpoint Protection Manager

 

Symantec Endpoint Protection Manager, SEP Agentlarin yönetim konsoludur.  Manager üzerinden Antivirus, Firewall, IPS, Application Device, Exception Politikalarını merkezi olarak yönetebilirsiniz. Bunların yanı sıra çok gelişmiş envanter, rapor ve izleme araçlarına sahiptir. Örnek olarak üzerinde SEP bulunan bilgisayarların aktif olan RAM, CPU ve disk alanlarına kadar takip yapılabilmekte, istenilen şekilde Risk ve Atak raporları temin edilebilmektedir.

SEP Managerlar üzerinden bilgisayarlara uzaktan SEP yüklemesi yapılabilmektedir.

Symantec Endpoint Protection Manager’ın yönetim arayüzüne, WEB üzerinden, bilgisayara gerekli Java Konsolu yükleyerek veya SEPM yüklü sunucuda hazır bulunan konsoldan erişilmektedir.

http://www.symantec.com/business/support/index?page=content&id=TECH95538 adresinden raporlar hakkında detaylı bilgi alınabilmektedir.

 

Symantec Endpoint Protection Integration Component  & IT Analytics

 

Symantec Endpoint Protection Integration Component (SEPIC) Symantec Management Platform (Altiris) ve Symantec Endpoint Protection 12 arasinda entegrasyonu sağlamaktadır. SEPIC üzerinden  SEP kurulum, kaldırma ve onarma işlemleri yapılmaktadır. Bunun haricinde diğer özellikleri, farklı marka anti virüslerin envanterlerinin çıkarılması, SEP Agent yüklü bilgisayarlarda görev başlatabilmesi  ve özelleştirilebilir raporlama yapabilmektedir.

SEPIC üzerinden bütün işlemler (Discovery ve SEP Agentların Kurulumları) otomatik olarak gerçekleştirilebilmektedir.

IT Analytics ile SEPM üzerinden alınan raporları customize edip custom raporlar oluşturabilirsiniz.

 

 

 

Zararlı Yazılımlardan Korunmak İçin Öneriler

Yorum bırakın
  • İstemciler üzerinde bilgisayarınızda güncel ve lisanslı antivirus yazılımınız olmalıdır.
  • İstemciler üzerindeki  Güvenlik Duvarı Modülünün devreye alınması ve istemciler üzerinde sadece ihtiyaç duyulan ya da kullanılan portlara izin verilmesi.
  • İşletim sistemlerinin ve kullanılan uygulamaların güncel tutulması, yama yönetimi yapısının kurulması (Windows update, Acrobat Reader, Flashplayer, Anti-virüs, Ofis Yazılımları vb.)
  • Sistemlere sadece yetkilendirilmiş belirli kullanıcıların login olması. (Active Directory üzerinde Group Policy ile yapılabilir)
  • Lokal bilgisayarlarda kullanıcıların yetkilerinin sınırlandırılması, Administrator hesaplarının kapatılmasının sağlanması
  • Anti-virüs sistemi ile haftalık en az 2 kere tarama yapılması
  • Windows XP yüklü sistemlerin daha güncel olan Windows 7 sürümüne yükseltilmesi ve Local Admin yetkisine sahip Administrator hesaplarının kapatılması, bunun yerine başka bir kullanıcı adı kullanılarak Local Admin yetkisine sahip hesapların açılması.
  • Minimum 8 karakterli kolay tahmin edilemeyecek karmaşık şifreler kullanılması (Örn: Xb5s43*s!)
  • Tekil kullanıcı adları kullanılması ve her bir kullanıcının kendisine ait kullanıcı adları ile sistemlere login olmasının sağlanması.
  • Güvenlik duvarı kuralları ile son kullanıcıların sistemlere çalıştırılabilir dosyaları indirmesinin engellenmesi.
  • Kullanıcıların sistemler üzerine izinsiz olarak yazılım yükleyebilmesinin kısıtlanması ve sistemlere yüklenecek yazılımların sadece yetkilendirilmiş kullanıcılarla kontrol altına alınması.
  • Windows 7 yüklü sistemlerde User Access Control servisinin çalıştırılması.
  • Çıkarılabilir/harici disklerde ve ağ paylaşımlarda auto play özelliğinin kapatılması ( autorun.inf çalıştırılması kapalı durumda ayrıca AD group policy ile autoplay kapatılmalı)
  • Sunucular ve istemci bilgisayarlar üzerinde kullanılmayan servislerin kapatilmasi (SCW ile tespit edilip AD group policy ile kapatılabilir)
  • Ağ paylaşımlarından kullanılmayanların kapatılması, açılması gereken durumlarda paylaşım verilen ağ klasörlerine erişimlerin parola ile kontrol edilmesi sağlanmalıdır.
  • Sistemler üzerindeki açıkların kapatılması için periyodik olarak güvenlik denetimi hizmeti alınması ve çıkan bulgular ışığında sistemlerdeki zafiyetlerin kapatılmasının sağlanması.
  • Kurumsal bir güvenlik politikası/kuralları oluşturularak tüm şirket çalışanlarına duyurulması ve tüm bilgi işlem servislerinin bu kurallar ile güvenliğinin sağlanması.
  • Son kullanıcıların bilmedikleri dosyaları çalıştırmamaları, Internet üzerinden indirilen dosyaların virüs taramasından geçirildikten sonra kullanılması konularında uyarılması, bilmedikleri web sitelerine erişmemelerinin sağlanması.
  • Kritik bilgi ve verilere sahip son kullanıcı bilgisayarları/sistemlerin düzenli olarak yedeklerinin alınması ve bunu periyodik olarak gerçekleştirecek bir sistemin kurulmasının değerlendirilmesi.

PGP Active Directory Yapılandırması

Yorum bırakın

     PGP Universal Server Directorysenkronizasyon (Ldap Authentication) yapilandirarak kullanicilarin enrollment işlerinde de Active Directory veritabanını kullanmaları sağlanacaktır.

     PGP Universal Server Web Arayüzünehttps://pgpus.symlab.com:9000 adresine eriştikten sonra kullanıcı adınızıveparolarınızı yazarak sistem’e login olunuz. Menu’den Consumers’I seçiniz. Açılan alt menu de Directory Synchronization’ı seçtikten sonra gelenekran da Add LdapDirectory’Iseçiniz.

clip_image002

Okumaya devam et “PGP Active Directory Yapılandırması”