close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Administratorhandbuch zu Symantec Endpoint Protection Small

EinbettenHerunterladen
Administratorhandbuch zu
Symantec Endpoint
Protection Small Business
Edition Cloud
Administratorhandbuch zu Symantec Endpoint
Protection Small Business Edition Cloud
Dokumentationsversion: Januar 2015
Rechtlicher Hinweis
Copyright © 2015 Symantec Corporation. Alle Rechte vorbehalten.
Symantec, das Symantec-Logo, das Häkchen-Logo, sind Marken oder eingetragene Marken
der Symantec Corporation oder seiner verbundenen Unternehmen in den USA und anderen
Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein.
Dieses Symantec-Produkt enthält möglicherweise Software Dritter ("Programme Dritter"), für
die Symantec einen entsprechenden Vermerk zur Verfügung stellen muss. Einige dieser
Programme Dritter sind unter einer Open Source- bzw. kostenlosen Softwarelizenz verfügbar.
Die Lizenzvereinbarung für die Software ändert keine Rechte oder Verpflichtungen, die Sie
unter diesen Open Source- oder kostenlosen Softwarelizenzen haben. Weitere Informationen
zu Programmen Dritte finden im entsprechenden Anhang und der TPIP-Readme-Datei, die
im Lieferumfang dieses Symantec-Produkts enthalten sind.
Das in diesem Dokument beschriebene Produkt unterliegt Lizenzen, die seine Verwendung,
Vervielfältigung, Verteilung und Dekompilierung/Zurückentwicklung (Reverse Engineering)
einschränken. Kein Teil dieser Veröffentlichung darf ohne ausdrückliche schriftliche
Genehmigung der Symantec Corporation und ihrer Lizenzgeber vervielfältigt werden.
DIE DOKUMENTATION WIRD "OHNE MÄNGELGEWÄHR" GELIEFERT. ALLE
AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, DARSTELLUNGEN
UND GEWÄHRLEISTUNGEN EINSCHLIESSLICH DER STILLSCHWEIGENDEN
GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, EIGNUNG FÜR EINEN BESTIMMTEN
ZWECK ODER NICHTÜBERTRETUNG SIND UNGÜLTIG, SOFERN DIESER
HAFTUNGSAUSSCHLUSS NICHT GESETZESWIDRIG IST. DIE SYMANTEC CORPORATION
ÜBERNIMMT KEINE HAFTUNG FÜR BEILÄUFIG ENTSTANDENE ODER FOLGESCHÄDEN,
DIE IN VERBINDUNG MIT DEM INHALT, DER LEISTUNG ODER DER VERWENDUNG
DIESER DOKUMENTATION ENTSTEHEN. DIE IN DIESER DOKUMENTATION
ENTHALTENEN INFORMATIONEN KÖNNEN JEDERZEIT OHNE ANKÜNDIGUNG
GEÄNDERT WERDEN.
Die lizenzierte Software und Dokumentation werden als kommerzielle Computersoftware
gemäß FAR 12.212 angesehen und unterliegen den in FAR Abschnitt 52.227-19 'Commercial
Computer Software - Restricted Rights' und DFARS 227.7202 ff "Commercial Computer
Software and Commercial Computer Software Documentation" sowie etwaigen
Nachfolgebestimmungen, ob von Symantec als On Premise- oder gehostete Dienste zur
Verfügung gestellt. Jede Verwendung, Modifizierung, Reproduktionsversion, Leistung, Anzeige
oder Offenlegung der lizenzierten Software und Dokumentation seitens der US-amerikanischen
Regierung erfolgt nur gemäß den Bedingungen dieser Vereinbarung.
Symantec Corporation
350 Ellis Street
Mountain View, CA 94043
http://www.symantec.com
Inhalt
Kapitel 1
Bereitstellen von Agents auf Computern ......................... 6
Systemanforderungen ..................................................................... 6
Anforderungen an den Internetzugang ............................................... 9
Entfernen vorhandener Antivirus- und Firewall-Produkte ........................ 9
Deinstallieren von Virenschutz- und Firewall-Produkten ........................ 13
Herunterladen und Installieren des Symantec.cloud-Agent .................... 13
Bereitstellung mit dem verteilbaren Installationsprogramm .................... 18
Bereitstellen von Symantec Endpoint Management Small Business
Edition mit Active Directory ....................................................... 21
Herunterladen des Pakets ........................................................ 21
Einrichten eines Domänencontrollers für die Bereitstellung ............. 23
Verwalten von Einladungen zum Herunterladen des Agent ................... 24
Senden eines Verfahrens an Benutzer, das Download-Einladungen
erklärt .................................................................................. 26
Kapitel 2
Anpassen von Endpoint Protection ................................. 28
Info zu Endpoint Protection-Richtlinien ..............................................
Konfigurieren von Endpoint Protection ..............................................
Infos zu USB Device Control ...........................................................
Konfigurieren von USB Device Control ..............................................
Übergehen von USB Device Control auf einem Endgerät ......................
Unter Verwendung benutzerdefinierter Ausschlüsse ............................
Konfigurieren der intelligenten Firewall ..............................................
Firewall-Regeln ......................................................................
Konfigurieren von Firewall-Regeln ...................................................
Verwenden der Programmsteuerung ................................................
Scannen von Computern über Remote-Zugriff ....................................
Installieren der On-Premises-Version von Endpoint Protection ...............
Kapitel 3
28
40
41
42
43
44
47
48
50
55
55
57
Implementieren des lokalen Update-Dienst .................. 58
Infos zum lokalen Update-Dienst ..................................................... 58
Entscheidung über mögliche Vorteile durch den lokalen
Update-Dienst ....................................................................... 58
Auswählen lokaler Update-Hosts ..................................................... 59
Inhalt
Konfigurieren eines lokalen Update-Host ........................................... 60
Verwalten eines lokalen Update-Host ............................................... 61
Sicherheitslücken des lokalen Update-Hosts ...................................... 62
Kapitel 4
Verwalten der Computer ................................................... 64
Ausführen von Gruppenaktionen .....................................................
Einsatz globaler Richtlinien .............................................................
Einsatz der Proxy-Einstellungen des lokalen Agent .............................
Erstellen von Warnmeldungen ........................................................
Kapitel 5
64
65
68
69
Hilfe finden ........................................................................... 71
Hilfe zu Symantec Endpoint Management Small Business Edition
Cloud ................................................................................... 71
Videos zu Symantec Endpoint Management Small Business
Edition ................................................................................. 72
5
Kapitel
1
Bereitstellen von Agents auf
Computern
In diesem Kapitel werden folgende Themen behandelt:
■
Systemanforderungen
■
Anforderungen an den Internetzugang
■
Entfernen vorhandener Antivirus- und Firewall-Produkte
■
Deinstallieren von Virenschutz- und Firewall-Produkten
■
Herunterladen und Installieren des Symantec.cloud-Agent
■
Bereitstellung mit dem verteilbaren Installationsprogramm
■
Bereitstellen von Symantec Endpoint Management Small Business Edition mit
Active Directory
■
Verwalten von Einladungen zum Herunterladen des Agent
■
Senden eines Verfahrens an Benutzer, das Download-Einladungen erklärt
Systemanforderungen
Die Verwaltung des Symantec Endpoint Protection Small Business Edition (SEP
SBE) Cloud-Kontos erfolgt über den Webbrowser. Für die Computer, die Sie zum
Verwalten Ihres Kontos verwenden, sind die meisten Windows-, Linux- oder
Macintosh-Computer geeignet. Auf Computern, auf denen der Endpoint
Protection-Agent ausgeführt werden soll, ist Windows erforderlich.
Zugriffsanforderungen für den Management-Konsolen-Browser
■
Cookies aktiviert
Bereitstellen von Agents auf Computern
Systemanforderungen
■
Javascript aktiviert
■
SSL aktiviert
■
Firewall-Ports 80 und 443 zugelassen
■
E-Mail-Adresse für Benutzerkonten, Warnmeldungen und Berichte
Tabelle 1-1
Browser-Anforderungen
Browser
Version(en)
Microsoft Internet Explorer
8 oder späteres (beste Ergebnisse mit IE 10+)
Mozilla Firefox
Nur die neueste Version wird unterstützt.
Google Chrome
Nur die neueste Version wird unterstützt.
Andere Browser
Funktionieren evtl., werden aber nicht unterstützt
Systemanforderungen für Clients mit Cloud Service Agent und
Symantec Endpoint Protection Small Business Edition
■
Hardware von AMD oder Intel
■
Speicherplatz
■
Desktops und Laptops: 800 MB
■
Server: 1000 MB
Tabelle 1-2
Betriebssystemanforderungen
Betriebssystem
Edition
Service
Architektur Endpoint Lokaler
Pack (SP)
Protection Update-Host
Microsoft Windows 7
Enterprise
SP1
x64 und x86 Ja
Ja
Microsoft Windows 7
Professional SP1
x64 und x86 Ja
Ja
Microsoft Windows 7
Ultimate
x64 und x86 Ja
Ja
x64 und x86 Ja
Ja
Microsoft Windows 8
SP1
Microsoft Windows 8
Enterprise
x64 und x86 Ja
Ja
Microsoft Windows 8
Pro
x64 und x86 Ja
Ja
x64 und x86 Ja
Ja
Microsoft Windows 8.1
Microsoft Windows 8.1
Enterprise
x64 und x86 Ja
Ja
Microsoft Windows 8.1
Pro
x64 und x86 Ja
Ja
7
Bereitstellen von Agents auf Computern
Systemanforderungen
Betriebssystem
Edition
Service
Architektur Endpoint Lokaler
Pack (SP)
Protection Update-Host
Microsoft Windows Server
2003
Enterprise
SP2
x64 und x86 Ja
Ja
Microsoft Windows Server
2003
Standard
SP2
x64 und x86 Ja
Ja
Microsoft Windows Server
2003 R2
Standard
SP2
x64 und x86 Ja
Ja
Microsoft Windows Server
2008
Enterprise
SP2
x64 und x86 Ja
Ja
Microsoft Windows Server
2008
Standard
SP2
x64 und x86 Ja
Ja
Microsoft Windows Server
2008 R2
Datacenter
SP1
x64
Ja
Ja
Microsoft Windows Server
2008 R2
Enterprise
SP1
x64
Ja
Ja
Microsoft Windows Server
2008 R2
Standard
SP1
x64
Ja
Ja
Microsoft Windows Server
2012
Datacenter
x64
Ja
Ja
Microsoft Windows Server
2012
Standard
x64
Ja
Ja
Microsoft Windows Server
2012 R2
Standard
x64
Ja
Ja
Microsoft Windows Small
Business Server 2008
Standard
SP2
x64
Ja
Ja
Microsoft Windows Vista
Business
SP2
x64 und x86 Ja
Ja
Microsoft Windows Vista
Enterprise
SP2
x64 und x86 Ja
Ja
Microsoft Windows Vista
Ultimate
SP2
x86
Ja
Ja
Microsoft Windows XP
Professional SP2
x64
Ja
Ja
Microsoft Windows XP
Professional SP3
x86
Ja
Ja
Siehe "Anforderungen an den Internetzugang" auf Seite 9.
8
Bereitstellen von Agents auf Computern
Anforderungen an den Internetzugang
Anforderungen an den Internetzugang
Für Netzwerke, die Proxys wie Microsoft ISA oder Linux Squid nutzen, ist es
möglicherweise notwendig, die Endpoint Protection-URLs zur Proxy-Positivliste
hinzuzufügen. Dies sind die Server, zu denen der Symantec.cloud-Agent für
verschiedene Aufgaben eine Verbindung herstellt:
■
hb.lifecycle.norton.com
■
www.norton.com
■
liveupdate.symantecliveupdate.com
■
ratings-wrs.symantec.com
■
stats.qalabs.symantec.com
■
shasta-rrs.symantec.com
■
sasmain.symantec.com
■
sas1alt.symantec.com
■
www.symantec.com
■
ssaw.symantec.com
■
siaw.symantec.com
■
heartbeat.s2.spn.com
■
message.s2.spn.com
■
hostedendpoint.spn.com
■
ins.spn.com
■
https://manage.symanteccloud.com
■
https://activate.symanteccloud.com
■
http://help.elasticbeanstalk.com
Wenn Sie diese URLs Ihrer Proxy-Positivliste hinzufügen, wird die erforderliche
Agentenkommunikation uneingeschränkt zugelassen.
Siehe "Systemanforderungen" auf Seite 6.
Entfernen vorhandener Antivirus- und
Firewall-Produkte
Die optimale Leistung von Symantec Endpoint Protection Small Business Edition
Cloud erhalten Sie, wenn Sie Virenschutzprodukte und Firewalls von Symantec
9
Bereitstellen von Agents auf Computern
Entfernen vorhandener Antivirus- und Firewall-Produkte
und anderen Herstellern entfernen, bevor Sie die Agents installieren. Diese
Programme unterbinden riskante Kommunikationsversuche mit Ihren Computern.
Die Programmierungsmechanismen, die diese riskanten Kommunikationsversuche
unterbinden, behindern möglicherweise das ordnungsgemäße Funktionieren Ihrer
Endpoint Protection Agents. Um sicherzustellen, dass diese Produkte von Ihren
Endgeräten entfernt werden, blockiert das Installationsprogramm das Installieren
von Agents, bis die betreffenden Anwendungen entfernt sind.
Das Installationsprogramm entfernt automatisch andere Virenschutz- oder
Firewall-Produkte von Symantec und Norton sowie getestete Entfernungstools für
Antivirus- oder Firewall-Produkte. Die erkannten Anwendungen werden in einer
Liste inkompatibler Anwendungen angezeigt und Sie werden aufgefordert, sie zu
entfernen. Mit Benutzerautorisierung startet das Installationsprogramm über die
Windows-Systemsteuerungsoption "Software" das Entfernungstool für das
betreffende Produkt.
Hinweis: Die automatische Entfernung einer inkompatiblen Anwendung verwaltet
das Entfernungstool dieser Anwendung. Falls bei der Deinstallation der betreffenden
Anwendung Schwierigkeiten auftreten, wenden Sie sich an die für das Produkt
zuständige Kundenservice-Gruppe.
Sobald das Installationsprogramm auf eine Antivirus- oder Firewall-Anwendung
stößt, deren Entfernungstool unter der Windows-Systemsteuerungsoption "Software"
ungetestet ist, wird diese Anwendung als inkompatibel identifiziert. Sie müssen
eingreifen, um die betreffenden Anwendungen zu entfernen. Das automatische
Entfernungstool des Installationsprogramms und die Funktion zur Erkennung
inkompatibler Programme sind nur im gesteuerten Modus oder im Modus mit voller
Benutzeroberfläche verfügbar.
Sobald der automatische Deinstallationsvorgang fertig gestellt ist, wird das Endgerät
neu gestartet und die Agent-Installation wird fortgesetzt. Wenn Sie das inkompatible
Produkt manuell deinstallierten, müssen Sie das Installationsprogramm für den
Agent manuell neu starten.
Deinstallieren Sie alle Virenschutz- bzw. Firewallprogramme vom Computer, bevor
Sie Endpoint Protection installieren. Solche Programme zu deinstallieren ist wichtig,
selbst wenn das Installationsprogramm sie nicht erkennt oder als inkompatibel
identifiziert. Das gleichzeitige Ausführen mehrerer Virenschutz- oder
Firewall-Programme birgt große Gefahren. Das Potenzial für Konflikten zwischen
den Anwendungen ist keineswegs zu vernachlässigen. Sie sollten diese Fälle an
Symantec Endpoint Protection Small Business Edition Cloud melden, indem Sie
auf den Link "Support" im Banner der Management-Konsole klicken.
In größeren Umgebungen ziehen Sie es möglicherweise vor, auf Ihre üblichen
Methoden zurückzugreifen, um Software von Ihren Endgeräten zu deinstallieren.
10
Bereitstellen von Agents auf Computern
Entfernen vorhandener Antivirus- und Firewall-Produkte
Wenn Sie diese Vorgänge mit Microsoft Active Directory durchführen, stellen Sie
sicher, dass die Anwendung, die Sie sich entfernen, auch aus der Richtlinie für die
betreffenden Endgeräte entfernt wird. Diese Vorsichtsmaßnahme verhindert die
erneute Installation einer Anwendung auf Basis Ihrer Active Directory-Richtlinie.
Wenn Endgeräte weniger gängige Virenschutz- oder Firewall-Produkte oder nicht
erkannte Versionen eines Produkts ausführen, erkennt das Installationsprogramm
eventuell das möglicherweise konfliktbehaftete Produkt nicht. Möglicherweise
inkompatible Produkte sollten immer mit Symantec Endpoint Protection entfernt
werden.
Die automatische Entfernung folgender Virenschutz- und Firewall-Software wird
unterstützt:
Tabelle 1-3
Automatisch entfernbare Versionen von Symantec Endpoint
Protection und Endpoint Protection Small Business Edition
Version
Endpoint Protection Small Symantec Endpoint
Business Edition
Protection
11.0.7200.1147
–
SEP 11.0 RU7 MP2
11.0.7300.1294
–
SEP 11 RU7 MP3
11.0.3001.2224
–
SEP 11 MR3
11.0.4000.2295
–
SEP 11 MR4
12.0.1001.95
SEP SBE 12.0
–
12.0.122.192
SEP SBE 12.0 RU1
–
12.1.671.4971
SEP SBE 12.1
SEP 12.1
12.1.1000.157
SEP SBE 12.1 RU1
SEP 12.1 RU1
12.1.1101.401
SEP SBE 12.1 RU1-MP1
SEP 12.1 RU1-MP1
12.1.2015.2015
SEP SBE 12.1 RU2
SEP 12.1 RU2
12.1.2100.2093
SEP SBE 12.1 RU2 MP1
SEP 12.1 RU2 MP1
12.1.3001.165
SEP SBE 12.1 RU3
SEP 12.1 RU3
11
Bereitstellen von Agents auf Computern
Entfernen vorhandener Antivirus- und Firewall-Produkte
Tabelle 1-4
Automatisch entfernbare Norton-Produkte
Produkt
Version
Norton AntiVirus
■
2008
■
2009
■
2010
■
2012
■
2013
■
2014
■
2008
■
2009
■
2010
■
2012
■
2013
■
2014
Norton Internet Security
Norton 360
Tabelle 1-5
Version 4.0 und 5.0
Andere automatisch entfernbare Produkte
Produkt
Version
McAfee
McAfee SaaS Endpoint Protection
Trend Micro
Worry Free Business Security Services
Worry-Free Business Security Standard/Advanced 7.0
Worry-Free Business Security Standard/Advanced 8.0
Sophos
Endpoint Security & Data Protection 9.5
Kaspersky
Business Space Security 6.0
Antivirus for Windows Workstations 6.0
Endpoint Security 10 for Windows (für Workstations)
Windows InTune
Endpoint Protection
Wenn das Endpoint Protection-Installationsprogramm das auf Ihrem Computer
installierte Produkt nicht erkennt, senden Sie uns die entsprechenden Informationen.
Verwenden Sie das Anforderungsformular unter dem Link "Support" im Banner der
Management-Konsole. Geben Sie Folgendes ein:
■
Name des Herstellers
■
Name des Produkts
12
Bereitstellen von Agents auf Computern
Deinstallieren von Virenschutz- und Firewall-Produkten
■
Version des installierten Produkts
Vielen Dank für Ihren Beitrag.
Symantec Support empfiehlt diese Liste anbieterspezifischer Entfernungsprogramme
zu lesen.
Siehe "Deinstallieren von Virenschutz- und Firewall-Produkten" auf Seite 13.
Siehe "Herunterladen des Pakets" auf Seite 21.
Deinstallieren von Virenschutz- und
Firewall-Produkten
Die Website, die aufgerufen werden soll, enthält eine umfangreiche Liste von
Produktentfernungsprogrammen. Über einige Links auf der Seite können
Programmdateien direkt heruntergeladen werden. Da Entfernungsprogramme den
Computer beschädigen könnten, sollten Sie ein Backup anlegen, bevor Sie eines
ausführen.
Hinweis: Symantec ist für die Inhalte in den Links nicht verantwortlich und hat die
Sicherheit der aufgelisteten Websites nicht überprüft.
Liste von Tools zum entfernen von Virenschutz- und Firewall-Produkten
Siehe "Entfernen vorhandener Antivirus- und Firewall-Produkte" auf Seite 9.
Herunterladen und Installieren des
Symantec.cloud-Agent
Bevor Sie Computers mit Symantec Endpoint Protection Small Business Edition
(SEP SBE) Cloud schützen können, müssen Sie den Agent herunterladen und auf
den gewünschten Computern installieren.
Der Agent stellt Dienste auf Computern bereit und kommuniziert mit der
Management-Konsole in Ihrem Konto. Sie müssen den Agent auf jedem zu
schützenden Computer installieren. Stellen Sie sicher, dass die Computer die
Anforderungen an System und Internetzugang erfüllen.
Siehe "Systemanforderungen" auf Seite 6.
Siehe "Anforderungen an den Internetzugang" auf Seite 9.
Zum Installieren des Agent sind Administratorrechte erforderlich. Diese Anforderung
stellt kein Problem in Unternehmen dar, in denen Benutzer Administratoren ihrer
13
Bereitstellen von Agents auf Computern
Herunterladen und Installieren des Symantec.cloud-Agent
lokalen Computer sind. Wenn die Sicherheitsrichtlinien eines Unternehmens lokale
Administratorrechte für Computerbenutzer nicht zulassen, können Sie mit
Systemverwaltungstools wie Altiris die Agents per Push-Installation bereitstellen.
Hinweis: Standardmäßig werden neue Agents automatisch in Ihrem Konto bestätigt.
Wenn Ihr Kontoadministrator die Einstellung "Neue Agents automatisch bestätigen"
deaktiviert hat, müssen neue Agents bestätigt werden, bevor sie aktiviert werden.
Drei Bereitstellungsoptionen sind zum Installieren von Agents verfügbar:
■
die Standardoption
■
E-Mail-Einladungen
■
Herunterladen und Erstellen eines Installationspakets
Diese Methoden sind für verschiedene Szenarien gedacht.
Standardinstallation Diese Installationsmethode lädt ein kleines Installationsprogramm
herunter, das die Installation des Agent verwaltet. Folgendes ist
erforderlich:
E-Mail-Einladung
■
Ein Benutzer-Login für Ihre SEP SBE Cloud-Konto
■
Sie müssen den Computer vor sich oder eine Remote-Verbindung
aktiviert haben
Sie können E-Mail-Einladungen zum Herunterladen des Agent auf
Computer im Unternehmen versenden:
■
■
■
Bis zu 50 durch Semikolon getrennte E-Mail-Adressen können
angegeben werden
Die Einladung enthält eine URL, die 30 Tage lang gültig ist, es sei
denn, Sie wird vom Administrator zurückgezogen
Der Computerbenutzer kann die Installation selbst ohne Eingreifen
des Administrators durchführen
Ein Administrator kann die Einladung bei Bedarf zurückziehen.
Verteilbares
Installationspaket
Hiermit kann ein Netzwerkadministrator Agents per Push-Installation
auf den zu schützenden Computern bereitstellen. Der Agent und die
für das Paket ausgewählten Dienste werden im Hintergrund installiert.
Hinweis: Das verteilbare Paket kann auch für die Bereitstellung mit
Microsoft Active Directory konfiguriert werden.
14
Bereitstellen von Agents auf Computern
Herunterladen und Installieren des Symantec.cloud-Agent
Hinweis: Sie müssen alle auf Ihren Computern installierten Antivirus- und
Firewall-Produkte entfernen, bevor Sie Symantec Endpoint Protection installieren.
Siehe "Entfernen vorhandener Antivirus- und Firewall-Produkte" auf Seite 9.
Wenn Sie Windows Vista nutzen, kann der Administrator über die
"Benutzerkontensteuerung" ein Programm installieren, das für jedes Benutzerkonto
ausgeführt wird. Selbst wenn Sie die Benutzerkontensteuerung deaktiviert haben,
sind Administratorrechte zum Installieren von Agent erforderlich.
Wenn Sie einen geschützten Computer von Windows XP auf Windows Vista
aktualisieren, müssen Sie den Agent entfernen und den Computer neu starten.
Nach dem Neustart können Sie auf Windows Vista aktualisieren.
So bereiten Sie das Herunterladen des Agent vor
1
Wählen Sie in Internet Explorer "Extras > Internetoptionen > Erweitert".
2
Auf der Registerkarte "Erweitert" scrollen Sie zum Abschnitt "Sicherheit".
3
Überprüfen Sie, ob "Verschlüsselte Pakete nicht auf Festplatte speichern"
deaktiviert ist und klicken Sie auf "OK".
So installieren Sie den Agent auf einem einzelnen Computer
1
Loggen Sie sich bei der Management-Konsole ein.
2
Klicken Sie auf der Startseite im Widget "Schnellaufgaben" auf "Computer
hinzufügen" oder auf der Seite "Computer" auf "Computer hinzufügen".
3
Wählen Sie auf der Seite "Computer schützen" die Dienste aus, die auf dem
Computer installiert werden sollen.
4
Wenn Sie den neuen Computer einer anderen Gruppe als der Standardgruppe
hinzufügen möchten, wählen Sie diese Gruppe aus der Dropdown-Liste "Gruppe
wählen".
5
Klicken Sie unter "Installationsprogramm herunterladen" auf "Jetzt installieren"
und führen Sie SymantecExtractor.exe aus.
Sie können die Datei bei Bedarf auch speichern.
6
Im Dialogfeld "Datei-Download" können Sie die Datei "Ausführen" oder
"Speichern". Klicken Sie auf "Ausführen".
7
Wenn die Datei "SymantecExtractor.exe" vollständig heruntergeladen wurde,
werden Sie aufgefordert, das Ausführen der Software zuzulassen. Klicken Sie
auf "Ausführen".
8
Das Installationsprogramm für Symantec Endpoint Protection Small Business
Edition wird gestartet. Klicken Sie auf der Startseite auf "Weiter".
15
Bereitstellen von Agents auf Computern
Herunterladen und Installieren des Symantec.cloud-Agent
9
Im Dialogfeld zum Konfigurieren von Komponenten wird der Status der in der
Installation enthaltenen Komponenten angezeigt. Sie können auch Ihre
Proxy-Einstellungen konfigurieren oder den Zielordner ändern. Klicken Sie auf
"Installieren".
10 Wenn der Erfolgsbildschirm erscheint, klicken Sie auf "Fertig stellen".
So nutzen Sie das verteilbare Installationspaket für die Installation im Hintergrund
1
Loggen Sie sich bei der Management-Konsole ein.
2
Klicken Sie auf der Startseite im Widget "Schnellaufgaben" auf "Computer
hinzufügen" oder auf der Seite "Computer" auf "Computer hinzufügen".
3
Wählen Sie auf der Seite "Computer schützen" die Dienste aus, die auf dem
Computer installiert werden sollen.
4
Wenn Sie den neuen Computer einer anderen Gruppe als der Standardgruppe
hinzufügen möchten, wählen Sie diese Gruppe aus der Dropdown-Liste "Gruppe
wählen".
5
Klicken Sie im Abschnitt "Installationsprogramm herunterladen" unter
"Weiterverteilbares Paket herunterladen" auf "Herunterladen".
Siehe "Bereitstellung mit dem verteilbaren Installationsprogramm" auf Seite 18.
6
Im Dialogfeld "Datei-Download" können Sie die Datei
"SymantecPackageCreator.exe" "Ausführen" oder "Speichern". Klicken Sie
auf "Ausführen".
7
Wenn die Datei vollständig heruntergeladen wurde, werden Sie aufgefordert,
das Ausführen der Software zuzulassen. Klicken Sie auf "Ausführen".
8
Wenn das Dialogfeld "Symantec.cloud Package Creator" geöffnet wird, klicken
Sie auf "Durchsuchen", um den Speicherort für das Paket zu wählen.
9
Klicken Sie unter "Erweiterte Optionen" auf "Betriebssysteme" und wählen Sie
die Windows-Versionen aus, die das Paket unterstützen soll.
10 Klicken Sie unter "Erweiterte Optionen" auf "Proxy-Einstellungen", um die
Einstellungen für Package Creator einzugeben. Dieser Schritt ist optional und
nur notwendig, wenn diese Einstellungen für den Internetzugang erforderlich
sind.
11 Wenn Sie die Bereitstellung mit Active Directory durchführen möchten,
aktivieren Sie unter "Erweiterte Optionen" das Kontrollkästchen "Bereitstellung
der Gruppenrichtlinie von Active Directory erforderlich".
Siehe "Bereitstellen von Symantec Endpoint Management Small Business
Edition mit Active Directory" auf Seite 21.
16
Bereitstellen von Agents auf Computern
Herunterladen und Installieren des Symantec.cloud-Agent
12 Zum Deaktivieren von Warnungen während der Bereitstellung, aktivieren Sie
das Kontrollkästchen "Installationswarnungen während der Bereitstellung
unterdrücken".
13 Klicken Sie auf "Starten".
14 Klicken Sie nach Abschluss des Vorgangs auf "Fertig stellen".
15 Die ausgewählten Dateien werden heruntergeladen. Anschließend wird das
Paket erstellt. Öffnen Sie den Speicherort, in dem SymRedistributable.exe und
die Paketdateien abgelegt sind. Sie sollten das verteilbare Installationspaket
in einen Ordner Ihrer Wahl kopieren.
Sie können dann mit dieser Kommandozeilen-Anwendung eine Installation im
Hintergrund durchführen, wenn sich der Benutzer einloggt, oder in anderen
Netzwerk-Push-Installationsvorgängen. Die folgenden Parameter können an
die Anwendung weitergeleitet werden:
Syntax: SymRedistributable.exe [Optionen]
Optionen
Beschreibung
-silent
Weist Vorgang im Hintergrund an
-suppresswarnings
Unterdrückt die Installationsprogrammwarnungen. "-silent"
muss vorhanden sein.
-installpath <Pfad>
Gibt den Installationspfad wie folgt an: "c:\Installationspfad\",
erfordert -silent
Der Parameter -installpath hat den Standardwert
%programfiles%.
-proxyhost <Host>
Gibt die HTTP-Proxy-IP-Adresse bzw. den Hostnamen an.
"-silent" und "-proxyport" müssen vorhanden sein.
-proxyport <Port>
Die Port-Nummer des HTTP-Proxynetzwerks. "-silent" und
"-proxyhost" müssen vorhanden sein
-proxytype
[HTTP|SOCKS]
Der Proxy-Typ (HTTP oder SOCKS, Standard ist HTTP).
"-silent" und "-proxyhost" müssen vorhanden sein
-proxyauthpassword
<Kennwort>
Das Authentifizierungskennwort für den Proxy. "-silent" und
"-proxyhost" müssen vorhanden sein
-help, -h, -?
Gibt Hilfemenü am Bildschirm an
Siehe "Bereitstellung mit dem verteilbaren Installationsprogramm" auf Seite 18.
17
Bereitstellen von Agents auf Computern
Bereitstellung mit dem verteilbaren Installationsprogramm
So senden Sie E-Mail-Einladungen zum Herunterladen des Agent
1
Loggen Sie sich bei Ihrem Management-Konsolenkonto ein.
2
Klicken Sie auf der Startseite im Widget "Schnellaufgaben" auf "Computer
hinzufügen" oder auf der Seite "Computer" auf "Computer hinzufügen".
3
Wählen Sie auf der Seite "Computer schützen" die Dienste aus, die auf dem
Computer installiert werden sollen.
4
Wenn Sie den neuen Computer einer anderen Gruppe als der Standardgruppe
hinzufügen möchten, wählen Sie diese Gruppe aus der Dropdown-Liste "Gruppe
wählen".
5
Unter "Installationsprogramm herunterladen" geben Sie bis zu 50
Benutzer-E-Mail-Adressen im Textfeld "Download-Einladungen senden" ein.
Die angegebenen Benutzer erhalten Einladungen mit einem Link zum
Herunterladen des Agent.
E-Mail-Adressen müssen durch Semikolon getrennt werden.
Klicken Sie auf "E-Mail-Einladungen versenden".
Ihre Benutzer erhalten eine E-Mail mit einer Einladung zum Herunterladen und
Installieren des Agent. Sie enthält einen Link zum Herunterladen des Agent
ohne sich bei SEP SBE Cloud einloggen zu müssen.
Siehe "Senden eines Verfahrens an Benutzer, das Download-Einladungen
erklärt" auf Seite 26.
Bereitstellung mit dem verteilbaren
Installationsprogramm
Mit dem verteilbaren Installationspaket können Sie Symantec Small Endpoint
Protection Small Business Edition (SEP SBE) Cloud im gesamten Unternehmen
ohne Benutzereingriff installieren. Das Paket ist eine ausführbare Datei, die ohne
Meldungsausgabe oder Benutzeroberfläche ausgeführt wird und
Symantec.cloud-Agent auf jedem Computer mit einem unterstützten Betriebssystem
installiert. Größere Unternehmen können das Paket mit einem speziellen Tool
verteilen, kleinere Unternehmen können es über eine in Explorer verfügbare
Netzwerkfreigabe verteilen. Für die Installation von Symantec.cloud-Agent auf
einem Computer sind Administratorrechte erforderlich.
Hinweis: Bei über Symantec eStore bereitgestellten Konten muss geprüft werden,
ob ausreichend Lizenzen vorhanden sind, bevor Agents mithilfe des verteilbaren
Installationspakets bereitgestellt werden können.
18
Bereitstellen von Agents auf Computern
Bereitstellung mit dem verteilbaren Installationsprogramm
Hinweis: Sie müssen alle auf Ihren Computern installierten Antivirus- und
Firewall-Produkte entfernen, bevor Sie Symantec Endpoint Protection installieren.
Siehe "Entfernen vorhandener Antivirus- und Firewall-Produkte" auf Seite 9.
Sie können dann mit dieser Kommandozeilen-Anwendung eine Installation im
Hintergrund durchführen, wenn sich der Benutzer einloggt, oder in anderen
Netzwerk-Push-Installationsvorgängen. Die folgenden Parameter können an die
Anwendung weitergeleitet werden:
Syntax: SymRedistributable.exe [Optionen]
Tabelle 1-6
Kommandozeilen-Flags für das verteilbare Paket
Befehl
Beschreibung
-silent
Weist Vorgang im Hintergrund an
-suppresswarnings
Unterdrückt die Installationsprogrammwarnungen. "-silent" muss
vorhanden sein.
-installpath <Pfad>
Gibt den Installationspfad wie folgt an: "c:\Installationspfad\",
erfordert -silent
Der Parameter -installpath hat den Standardwert %programfiles%.
-proxyhost <Host>
Gibt die HTTP-Proxy-IP-Adresse bzw. den Hostnamen an.
"-silent" und "-proxyport" müssen vorhanden sein.
-proxyport <Port>
Die Port-Nummer des HTTP-Proxynetzwerks. "-silent" und
"-proxyhost" müssen vorhanden sein
-proxytype
[HTTP|SOCKS]
Der Proxy-Typ (HTTP oder SOCKS, Standard ist HTTP). "-silent"
und "-proxyhost" müssen vorhanden sein
-proxyauthuser
<Benutzername>
Der Authentifizierungsbenutzername für den Proxy. "-silent" und
"-proxyhost" müssen vorhanden sein
-proxyauthpassword
<Kennwort>
Das Authentifizierungskennwort für den Proxy. "-silent" und
"-proxyhost" müssen vorhanden sein
-help, -h, -?
Gibt Hilfemenü am Bildschirm an
So laden Sie ein verteilbares Installationspaket herunter
1
Loggen Sie sich bei SEP SBE Cloud ein und klicken Sie im Widget
"Schnellaufgaben" auf "Computer hinzufügen".
2
Auf der Seite "Computer schützen" wählen Sie die Dienste aus, die in das
Paket aufgenommen werden sollen.
19
Bereitstellen von Agents auf Computern
Bereitstellung mit dem verteilbaren Installationsprogramm
3
Wählen Sie im Abschnitt "Gruppe wählen" aus der Dropdown-Liste eine
Computergruppe, an die das Installationspaket verteilt werden soll.
4
Klicken Sie im Abschnitt "Installationsprogramm herunterladen" unter
"Weiterverteilbares Paket herunterladen" auf "Herunterladen".
5
Im Dialogfeld "Datei-Download" können Sie die Datei
"SymantecPackageCreator.exe" "Ausführen" oder "Speichern". Klicken Sie
auf "Ausführen".
6
Wenn die Datei vollständig heruntergeladen wurde, werden Sie aufgefordert,
das Ausführen der Software zuzulassen. Klicken Sie auf "Ausführen".
7
Wenn das Dialogfeld "Symantec.cloud Package Creator" geöffnet wird, klicken
Sie auf "Durchsuchen", um den Speicherort für das Paket zu wählen.
8
Klicken Sie unter "Erweiterte Optionen" auf "Betriebssysteme" und wählen Sie
die Windows-Versionen aus, die das Paket unterstützen soll. Klicken Sie auf
"Speichern".
9
Klicken Sie unter "Erweiterte Optionen" auf "Proxy-Einstellungen" und geben
Sie die Einstellungen für Package Creator ein. Dieser Schritt ist optional und
nur notwendig, wenn diese Einstellungen für den Internetzugang erforderlich
sind. Klicken Sie auf "Speichern".
Hinweis: Sie können mehrere Verteilungspakete erstellen, um den
Anforderungen an die verschiedenen Netzwerkstandorte in Ihrem Unternehmen
gerecht zu werden.
10 Wenn Sie die Bereitstellung mit Active Directory durchführen möchten,
aktivieren Sie unter "Erweiterte Optionen" das Kontrollkästchen "Bereitstellung
der Gruppenrichtlinie von Active Directory erforderlich".
Siehe "Bereitstellen von Symantec Endpoint Management Small Business
Edition mit Active Directory" auf Seite 21.
11 Klicken Sie auf "Starten".
Die ausgewählten Dateien werden heruntergeladen. Anschließend wird das
Paket erstellt. Die Dateien des verteilbaren Paktes sind mit einer bestimmten
Organisation verbunden und sollten nicht außerhalb dieser Organisation
verwendet werden.
Klicken Sie nach Abschluss des Vorgangs auf "Fertig stellen".
20
Bereitstellen von Agents auf Computern
Bereitstellen von Symantec Endpoint Management Small Business Edition mit Active Directory
Bereitstellen von Symantec Endpoint Management
Small Business Edition mit Active Directory
Die Bereitstellung mit Microsoft Active Directory umfasst mehrere Schritte:
■
Herunterladen des Pakets
Siehe "Herunterladen des Pakets" auf Seite 21.
■
Einrichten eines Domänencontrollers für die Bereitstellung
■
Erstellen eines Verteilungspunkts
■
Erstellen eines Gruppenrichtlinienobjekts
■
Zuweisen eines Pakets
Siehe "Einrichten eines Domänencontrollers für die Bereitstellung" auf Seite 23.
Die Microsoft-Dokumentation für die Bereitstellung mit Active Directory ist verfügbar
für:
■
Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012
■
Windows Server 2003
Der folgende Microsoft-Artikel kann ebenfalls bei der Vorbereitung für eine Active
Directory-Bereitstellung nützlich sein:
Zuweisen von Software zu einer bestimmten Gruppe unter Verwendung einer
Gruppenrichtlinie
Hinweis: Sie müssen alle auf Ihren Computern installierten Antivirus- und
Firewall-Produkte entfernen, bevor Sie Symantec Endpoint Protection installieren.
Siehe "Entfernen vorhandener Antivirus- und Firewall-Produkte" auf Seite 9.
Hinweis: Administratoren von SEP SBE Cloud-Konten, die über eStore bereitgestellt
werden, müssen sicherstellen, dass genügend geeignete Lizenzen für die Anzahl
der Computer in der Active Directory-Bereitstellung verfügbar sind. Wenn Sie
während Ihrer Active Directory-Bereitstellung nicht genügend Lizenzen haben,
schlägt die Installation auf den Computern ohne Lizenzen fehl. Active Directory
meldet trotzdem eine erfolgreiche Installation, diese Meldung ist jedoch falsch.
Herunterladen des Pakets
Während des Herunterladens des Active Directory-kompatiblen verteilbaren Pakets
werden drei Dateien zur Verwendung durch die IT-Abteilung des Unternehmens
kompiliert:
21
Bereitstellen von Agents auf Computern
Bereitstellen von Symantec Endpoint Management Small Business Edition mit Active Directory
■
SYMRedistributable.exe
■
SYMGroupPolicyDeployment.msi
■
SYMGroupPolicyDeployment.mst
Diese Dateien müssen sich immer im selben Ordner befinden, um ordnungsgemäß
zu funktionieren, und sollten nicht mit anderen Downloads des verteilbaren Pakets
gemischt werden.
Weitere Informationen zur Verwendung von MST-Dateien finden Sie in der folgenden
Microsoft-Dokumentation:
■
Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012
■
Windows Server 2003
Hinweis: Sie müssen alle auf Ihren Computern installierten Antivirus- und
Firewall-Produkte entfernen, bevor Sie Symantec Endpoint Protection installieren.
Siehe "Entfernen vorhandener Antivirus- und Firewall-Produkte" auf Seite 9.
Hinweis: Administratoren von SEP SBE Cloud-Konten, die über eStore bereitgestellt
werden, müssen sicherstellen, dass genügend geeignete Lizenzen für die Anzahl
der Computer in der Active Directory-Bereitstellung verfügbar sind. Wenn Sie
während Ihrer Active Directory-Bereitstellung nicht genügend Lizenzen haben,
schlägt die Installation auf den Computern ohne Lizenzen fehl. Active Directory
meldet trotzdem eine erfolgreiche Installation, diese Meldung ist jedoch falsch.
So laden Sie ein verteilbares Paket für die Active Directory-Bereitstellung herunter
1
Loggen Sie sich bei SEP SBE Cloud ein und klicken Sie im Widget
"Schnellaufgaben" auf "Computer hinzufügen".
2
Auf der Seite "Computer schützen" wählen Sie die Dienste aus, die in das
Paket aufgenommen werden sollen.
3
Wählen Sie im Abschnitt "Gruppe wählen" aus der Dropdown-Liste eine
Computergruppe, an die das Installationspaket verteilt werden soll.
4
Klicken Sie im Abschnitt "Installationsprogramm herunterladen" unter
"Weiterverteilbares Paket herunterladen" auf "Herunterladen".
5
Im Dialogfeld "Datei-Download" können Sie die Datei
"SymantecPackageCreator.exe" "Ausführen" oder "Speichern". Klicken Sie
auf "Ausführen".
6
Wenn die Datei vollständig heruntergeladen wurde, werden Sie aufgefordert,
das Ausführen der Software zuzulassen. Klicken Sie auf "Ausführen".
22
Bereitstellen von Agents auf Computern
Bereitstellen von Symantec Endpoint Management Small Business Edition mit Active Directory
7
Klicken Sie anschließnd im Dialogfeld "Symantec.cloud Package Creator" auf
"Durchsuchen", um den Speicherort für das Paket zu wählen.
8
Klicken Sie unter "Erweiterte Optionen" auf "Betriebssysteme" und wählen Sie
die Windows-Versionen aus, die das Paket unterstützen soll. Klicken Sie auf
"Speichern".
9
Klicken Sie unter "Erweiterte Optionen" auf "Proxy-Einstellungen" und geben
Sie die Einstellungen für Package Creator ein. Dieser Schritt ist optional und
nur notwendig, wenn diese Einstellungen für den Internetzugang erforderlich
sind. Klicken Sie auf "Speichern".
Hinweis: Sie können mehrere Verteilungspakete erstellen, um den
Anforderungen an die verschiedenen Netzwerkstandorte in Ihrem Unternehmen
gerecht zu werden.
10 Aktivieren Sie unter "Erweiterte Optionen" die Option "Bereitstellung der
Gruppenrichtlinie von Active Directory erforderlich".
11 Zum Deaktivieren von Warnungen während der Bereitstellung aktivieren Sie
das Kontrollkästchen "Installationswarnungen während der Bereitstellung
unterdrücken". Diese Option ist nur verfügbar, wenn die Option "Bereitstellung
der Gruppenrichtlinie von Active Directory erforderlich" aktiviert ist.
12 Klicken Sie auf "Starten".
13 Die ausgewählten Dateien werden heruntergeladen. Anschließend wird das
Paket erstellt. Die Dateien des verteilbaren Paktes sind mit einer bestimmten
Organisation verbunden und sollten nicht außerhalb dieser Organisation
verwendet werden.
14 Klicken Sie nach Abschluss des Vorgangs auf "Fertig stellen".
15 Alle Dateien (SYMRedistributable.exe, SYMGroupPolicyDeployment.msi und
SYMGroupPolicyDeployment.mst) befinden sich im Zielverzeichnis. Diese
Dateien bilden ein Paket und dürfen nicht voneinander getrennt werden; durch
Mischen dieser Dateien wird das verteilbare Paket aufgelöst.
Siehe "Bereitstellen von Symantec Endpoint Management Small Business Edition
mit Active Directory" auf Seite 21.
Einrichten eines Domänencontrollers für die Bereitstellung
Nach Abschluss des Vorgangs muss der Domänencontroller für das Bereitstellen
von SEP SBE Cloud eingerichtet werden. Dieser Vorgang besteht aus drei Schritten:
■
Erstellen eines Verteilungspunkts
23
Bereitstellen von Agents auf Computern
Verwalten von Einladungen zum Herunterladen des Agent
■
Erstellen eines Gruppenrichtlinienobjekts
■
Zuweisen eines Pakets
Die Verfahren für diese Aufgaben sind in der Microsoft-Supportdatenbank
dokumentiert. Das Dokument der Supportdatenbank:
Verwenden von Gruppenrichtlinien für die Remoteinstallation von Software in
Windows Server 2003
Diese Artikel erläutert die folgenden Vorgänge:
■
Erstellen eines Verteilungspunkts
■
Erstellen eines Gruppenrichtlinienobjekts
■
Zuweisen eines Pakets
■
Veröffentlichen eines Pakets
Hinweis: Das Veröffentlichen des verteilbaren Installationspakets wird nicht
unterstützt.
■
Erneutes Bereitstellen eines Pakets
■
Entfernen eines Pakets
Hinweis: Der Administrator muss das Entfernen eines Installationspakets in der
Management-Konsole von SEP SBE Cloud durchführen.
■
Problembehebung
Der folgende Microsoft-Artikel kann ebenfalls bei der Vorbereitung für eine Active
Directory-Bereitstellung nützlich sein:
SO WIRD'S GEMACHT: Zuweisen von Software zu einer bestimmten Gruppe unter
Verwendung einer Gruppenrichtlinie
Siehe "Bereitstellen von Symantec Endpoint Management Small Business Edition
mit Active Directory" auf Seite 21.
Verwalten von Einladungen zum Herunterladen des
Agent
Sie verwalten die Einladungen auf der Seite "Einladung zum Download des Agent".
Sie haben folgenden Möglichkeiten:
24
Bereitstellen von Agents auf Computern
Verwalten von Einladungen zum Herunterladen des Agent
■
Einladen von Mitarbeitern zum Herunterladen des Symantec.cloud-Agent
■
Anzeigen Ihres Download-Einladungsverlaufs
■
Deaktivieren von Download-Einladungen
Im Bereich "Einladungen senden" können Sie neue Einladungen send per E-Mail
senden. Sie können bis zu 50 durch Semikolons getrennte E-Mail-Adressen
eingeben.
Im Abschnitt "Einladungen/Verlauf deaktivieren" wird angezeigt, wann, an wen und
wie viele Einladungen gesendet wurden. Außerdem können Sie mit der Funktion
"Deaktivieren" Einladungen deaktivieren. Wenn Sie eine Einladung deaktivieren,
wird der Download-Link in der Einladung, der normalerweise für 30 Tage aktiv ist,
geschlossen. Download-Einladungen laufen 30 Tage nach ihrer Verteilung ab.
So versenden Sie Download-Einladungen und zeigen Ihren Einladungsverlauf an
1
Loggen Sie sich bei Ihrem Management-Konsolenkonto ein.
2
Klicken Sie auf der Startseite im Feld "Schnellaufgabe" auf "Einladungsverlauf
anzeigen".
3
Senden Sie Einladungen, indem Sie im Feld "Einladungen versenden" durch
Semikolons getrennte E-Mail-Adressen hinzufügen und auf "E-Mail-Einladungen
versenden" klicken.
4
Zeigen Sie Ihren Einladungsverlauf an der Unterseite der Seite an.
So deaktivieren Sie eine E-Mail-Einladung zum Installieren des
Symantec.cloud-Agent
1
Loggen Sie sich bei Ihrem Management-Konsolenkonto ein.
2
Im Feld "Schnellaufgabe" auf Ihrer Startseite klicken Sie auf "Einladungsverlauf
anzeigen".
3
Identifizieren Sie die Einladung, die Sie deaktivieren möchten, in
"Einladungen/Verlauf deaktivieren" und klicken Sie in der dazugehörigen Spalte
"Aktionen" auf "Deaktivieren".
Hinweis: Das Deaktivieren einer Einladung widerruft die Einladung für alle
E-Mail-Adressen, die in der Einladung aufgelistet waren.
25
Bereitstellen von Agents auf Computern
Senden eines Verfahrens an Benutzer, das Download-Einladungen erklärt
Senden eines Verfahrens an Benutzer, das
Download-Einladungen erklärt
Mit SEP SBE Cloud können Sie zulassen, dass Benutzer den Symantec.cloud-Agent
selbst herunterladen und installieren. Die Autorisierung der Benutzer erfolgt durch
die während der Installation eingegebene E-Mail-Adresse. Die Einladung zum
Herunterladen gibt ihnen keinen Zugriff auf Ihr SEP SBE Cloud-Konto.
Die Einladung enthält nur einen Link zum Download und keine ausdrücklichen
Anweisungen. Sie sollten:
■
Informieren Sie die Benutzer, die Einladungen zum Herunterladen erhalten,
über die Wichtigkeit Ihrer Endpoint Protection-Strategie
■
die für eine erfolgreiche Installation erforderlichen Proxy-Daten an eingeladene
Benutzer senden (falls erforderlich)
■
dieses Verfahren mitschicken, um die Anzahl von Fragen zur Installation zu
minimieren.
So installieren Sie SEP SBE Cloud
1
Öffnen Sie die E-Mail-Anwendung und suchen Sie die E-Mail vom
Symantec-Warnservice mit dem Betreff "Symantec.cloud-Agent herunterladen".
Laden Sie die E-Mail herunter und öffnen Sie sie.
Hinweis: Wenn Sie die E-Mail nicht finden können, suchen Sie im Spam-Ordner
der E-Mail-Anwendung.
2
Klicken Sie in der Einladungs-E-Mail auf den Link. Die Datei wird
heruntergeladen.
Hinweis: Sie müssen die auf Ihrem Computer installierten Virenschutz- und
Firewall-Produkte entfernen, bevor Sie Symantec Endpoint Protection
installieren.
Siehe "Entfernen vorhandener Antivirus- und Firewall-Produkte" auf Seite 9.
3
Sie können die Datei ausführen oder speichern. Klicken Sie auf "Ausführen".
4
Wenn die Datei SymantecExtractor.exe vollständig heruntergeladen wurde,
werden Sie aufgefordert, das Ausführen der Software zuzulassen. Klicken Sie
auf "Ausführen".
26
Bereitstellen von Agents auf Computern
Senden eines Verfahrens an Benutzer, das Download-Einladungen erklärt
5
Das Installationsprogramm für Symantec Endpoint Protection Small Business
Edition wird gestartet. Hier wird der Status der Installation angezeigt und Sie
können den Installationsordner ändern. Klicken Sie auf "Weiter".
6
Konfigurieren Sie bei Bedarf die Proxy-Einstellungen. Klicken Sie auf "Weiter".
7
Wenn die Installationsseite angezeigt wird, klicken Sie auf "Installieren".
8
Nach Abschluss des Vorgangs werden die Komponenten von SEP SBE Cloud
installiert. Klicken Sie auf "Weiter".
9
Wenn gemeldet wird, dass der Vorgang abgeschlossen wurde, deaktivieren
Sie das Kontrollkästchen "Website aufrufen" und klicken Sie auf "Fertig stellen".
10 In den meisten Fällen wird SEP SBE Cloud automatisch der Liste geschützter
Computer des Unternehmens hinzugefügt.
27
Kapitel
2
Anpassen von Endpoint
Protection
In diesem Kapitel werden folgende Themen behandelt:
■
Info zu Endpoint Protection-Richtlinien
■
Konfigurieren von Endpoint Protection
■
Infos zu USB Device Control
■
Konfigurieren von USB Device Control
■
Übergehen von USB Device Control auf einem Endgerät
■
Unter Verwendung benutzerdefinierter Ausschlüsse
■
Konfigurieren der intelligenten Firewall
■
Konfigurieren von Firewall-Regeln
■
Verwenden der Programmsteuerung
■
Scannen von Computern über Remote-Zugriff
■
Installieren der On-Premises-Version von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Wird ein beliebiger Computer als Endpoint Protection-Computer hinzugefügt, wird
er sofort der Standardgruppe und der Standardrichtlinie zum Schutz hinzugefügt.
Die Standardgruppe wird nur geändert, wenn Computer hinzugefügt oder gelöscht
werden. Die Standardrichtlinie kann nicht geändert werden. Wenn die
Standardkonfiguration nicht geeignet ist, können Sie Gruppen und Richtlinien
konfigurieren, die Ihren Anforderungen entsprechen.
Anpassen von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Mit Symantec Endpoint Protection können Sie Richtlinien zum Schutz von
Computern erstellen und anwenden, basierend auf den Sicherheitsanforderungen
der Computer. Vier Schutzkategorien stehen für die Richtlinie zur Verfügung:
■
Schutz des Computers
■
USB Device Control
■
Web-Schutz
■
Netzwerk-Schutz
Diese Schutzkategorien bieten eine umfassende Sicherheitslösung. Die Funktion
"Schutz des Computers" konzentriert sich auf mit hohem Risiko verbundene
Kommunikationen, die an einen Computer gesendet werden.
Hinweis: Auf Desktops und Laptops werden andere Agents als auf Servern installiert.
Die Schutzeinstellungen für Server unterscheiden sich von denen für Desktops und
Laptops.
29
Anpassen von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Tabelle 2-1
Schutz des Computers
Schutzeinstellung Beschreibung
Antivirus
Desktops
Server
und Laptops
Die Schutzfunktionen liefern umfassende Viren- und
X
Sicherheitsrisikoerkennung für Ihren Computer. Bekannte Viren
werden automatisch erkannt und repariert. Instant
Messenger-Anhänge, E-Mail-Anhänge, Internet-Downloads und
andere Dateien werden auf Viren und andere mögliche Risiken
gescannt. Darüber hinaus sorgen die Definitions-Updates, die
LiveUpdate automatisch herunterlädt, wenn Ihr Computer mit dem
Internet verbunden ist, dafür, dass Sie auf die neuesten
Sicherheitsrisiken vorbereitet sind.
Benutzer kann Antivirus deaktivieren : Benutzer können den
Virenschutz für einen gewissen Zeitraum deaktivieren:
■
15 Minuten
■
eine Stunde
■
fünf Stunden
■
Bis zum Neustart
Hinweis: Die Deaktivierung funktioniert nur auf Desktops und
Laptops.
Zugeordnete Netzwerklaufwerke ausschließen : Verhindert das
Scannen von Netzlaufwerken, die Desktops oder Laptops
zugeordnet sind. Diese Option ist für Server nicht verfügbar.
Wechseldatenträger ausschließen : Verhindert das Scannen von
Wechseldatenträgern, die an Desktops oder Laptops
angeschlossen sind. Diese Option ist für Server nicht verfügbar.
Benutzerdefinierte Ausschlüsse : Administratoren können
bestimmte Dateien, Ordner oder Dateitypen aus dem
Antivirus-Scan ausschließen.
Siehe "Unter Verwendung benutzerdefinierter Ausschlüsse"
auf Seite 44.
Hinweis: LiveUpdate erfordert ausreichenden Speicherplatz, um
ausgeführt werden zu können. Stellen Sie bitte sicher, dass Ihre
Computer 1 GB des verfügbaren Festplattenspeichers haben, um
LiveUpdate-Fehler zu vermeiden.
X
30
Anpassen von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Schutzeinstellung Beschreibung
SONAR
Desktops
Server
und Laptops
Symantec Endpoint Protection SONAR (Symantec Online Network X
for Advanced Response) bietet Echtzeitschutz vor Bedrohungen
und erkennt proaktiv unbekannte Sicherheitsrisiken auf Ihrem
Computer. SONAR identifiziert die neue Bedrohungen basierend
auf dem Verhalten von Anwendungen. Es identifiziert Bedrohungen
schneller als traditionelle signaturbasierte Erkennungsmethoden.
SONAR erkennt bösartigen Code und schützt Sie davor, sogar
bevor Virendefinitionen über LiveUpdate verfügbar sind.
X
SONAR überwacht Ihren Computer auf bösartige Aktivitäten durch
heuristische Erkennung.
SONAR blockiert und entfernt Bedrohungen mit hoher Gewissheit
automatisch. Norton Internet Security benachrichtigt Sie, wenn
Bedrohungen mit hoher Gewissheit erkannt und entfernt wurden.
SONAR bietet die beste Kontrolle, wenn Bedrohungen mit niedriger
Gewissheit erkannt werden.
Wenn Sie auf den Link "Details anzeigen" in der
Benachrichtigungswarnmeldung klicken, wird die Übersicht über
verarbeitete Bedrohungen mit hoher Gewissheit angezeigt. Sie
können die Informationen im Fenster "Sicherheitsverlauf" in der
Kategorie "Behobene Sicherheitsrisiken" anzeigen.
Hinweis: LiveUpdate erfordert ausreichenden Speicherplatz, um
ausgeführt werden zu können. Stellen Sie bitte sicher, dass Ihre
Computer 1 GB des verfügbaren Festplattenspeichers haben, um
LiveUpdate-Fehler zu vermeiden.
Antispyware
Antispyware schützt den Computer vor Sicherheitsrisiken, die Ihre X
persönlichen Informationen und Identität gefährden können.
Symantec Endpoint Protection Antispyware erkennt folgende
wichtige Spyware-Kategorien:
■
Sicherheitsrisiko
■
Hacker-Tool
■
Spyware
■
Trackware
■
Dialer
■
Remote-Zugriff
■
Adware
■
Scherzprogramme
■
Sicherheitsbewertungs-Tools
■
Irreführende Anwendungen
X
31
Anpassen von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Mit der Funktion "USB Device Control" können Administratoren das Einschleusen
von bösartigem Code und den Diebstahl geistigen Eigentums verhindern, da das
Programm die Nutzung von USB-Wechseldatenträgern durch Angestellte überwacht.
USB-Mäuse und -Tastaturen werden von USB Device Control nicht beeinträchtigt,
da sie keine Daten speichern.
Tabelle 2-2
USB Device Control
Schutzeinstellung Beschreibung
Zugriff auf
USB-Gerät
Desktops
Server
und Laptops
In dieser Dropdown-Liste können Sie festlegen, ob eine Richtlinie X
den Zugriff auf ein USB-Gerät zulässt oder blockiert.
Blockierereignisse werden zu Prüfungs- und
Berichterstellungszwecken protokolliert.
Schreibgeschützter Über dieses Kontrollkästchen können Sie den Zugriff auf
Zugriff
USB-Geräte auf schreibgeschützt beschränken.
X
X
Hinweis: Diese Funktion ist nicht für Server verfügbar.
Benutzerbenachrichtigungen Aktiviert Toastermeldungen auf dem Endgerät, die den Benutzer X
aktivieren
auf blockierte USB-Geräte hinweisen.
X
Webschutz schützt Internet Explorer und Firefox vor Angriffen, bewertet die
Sicherheit von Websites und der aus dem Internet heruntergeladenen Dateien.
32
Anpassen von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Tabelle 2-3
Webschutz
Schutzeinstellung Beschreibung
Browser-Schutz
Desktops
Server
und Laptops
Bei gesteigerter Internetnutzung ist der Webbrowser immer mehr X
Angriffen von bösartigen Websites ausgesetzt. Diese Websites
erkennen und nutzen Sicherheitslücken im Webbrowser, um ohne
Ihr Wissen bzw. Ihre Zustimmung Malware herunterzuladen. Diese
Malware-Programme werden auch unbemerkte Downloads
genannt. Norton Internet Security schützt Webbrowser vor
unbemerkten Downloads von bösartigen Websites.
Norton Internet Security blockiert proaktiv neue oder unbekannte
Malware, bevor sie Schaden anrichten kann. Durch Schützen des
Webbrowsers sichert Norton Internet Security Ihre vertraulichen
Informationen und verhindert, dass Angreifer Ihr System über
Remote-Zugriff steuern.
Die Funktion "Browser-Schutz" sucht in den folgenden Browsern
nach Sicherheitslücken:
■
Internet Explorer 7.0 oder höher
■
Firefox 10.0 oder höher
■
Chrom 17.0 oder höher
Sie müssen zum Nutzen dieser Funktion die Option
"Browser-Schutz" aktivieren.
Hinweis: Diese Funktion gilt nur für Desktops und Laptops.
33
Anpassen von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Schutzeinstellung Beschreibung
Desktops
Server
und Laptops
Download-Insight
X
34
Anpassen von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Schutzeinstellung Beschreibung
Download-Insight liefert Informationen über die Reputation von
ausführbaren Dateien, die Sie aus den unterstützten Portalen
herunterladen. Die Reputationsdetails geben an, ob die
heruntergeladene Datei sicher ist. Anhand dieser Angaben können
Sie entscheiden, welche Aktion auf die Datei angewendet werden
soll.
Es werden u. a. folgende Portale unterstützt:
■
Internet Explorer (Browser)
■
Opera (Browser)
■
Firefox (Browser)
■
Chrome (Browser)
■
AOL (Browser)
■
Safari (Browser)
■
Yahoo! (Browser)
■
MSN Explorer (Browser, E-Mail und Chat)
■
QQ (Chat)
■
ICQ (Chat)
■
Skype (Chat)
■
MSN Messenger (Chat)
■
Yahoo! Messenger (Chat)
■
Limewire (P2P)
■
BitTorrent (P2P)
■
Thunder (P2P)
■
Vuze (P2P)
■
Bitcomet (P2P)
■
uTorrent (P2P)
■
Outlook (E-Mail)
■
Thunderbird (E-Mail)
■
Windows Mail (E-Mail)
■
Outlook Express (E-Mail)
■
FileZilla (Datei-Manager)
■
UseNext (Download-Manager)
■
FDM (Download-Manager)
■
Adobe Acrobat Reader (PDF-Anzeige)
Es gibt folgende Bewertungsstufen: sicher, unsicher und
unbekannt. Sie können sichere Dateien installieren. Norton Internet
Security entfernt unsichere Dateien. Bei unbekannten Dateien
fordert Sie Download-Insight auf, eine geeignete Aktion mit der
Datei auszuführen. Sie können die Datei installieren, die Installation
Desktops
Server
und Laptops
35
Anpassen von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Schutzeinstellung Beschreibung
Desktops
Server
und Laptops
beenden oder die Datei entfernen.
Wenn Sie eine Datei heruntergeladen haben, analysiert
Download-Insight ihre Reputationsstufe. Auto-Protect analysiert
die Bewertung der Datei. Auto-Protect nutzt die
Bedrohungssignaturen, die Norton Internet Security in
Definitionsaktualisierungen und aus anderen Sicherheitsengines
erhält, um die Sicherheit einer ausführbaren Datei zu bestimmen.
Wenn die Datei unsicher ist, entfernt Auto-Protect sie. Auto-Protect
meldet die Ergebnisse der Dateianalyse an Download-Insight.
Download-Insight löst dann Benachrichtigungen aus, um Sie zu
informieren, ob die Datei sicher zu installieren ist oder Eingreifen
erfordert. Sie müssen eine geeignete Aktion mit diesen Dateien
ausführen. Bei unsicheren Dateien informiert Sie Download-Insight,
dass Norton Internet Security die Datei entfernt hat.
Im Sicherheitsverlauf werden alle Ereignisse, die Download-Insight
verarbeitet und meldet, protokolliert. Er enthält auch Informationen
über die Aktionen, die Sie basierend auf den Reputationsdaten
der Ereignisse ausführen. Sie können diese Informationen im
Sicherheitsverlauf in der Kategorie "Download-Insight" anzeigen.
Der Netzwerk-Schutz verteidigt den Computer, indem er Angriffe auf die
Netzwerkverbindung erkennt und verhindert und die Sicherheit von E-Mail-Anhängen
analysiert.
36
Anpassen von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Tabelle 2-4
Netzwerk-Schutz
Schutzeinstellung Beschreibung
Angriffsschutz
Desktops
Server
und Laptops
Die Funktion "Angriffsschutz" scannt den gesamten ein- und
X
ausgehenden Netzwerkverkehr und vergleicht diese Daten mit
bekannten Angriffssignaturen. Angriffssignaturen enthalten
Informationen, anhand derer erkannt werden kann, ob ein Angreifer
versucht, eine bekannte Betriebssystem- oder
Programmsicherheitslücke auszunutzen. Intrusion Prevention
schützt den Computer vor den meisten gängigen Internetangriffen.
Weitere Informationen zu den blockierten Angriffen finden Sie
unter:
http://www.symantec.com/business/security_response/attacksignatures
Wenn die Informationen einer Angriffssignatur entsprechen, lehnt
der Angriffsschutz das Paket automatisch ab und unterbricht die
Verbindung mit dem sendenden Computer. Diese Aktion schützt
den Computer.
Der Angriffsschutz nutzt eine umfangreiche Liste von
Angriffssignaturen, zum Erkennen und Blockieren verdächtiger
Netzwerkaktivitäten. Sie sollten LiveUpdate regelmäßig ausführen,
um sicherzustellen, dass die Liste der Angriffssignaturen immer
auf dem neuesten Stand ist.
Hinweis: LiveUpdate erfordert ausreichenden Speicherplatz, um
ausgeführt werden zu können. Stellen Sie bitte sicher, dass Ihre
Computer 1 GB des verfügbaren Festplattenspeichers haben, um
LiveUpdate-Fehler zu vermeiden.
E-Mail-Schutz
Der E-Mail-Schutz schützt den Computer vor Bedrohungen, die
von E-Mail-Anhängen ausgehen können. Ihr E-Mail-Programm
wird automatisch für den Schutz vor Viren und andere
Sicherheitsbedrohungen konfiguriert.
Hinweis: Diese Funktion gilt nur für Desktops und Laptops.
X
37
Anpassen von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Schutzeinstellung Beschreibung
Desktops
Server
und Laptops
Intelligente Firewall
X
38
Anpassen von Endpoint Protection
Info zu Endpoint Protection-Richtlinien
Schutzeinstellung Beschreibung
Die intelligente Firewall überwacht die Kommunikation zwischen
Ihrem und anderen Computern im Internet. Außerdem schützt Sie
Ihren Computer und warnt vor gängigen Sicherheitsproblemen
wie:
■
■
■
Nicht genehmigte Verbindungsversuche von anderen
Computern und Versuche durch Programme auf Ihrem
Computer, eine Verbindung zu anderen Computern
herzustellen
Port-Scans durch nicht autorisierte Computer
Angriffsversuche durch Erkennen und Blockieren bösartigen
Datenverkehrs und anderer Versuche durch externe Benutzer,
Ihren Computer anzugreifen
Eine Firewall blockiert Hacker und anderen nicht autorisierten
Datenverkehr, während sie autorisierten Datenverkehr durchlässt.
Wenn Sie die Intelligente Firewall deaktivieren, wird der
Systemschutz reduziert. Stellen Sie sicher, dass die intelligente
Firewall immer aktiviert ist.
Die intelligente Firewall hat zwei konfigurierbare Optionen:
"Benutzer kann Firewall deaktivieren" : Der Benutzer kann die
intelligente Firewall für einen bestimmten Zeitraum außer Kraft
setzen. Diese Option ermöglicht das Installieren von Anwendungen
oder das Ausführen anderer Verwaltungsaufgaben. Die Firewall
kann für folgende Zeiträume deaktiviert werden:
■
15 Minuten
■
eine Stunde
■
fünf Stunden
■
Bis zum Neustart
Blockierte Ereignisse melden : Lädt blockierte Firewall-Ereignisse
vom Computer in Ihr Endpoint Protection-Konto hoch. Die
blockierten Ereignisse werden der Seite "Computerverlauf" und
den statistischen Daten hinzugefügt, die auf der Startseite
angezeigt werden. Blockierte Ereignisse sind auch auf der Seite
"Sicherheitsverlauf" der lokalen Norton Internet
Security-Schnittstelle verfügbar. Keine auf diesen Daten
basierenden Warnmeldungen werden ausgegeben, da es sich um
Ereignisse mit geringem Risiko handelt.
Firewall-Regeln : Administratoren können Firewall-Regeln für das
Unternehmen anpassen.
Programmsteuerung : Administratoren können den Internetzugang
Desktops
Server
und Laptops
39
Anpassen von Endpoint Protection
Konfigurieren von Endpoint Protection
Schutzeinstellung Beschreibung
Desktops
Server
und Laptops
für vom Agent erkannte Programme ermöglichen oder blockieren.
Hinweis: Diese Funktion gilt nur für Desktops und Laptops.
Konfigurieren von Endpoint Protection
Zum Konfigurieren von Endgerät Protection entsprechend der
Sicherheitsanforderungen Ihres Unternehmens müssen Sie Folgendes tun:
■
Logische Gruppen für Ihre Computer erstellen
■
Entscheiden, welche Richtlinien für jede Gruppe geeignet sind
Standardmäßig werden alle neuen Computer der Standardgruppe hinzugefügt und
ihnen wird die Endpoint Security-Standardrichtlinie für die installierten Dienste jedes
Agents zugewiesen. Keine weitere Konfiguration ist erforderlich.
So erstellen Sie Computergruppen
1
Loggen Sie sich bei Ihrem Konto ein und klicken Sie auf die Seite "Computer".
2
Klicken Sie im linken Teilfenster im Abschnitt "Gruppen" auf den Link "Groppe
hinzufügen".
3
Geben Sie einen Namen und eine Beschreibung für die Gruppe ein. Klicken
Sie auf "Speichern".
4
Wählen Sie im linken Teilfenster unter "Gruppen" die erstellte Gruppe aus.
5
Klicken Sie rechts in der Kopfzeile mit den Gruppeninformationen auf den Link
"Computer verschieben", um Computer der Gruppe hinzuzufügen.
6
Im Dialogfeld "Computer verschieben" können Sie die Computer, die der Gruppe
hinzugefügt werden sollen, filtern und auswählen. Klicken Sie auf "Speichern".
Die ausgewählten Computer werden aus der Standardgruppe (oder einer
anderen zugewiesenen Gruppe) in die neue Computergruppe verschoben.
So erstellen Sie Richtlinien
1
Loggen Sie sich bei Ihrem Konto ein und klicken Sie auf die Seite "Richtlinien".
2
Wählen Sie im linken Teilfenster unter "Dienste" den Dienst aus, für den Sie
eine Richtlinie erstellen möchten und klicken Sie auf "Richtlinie hinzufügen".
40
Anpassen von Endpoint Protection
Infos zu USB Device Control
3
Gehen Sie auf der Seite "Richtlinien" folgendermaßen vor:
Geben Sie "Name" und "Beschreibung" für die Richtlinie ein.
Weisen Sie geeignete Schutzeinstellungen unter Verwendung der
Kontrollkästchen zu.
Legen Sie Ausnahmen für Scans unter Verwendung der Kontrollkästchen fest.
Um bestimmte Dateien, Dateitypen oder Ordner auszuschließen, klicken Sie
auf "Benutzerdefinierte Ausnahmen".
Siehe "Unter Verwendung benutzerdefinierter Ausschlüsse" auf Seite 44.
Legen Sie einen "Scanzeitplan" fest, indem Sie das Scanintervall, die Startzeit
und die zu scannenden Computer angeben.
Weisen Sie die Richtlinie den entsprechenden Gruppen im Abschnitt "Gruppen"
zu.
4
Klicken Sie auf "Speichern und übernehmen". Die Richtlinie wird auf die
Computer in den ausgewählten Gruppen angewendet.
Infos zu USB Device Control
Mit der Funktion "USB Device Control" können Administratoren das Einschleusen
von bösartigem Code und den Diebstahl geistigen Eigentums verhindern, da das
Programm die Nutzung von USB-Wechseldatenträgern durch Angestellte überwacht.
USB-Mäuse und -Tastaturen werden von USB Device Control nicht beeinträchtigt,
da sie keine Daten speichern. Folgende von einer Richtlinie durchgesetzten
Sicherheitsstufen am Endgerät sind verfügbar:
■
Zulassen
■
Blockieren
Hinweis: Device Control-Einschränkungen gelten nicht für Server.
Wenn Ihre Richtlinie USB-Geräten zulässt, haben alle Computer in den Gruppen,
für die die Richtlinie gilt, vollständigen Zugriff auf USB-Speichergeräte. "Zulassen"
ist die Standardeinstellung. Sie können Lesezugriff für USB-Speichergeräte angeben.
Wenn Ihre Richtlinie USB-Geräte blockiert, können Sie Benachrichtigungen auf
dem Endgerät aktivieren. Die Benachrichtigungen werden auf dem Endgerät in der
unteren rechten Ecke als kleine Popup-Meldungen angezeigt. Benachrichtigungen
sind standardmäßig deaktiviert.
41
Anpassen von Endpoint Protection
Konfigurieren von USB Device Control
Alle Blockierereignisse werden für Prüfungs- und Berichterstellungszwecke
protokolliert. Die Blockierereignisse werden in verschiedenen Speicherorten
aufgezeichnet:
■
Als Einzelposten im Widget "Endpoint Protection" auf der Startseite.
■
Als Einzelposten auf der Registerkarte "Computerprofil > Dienste"
■
Als einzelne Ereignisse auf der Registerkarte "Computerprofil > Verlauf"
■
Im Bericht "Endpoint Protection-Sicherheitsüberblick" im Abschnitt "USB Device
Control"
Konfigurieren von USB Device Control
Mit Endpoint Protection-Richtlinien können Sie auf Gruppen basierende Steuerungen
von USB-Speichergeräten erstellen. Nur USB-Speichersticks und -Festplatten
werden von Device Control gesteuert, nicht USB-Mäuse und -Tastaturen, da diese
keine Daten speichern. Das Konfigurieren von USB Device Control ist entweder
Teil einer neuen Richtlinie oder der vorhandenen Endpoint Protection-Richtlinie.
■
Zulassen
Die Standard Endpoint Protection-Richtlinieneinstellung für Device Control
ermöglicht vollen Zugriff auf USB-Speichergeräte.
■
Blockieren
Standardmäßig sind die kleinen Popup-Benachrichtigungen auf dem Endgerät
deaktiviert.
So konfigurieren Sie USB Device Control in einer vorhandenen Endpoint
Protection-Richtlinie
1
Klicken Sie von einer beliebigen Seite aus auf "Richtlinien".
2
Suchen Sie auf der Seite "Richtlinien" die gewünschte Endpoint
Protection-Richtlinie und doppelklicken Sie darauf.
3
Wählen Sie im Abschnitt "USB Device Control" in der Dropdown-Liste die
Option "Zulassen" oder "Blockieren".
4
Mit den Kontrollkästchen haben Sie folgende Möglichkeiten:
■
Deaktivieren oder Aktivieren des Lese-Schreibzugriffs auf das
USB-Speichergerät.
Hinweis: Nur verfügbar, wenn die Option "Zulassen" gewählt wurde.
42
Anpassen von Endpoint Protection
Übergehen von USB Device Control auf einem Endgerät
■
Aktivieren oder Deaktivieren von USB-Blockierbenachrichtigungen für
Benutzer
Hinweis: Nur verfügbar, wenn die Option "Blockieren" gewählt wurde.
5
Wenn Sie fertig sind, klicken Sie auf "Speichern und übernehmen".
Übergehen von USB Device Control auf einem
Endgerät
USB Device Control kann das Anschließen eines USB-Speichersticks an einem
Computer verhindern. Diese Funktion reduziert das Risiko, dass bösartiger Code
eingeschleust oder geistiges Eigentum eines Unternehmens gestohlen wird. Diese
Sicherheitsfunktion kann die legitimen Bemühungen von Netzwerkadministratoren
beeinträchtigen. Viele Administratoren nutzen USB-Speichergeräte mit
Verwaltungssoftware zum Warten von Computern im Netzwerk. Auf der
Registerkarte "Einstellungen" im Abschnitt "Computer-Einstellungen" können
Administratoren die durch eine Endpoint Protection-Richtlinie festgelegte
Blockieraktion übergehen.
Hinweis: Laut Best Practices stellt der Einsatz von USB-Geräten für die
Softwareinstallation ein Sicherheitsrisiko dar.
So konfigurieren Sie ein Übergehungskennwort für Agent-Administratoren
1
Klicken Sie von einer beliebigen Seite aus auf "Einstellungen" und dann auf
"Computer-Einstellungen".
2
Unter "Agent-Administratorkennwort" wählen Sie "Dieses Kennwort für
Funktionen mit Schlosssymbol verwenden".
3
Geben Sie das neue Kennwort ein und bestätigen Sie es.
4
Das Agent-Administratorkennwort kann jetzt USB Device Control außer Kraft
setzen oder den Kennwortschutz auf einem Endgerät deinstallieren.
Ist diese Funktion aktiviert, kann ein vertrauenswürdiger Administrator ein
USB-Gerät an einem Endgerät anschließen und nutzen.
So setzen Sie USB Device Control auf einem Endgerät außer Kraft
1
Öffnen Sie über das Taskleistensymbol auf dem Endgerät den
Symantec.cloud-Agent.
2
Klicken Sie im Hauptfenster auf "Endpoint Protection".
43
Anpassen von Endpoint Protection
Unter Verwendung benutzerdefinierter Ausschlüsse
3
Aktivieren Sie im Menü auf der rechten Seite die Option "USB Device Control
außer Kraft setzen".
4
Geben Sie das Administratorkennwort im Feld "USB Device Control-Kennwort"
ein und klicken Sie auf "OK".
Das Agent-Administratorkennwort bietet vollen Zugriff auf das angeschlossene
USB-Speichergerät, bis Sie den Computer neu starten.
Hinweis: Sie müssen das Administratorkennwort eingeben und bestätigen,
bevor Sie das USB-Gerät anschließen. Wenn Sie das USB-Gerät bereits
angeschlossen haben, entfernen Sie es und geben Sie das
Administratorkennwort erneut ein und schließen Sie das USB-Gerät wieder
an.
Unter Verwendung benutzerdefinierter Ausschlüsse
Endpoint Protection-Richtlinien schließen standardmäßig Netzlaufwerke aus, die
Desktops und Laptops zugeordnet sind, erlauben aber das Scannen von
Wechseldatenträgern auf diesen Computern. Sie können diese beiden Optionen
einfach über Kontrollkästchen konfigurieren. Über "Benutzerdefinierte Ausnahmen"
können Sie bestimmte Dateien, Ordner und/oder Dateitypen ausschließen.
Um die Speicherorte von Dateien und Ordnern schnell und einfach zu konfigurieren,
können Sie über die Schnittstelle eine vordefinierte Pfadvariable für gängige
Windows-Orte wählen. Treffen Sie eine Auswahl über die drei Punkte im
Dropdown-Menü des Pfadeingabe-Feldes. Sie können Angaben zum Pfad an die
Variable anhängen.
Tabelle 2-5
Vordefinierte Pfadvariablen
Vordefinierte Pfadvariablen
Variabler Pfad in
Windows-Standardinstallation
[COMMON_APPDATA]
C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten
[PROGRAM_FILES]
C:\Programme
[PROGRAM_FILES_COMMON]
C:\Programme\Allgemein
[COMMON_PROGRAMS]
C:\Dokumente und Einstellungen\All
Users\Startmenü\Programme
44
Anpassen von Endpoint Protection
Unter Verwendung benutzerdefinierter Ausschlüsse
Vordefinierte Pfadvariablen
Variabler Pfad in
Windows-Standardinstallation
[COMMON_STARTUP]
C:\Dokumente und Einstellungen\All
Users\Startmenü\Programme\Start
[COMMON_DESKTOPDIRECTORY]
C:\Dokumente und Einstellungen\All
Users\Desktop
[COMMON_DOCUMENTS]
C:\Dokumente und Einstellungen\All
Users\Dokumente
[SYSTEM]
C:\Windows\System32
[WINDOWS]
C:\Windows
Es werden folgende Formate für einen Dateiauschlusspfad akzeptiert:
■
[Laufwerksbuchstabe]:\Pfad\Dateiname
■
[Pfad_Makro]\Pfad\Dateiname
■
Platzhalter und ein "\" am Pfadende werden nicht akzeptiert
Es werden folgende Formate für einen Ordnerauschlusspfad akzeptiert:
■
[Laufwerksbuchstabe]:\Verzeichnispfad\
■
[Pfad_Makro]\Verzeichnispfad\
■
Platzhalter werden nicht akzeptiert
■
Ein "\" am Pfadende wird empfohlen, ist aber nicht erforderlich
■
Aktivieren Sie das Kontrollkästchen "Unterordner", um alle Dateien und
untergeordnete Verzeichnisse der Ausnahmeregel hinzuzufügen.
Für die manuelle Konfiguration einer Erweiterungsausnahme werden folgende
Formate akzeptiert:
■
Verwenden Sie die Erweiterung ohne Punkt, z. B. "mdb"
■
Jede Erweiterung muss in einer eindeutigen Regel verwendet werden
■
Platzhalter und der Punkt werden ignoriert
So schließen Sie eine Datei in einer Richtlinie aus
1
Auf der Seite "Richtlinien" klicken Sie auf "Richtlinie hinzufügen".
2
Im Abschnitt "Computer-Schutz" klicken Sie auf "Benutzerdefinierte
Ausschlüsse".
3
Wählen Sie "Datei" aus dem Dropdown-Menü.
45
Anpassen von Endpoint Protection
Unter Verwendung benutzerdefinierter Ausschlüsse
4
Geben Sie die Datei, die Sie ausschließen möchten, in folgendem Format ein:
[Laufwerksbuchstabe]:\Verzeichnispfad\Dateiname
5
Klicken Sie auf "Hinzufügen", damit die Ausnahme in der Liste "Aktuelle
Ausnahmen" angezeigt wird.
6
Klicken Sie abschließend unten auf der Richtlinienkonfigurationsseite auf
"Speichern & Anwenden".
So schließen Sie eine in einem gemeinsam genutzten Ordner gespeicherte Datei
aus
1
Auf der Seite "Richtlinien" klicken Sie auf "Richtlinie hinzufügen".
2
Im Abschnitt "Computer-Schutz" klicken Sie auf "Benutzerdefinierte
Ausschlüsse".
3
Wählen Sie "Datei" aus dem Dropdown-Menü.
4
Wählen Sie über die drei Punkte des Dropdown-Menüs "[PROGRAMME]".
5
Fügen Sie das Verzeichnis hinzu, das Sie von der vordefinierten Pfadvariable
ausschließen möchten. Es sollte folgendermaßen angezeigt werden:
[PROGRAMME]\Verzeichnispfad_zur_auszuschließenden_Datei\Name_der_auszuschließenden_Datei.
Beispiel: [PROGRAM_FILES]\W2_v3\Word2WAV_v3.exe.
6
Klicken Sie auf "Hinzufügen", damit die Ausnahme in der Liste "Aktuelle
Ausnahmen" angezeigt wird.
7
Klicken Sie abschließend unten auf der Richtlinienkonfigurationsseite auf
"Speichern & Anwenden".
So schließen Sie einen Ordner aus
1
Auf der Seite "Richtlinien" klicken Sie auf "Richtlinie hinzufügen".
2
Im Abschnitt "Computer-Schutz" klicken Sie auf "Benutzerdefinierte
Ausschlüsse".
3
Wählen Sie "Ordner" aus dem Dropdown-Menü.
4
Geben Sie das Verzeichnis ein, das Sie ausschließen möchten, in folgendem
Format ein: [Laufwerksbuchstabe]:\Ordnerpfad\
5
Wenn Sie alle Unterverzeichnisse innerhalb des ausgeschlossenen Ordners
ausschließen möchten, aktivieren Sie das Kontrollkästchen "Unterordner".
6
Klicken Sie auf "Hinzufügen", damit die Ausnahme in der Liste "Aktuelle
Ausnahmen" angezeigt wird.
7
Klicken Sie abschließend unten auf der Richtlinienkonfigurationsseite auf
"Speichern & Anwenden".
46
Anpassen von Endpoint Protection
Konfigurieren der intelligenten Firewall
So schließen Sie einen gemeinsam genutzten Ordner aus
1
Auf der Seite "Richtlinien" klicken Sie auf "Richtlinie hinzufügen".
2
Im Abschnitt "Computer-Schutz" klicken Sie auf "Benutzerdefinierte
Ausschlüsse".
3
Wählen Sie "Ordner" aus dem Dropdown-Menü.
4
Wählen Sie über die drei Punkte des Dropdown-Menüs "[PROGRAM_FILES]".
5
Fügen Sie das Verzeichnis hinzu, das Sie von der vordefinierten Pfadvariable
ausschließen möchten. Es sollte folgendermaßen angezeigt werden:
[PROGRAMME]\Verzeichnispfad_zum_auszuschließenden_Ordner\. Beispiel:
[Programme]\W2_v3\.
6
Wenn Sie alle Unterverzeichnisse innerhalb des ausgeschlossenen Ordners
ausschließen möchten, aktivieren Sie das Kontrollkästchen "Unterordner".
7
Klicken Sie auf "Hinzufügen", damit die Ausnahme in der Liste "Aktuelle
Ausnahmen" angezeigt wird.
8
Klicken Sie abschließend unten auf der Richtlinienkonfigurationsseite auf
"Speichern & Anwenden".
So schließen Sie einen Dateityp aus
1
Auf der Richtlinienkonfigurationsseite klicken Sie auf "Benutzerdefinierte
Ausschlüsse".
2
Wählen Sie "Erweiterung" aus dem Dropdown-Menü.
3
Sie können entweder über die drei Punkte im Dropdown-Menü aus gängigen
Dateitypen wählen oder die Dateierweiterung direkt ohne den Punkt am Anfang
eingeben. Da Dateitypausnahmen systemweit gültig sind, muss kein
Laufwerksbuchstabe angegeben werden.
Hinweis: Dateitypausnahmen müssen einzeln eingegeben werden; durch
Trennzeichen getrennte Erweiterungslisten werden nicht akzeptiert.
4
Klicken Sie abschließend unten auf der Richtlinienkonfigurationsseite auf
"Speichern & Anwenden".
Konfigurieren der intelligenten Firewall
Intelligente Firewall ist Teil der Einstellungen für den "Netzwerk-Schutz" für Desktops
und Laptops in für Ihr Unternehmen erstellten Richtlinien. Sie überwacht die
Kommunikation zwischen Ihrem Computer und anderen Computern im Internet.
47
Anpassen von Endpoint Protection
Konfigurieren der intelligenten Firewall
Sie schützt auch Endgeräte vor häufig vorkommenden Sicherheitsproblemen wie
den folgenden:
Unzulässige
Warnt Sie, wenn andere Computer zu Ihrem Computer und Programme
Verbindungsversuche auf Ihrem Computer zu anderen Computern eine Verbindung
herzustellen versuchen
Port-Scans
Verdeckt die inaktiven Ports auf Ihrem Computer und schützt so vor
Hackangriffen wie Port-Scans
Angriffsversuche
Überwacht den ein- und ausgehenden Netzwerkdatenverkehr auf Ihrem
Computer, um verdächtiges Verhalten zu erkennen und jeden Angriff
abzuwehren, bevor dieser zu einer Bedrohung für Ihr System werden
kann
Für die intelligente Firewall sind vier Konfigurationsoptionen verfügbar:
■
Durch Aktivierung von "Die Firewall kann vom Benutzer deaktiviert werden"
können Benutzer die Firewall für einen bestimmten Zeitraum deaktivieren
■
15 Minuten
■
eine Stunde
■
5 Stunden
■
Bis zum Neustart
■
Firewall-Aktivitäten können durch "Blockierte Ereignisse melden" in Ihre
Berichterstellungsdatenbank geladen werden
■
Administratoren können Firewall-Regeln mithilfe von "Firewall-Regeln" für ihre
Organisation anpassen
■
"Programmsteuerung" vereinfacht die Regelerstellung für vom Agent erkannte
Programme
Die Kontrollkästchen unter "Die Firewall kann vom Benutzer deaktiviert werden"
und "Blockierte Ereignisse melden" aktivieren bzw. deaktivieren eine Option. Unter
"Firewall-Regeln" und "Programmsteuerung" finden Sie zusätzliche
Konfigurationsoptionen.
Firewall-Regeln
Regeln für die intelligente Firewall ermöglichen es einem Administrator, die
Firewall-Sicherheit mithilfe benutzerdefinierter Richtlinien an die Anforderungen
des Unternehmens anzupassen. Die intelligente Firewall befindet sich nicht am
Rand des Netzwerks eines Unternehmens. Sie befindet sich auf den einzelnen
48
Anpassen von Endpoint Protection
Konfigurieren der intelligenten Firewall
Endgeräten und schützt diese einzeln unter Verwendung von Richtlinien für
Computergruppen.
Endpoint Protection verwendet Standardregeln, die die ordnungsgemäße
Funktionsweise des Dienstes sicherstellen. Die Standardregeln bieten auch die
wichtigsten Netzwerkfunktionen und Schutz vor bekannten Internetrisiken. Beispiele
von Firewall-Standardregeln sind:
Standardzulassung Lässt alle Typen ausgehender und sichere Typen eingehender
Spezifisch
Nachrichtenübermittlung über ICMP (Internet Control Message Protocol)
Eingehend - ICMP zu.
(freigegebene
Netzwerke)
Standardzulassung ICMP-Meldungen liefern Status und Steuerinformationen.
Spezifisch
Ausgehend - ICMP
Standardblockierung Das Endpoint Mapper-Protokoll ermöglicht es Computern, die
EPMAP
Konfiguration von Diensten zu ändern, die auf anderen Computern
laufen.
Standardzulassung Lässt den Gebrauch des Bootp-Dienstes zu.
Eingehend – Bootp
Standardzulassung "Bootp" steht für das Bootstrap-Protokoll. Es ermöglicht es dem
Ausgehend –
Computer, seine eigene IP-Adresse zu erkennen.
Bootp
Die Firewall-Regeln, die in der Standardrichtlinie von Endpoint Protection verwendet
werden, erfüllen die Anforderungen der meisten Organisationen. Die
Standardrichtlinie deaktiviert die Datei- und Druckerfreigabe und die
Firewall-Standardregeln können nicht geändert, gelöscht oder neu angeordnet
werden. Jedoch können Administratoren der intelligenten Firewall Regeln
hinzufügen, die den Notwendigkeiten ihres Unternehmens entsprechen.
So zeigen Sie die Firewall-Standardregeln an
1
Auf der Seite "Richtlinien" klicken Sie auf "Richtlinie hinzufügen".
2
Im Bereich "Netzwerk-Schutz" der Richtlinienkonfigurationsseite klicken Sie
auf "Firewall-Regeln" und dann auf "Standardregeln anzeigen". Die
Standardregeln können nicht geändert, gelöscht oder neu angeordnet werden.
49
Anpassen von Endpoint Protection
Konfigurieren von Firewall-Regeln
So verwenden Sie die Standardrichtlinie mit aktivierter Datei- und Druckerfreigabe
1
Klicken Sie auf der Seite "Richtlinien" auf "Endpoint Protection > Endpoint
Protection-Standardrichtlinie".
2
Klicken Sie oben auf der Seite zum Konfigurieren der Endpoint
Security-Richtlinie auf "Kopie speichern".
3
Ändern Sie Name und Beschreibung, um die Richtlinie als Standardrichtlinie
mit aktivierter Datei- und Druckerfreigabe festzulegen.
4
Im Bereich "Netzwerk-Schutz" der Richtlinienkonfigurationsseite klicken Sie
auf "Firewall-Regeln".
5
Klicken Sie auf die Richtlinienoption "Datei- und Druckerfreigabe aktivieren",
sodass sie grün angezeigt und damit als aktiv markiert wird.
6
Im Bereich "Gruppen" der Richtlinienkonfigurationsseite wählen Sie die
Gruppen, die die geänderte Standardrichtlinie verwenden sollen. Klicken Sie
auf "Speichern und übernehmen".
Konfigurieren von Firewall-Regeln
Eine Firewall ist eine Sperre, die ein Netzwerk oder, im Falle einer intelligenten
Firewall, ein Endgerät vor gefährlicher oder unerwünschter Kommunikation schützt.
Kommunikation tritt zwischen Quell- und Ziel-IP-Adressen auf, wobei ein
Transportprotokoll und eine Port-Nummer verwendet werden, um auf einen Dienst
zuzugreifen. Befehle werden zur Dienstportnummer des angebotenen Dienstes
geschickt. Reaktionen werden an den Port zurückgeschickt, der durch den Computer
angegeben wird, der die Kommunikation initiiert. Firewall-Administratoren können
Datenverkehr zwischen zwei Computern unter Verwendung der folgenden Optionen
blockieren oder zulassen:
■
Nur IP-Adressen
■
Port-Nummer des erforderlichen Dienstes
■
IP-Adresse und Dienstportnummer
Die manuelle Konfiguration von Firewall-Regeln ist zwar in Endpoint Protection
möglich, für Administratoren ohne entsprechende Ausbildung und/oder Erfahrung
ist dies jedoch mit Risiken verbunden. Wir empfehlen gründliches Testen aller
Regeln, die Sie erstellen.
Die intelligente Firewall von Endpoint Protection konfiguriert Regeln anhand von
drei Merkmalen:
■
Verbindungen
■
Computer
50
Anpassen von Endpoint Protection
Konfigurieren von Firewall-Regeln
■
Kommunikation
Diese Regeln werden dann auf eine Gruppe oder auf Gruppen von Computern
angewendet, die interne IP-Adressen für die Firewall-Regel darstellen.
Der erste Schritt beim Definieren einer Firewall-Regel besteht darin, festzulegen,
wie eine Verbindung behandelt werden soll, die die Kriterien erfüllt, die durch die
Regel definiert werden. Zwei Aktionen sind möglich:
Zulassen
Lässt die Kommunikation dieses Typs zu
Blockieren
Unterbindet die Kommunikation dieses Typs
Die Richtung der Verbindung ist das nächste Element, das für die Verbindung
identifiziert wird:
Eingehend
Eingehende Verbindungen umfassen die Kommunikation von einem
anderen Computer zu Ihrem Computer.
Ausgehend
Ausgehende Verbindungen umfassen die Kommunikation von Ihrem
Computer zu einem anderen Computer.
Ein- und
ausgehend
Ein- und ausgehende Verbindungen umfassen die eingehende und
ausgehende Kommunikation zu und von Ihrem Computer.
Geben Sie die Computer an, auf die die Regel zutreffen soll:
Alle Computer
Die Regel gilt für alle Computer.
Alle Computer im
lokalen Subnetz
Die Regel trifft nur auf Computer im lokalen Subnetz zu
Computer wählen
Die Regel trifft nur auf die Computer, Sites oder Domänen zu, die
aufgelistet werden. Die folgenden Optionen sind möglich:
■
Einzeln - durch Eingeben eines Computernamens oder einer URL
■
Nach Bereich- durch Eingeben einer Reihe von IP-Adressen
■
Nach Netzwerkadresse- durch Eingeben einer IP-Adresse und ihrer
Subnetzmaske
Verschiedene Computerkennungsoptionen können in den definierten
Adressen kombiniert werden.
Der letzte Schritt beim Erstellen einer neuen Firewall-Regel besteht darin, die
Kommunikationsprotokolle zu definieren, die für die Verbindung verwendet werden.
Sie können diese Protokolle angeben:
■
TCP
51
Anpassen von Endpoint Protection
Konfigurieren von Firewall-Regeln
■
UDP
■
TCP und UDP
■
ICMP
■
ICMPv6
■
Alle
Wenn eine andere Protokolloption als "Alle" ausgewählt ist, werden
Kommunikationen aller Typen für das ausgewählte Protokoll zugelassen. Wenn
strengere Einschränkungen erforderlich sind, erstellen Sie eine benutzerdefinierte
Liste.
Eine benutzerdefinierte Liste kann Folgendes enthalten:
Bekannte Ports
aus Liste
Die Regel gilt für die Ports, die unter Verwendung von "Klicken für
Listenansicht" ausgewählt werden.
Über bekannte Ports werden allgemein bekannte Dienste bereitgestellt.
Für weniger verbreitete oder proprietäre Anwendungen müssen Sie
die Ports identifizieren, die von der Anwendung verwendet werden.
Einzeln
Die Regel trifft auf die Ports zu, die Sie eingeben. Grenzen Sie mehrere
angegebene Ports Ports mit Leerzeichen ab.
Port-Bereich
Die Regel trifft auf alle Ports zwischen dem mit der niedrigsten bis zu
dem mit der höchsten Port-Nummer zu.
Geben Sie den Port-Bereich von der niedrigsten bis zur höchsten
Port-Nummer ein.
Schließlich müssen Sie die Ports in der Liste als "Lokal" oder "Remote"
kennzeichnen.
Lokal
Lokale Ports sind Ports an einem durch Endpoint Protection geschützten
Computer. Diese werden normalerweise für eingehende Verbindungen
verwendet.
Remote
Remote-Ports befinden sich an dem Computer, mit dem Ihr Computer
kommuniziert. Sie werden normalerweise für ausgehende Verbindungen
verwendet.
Warnung: Falsch konzipierte oder falsch konfigurierte Firewall-Regeln können das
Netzwerk einer Organisation Gefährdungen aussetzen und/oder
unternehmenskritische Dienste funktionsunfähig machen. Testen Sie daher sorgfältig
alle neuen Firewall-Regeln, bevor Sie sie in Ihrer Organisation bereitstellen.
52
Anpassen von Endpoint Protection
Konfigurieren von Firewall-Regeln
So konfigurieren Sie eine Computergruppe zum Testen von Richtlinien und
Firewall-Regeln
1
Erstellen Sie eine Computergruppe zum Testen von Firewall-Regeln.
2
Verschieben Sie einige Testcomputer in die Testgruppe.
3
Erstellen Sie eine Testrichtlinie und wenden Sie sie auf die Testgruppe an.
4
Erstellen Sie eine neue Firewall-Regel, speichern Sie die Richtlinie und wenden
Sie sie auf die neue Regel an.
5
Testen Sie die Regel unter Verwendung der Computer in der Testgruppe.
6
Wiederholen Sie den Prozess und testen Sie die Richtlinie mit jeder neu
hinzugefügten Regel.
7
Stellen Sie sicher, dass Ihre Regeln in der richtigen Reihenfolge eingegeben
werden.
8
Stellen Sie die Regel erst nach gründlicher Prüfung in Ihrer Organisation bereit.
So ermöglichen Sie den Zugriff auf einem allgemein bekanntes Programm (Post
Office Protocol v3)
1
Im Bereich "Netzwerk-Schutz" der Richtlinienkonfigurationsseite klicken Sie
auf "Firewall-Regeln".
2
Klicken Sie auf "Regel hinzufügen", um die Regelkonfigurationsseite zu öffnen.
3
Geben Sie einen Regelnamen ein: POP3-E-Mail zulassen.
4
Im Bereich "Verbindungen" legen Sie in der Dropdown-Liste "Verbindung" die
Option "Zulassen" und unter "Verbindungstyp" den Wert "Ausgehend" fest.
5
Im Bereich "Computer" legen Sie in der Dropdown-Liste den Wert "Computer
wählen, einzeln" und "www.POP3_mailserver.com" (URL oder IP-Adresse)
fest.
6
Klicken Sie auf >>, um den Computer der Liste hinzuzufügen.
7
Im Bereich "Kommunikation" legen Sie in der Dropdown-Liste "TCP,
Benutzerdefinierte Liste" und "Bekannte Ports aus Liste" fest. Wecheln Sie
nach unten zur Dropdown-Liste "Lokal/Remote" und legen Sie "Remote" fest.
8
Klicken Sie auf "Klicken für Listenansicht", um die Liste allgemein bekannter
TCP-Ports zu sehen, wählen Sie "110" für das POP 3-Protokoll, und klicken
Sie dann auf "Übernehmen".
Hinweis: Die meisten modernen POP-E-Mail-Server nutzen SSL/TLS-Sicherheit
für die Kommunikation. Es werden daher eventuell zusätzliche Regeln benötigt,
um einen Dienst zugänglich zu machen.
53
Anpassen von Endpoint Protection
Konfigurieren von Firewall-Regeln
9
Klicken Sie auf "OK", um die Regel abzuschließen.
10 Wenn Sie mit dem Erstellen oder Ändern der Richtlinie fertig sind, klicken Sie
auf "Speichern & Anwenden" unten auf der Richtlinienkonfigurationsseite.
Diese Aktion verteilt die Richtlinie und alle neuen oder geänderten
Firewall-Regeln an die Gruppen, die die Richtlinie verwenden.
So ermöglichen Sie Zugriff auf einem bestimmten Port an einer bestimmten Adresse
1
Im Bereich "Netzwerk-Schutz" der Richtlinienkonfigurationsseite klicken Sie
auf "Firewall-Regeln".
2
Klicken Sie auf "Regel hinzufügen", um die Regelkonfigurationsseite zu öffnen.
3
Geben Sie einen Regelnamen ein: Dienst an Port 54321 von OurVendor.com
zulassen.
4
Im Bereich "Verbindungen" legen Sie in der Dropdown-Liste "Verbindung" die
Option "Zulassen" und unter "Verbindungstyp" den Wert "Ausgehend" fest.
5
Im Bereich "Computer" legen Sie in der Dropdown-Liste den Wert "Computer
wählen, einzeln" fest und geben "www.OurVendor.com" (URL oder IP-Adresse)
ein.
6
Klicken Sie auf >>, um den Computer der Liste hinzuzufügen.
7
Im Bereich "Kommunikation" legen Sie in der Dropdown-Liste "TCP,
Benutzerdefinierte Liste" und "Einzeln angegebene Ports" fest.
8
Ändern Sie den Wert in der Dropdown-Liste "Lokal/Remote" in "Remote".
9
Geben Sie die Port-Nummer "54321" ein und klicken Sie dann auf die
Schaltfläche >>, um den Port der Kommunikationsliste hinzuzufügen.
10 Klicken Sie auf "OK", um die Regel abzuschließen.
11 Wenn Sie mit dem Erstellen oder Ändern der Richtlinie fertig sind, klicken Sie
auf "Speichern & Anwenden" unten auf der Richtlinienkonfigurationsseite.
Diese Aktion verteilt die Richtlinie und alle neuen oder geänderten
Firewall-Regeln an die Gruppen, die die Richtlinie verwenden.
So lassen Sie den Zugriff auf einen Dienst auf einem internen Computer durch ein
vertrauenswürdiges externes Netzwerk zu
1
Im Bereich "Netzwerk-Schutz" der Richtlinienkonfigurationsseite klicken Sie
auf "Firewall-Regeln".
2
Klicken Sie auf "Regel hinzufügen", um das Popup-Fenster für die
Regelkonfiguration zu öffnen.
3
Geben Sie einen Regelnamen ein: Zugriff auf internen Dienst aus
vertrauenswürdigem, externen Netzwerk zulassen.
54
Anpassen von Endpoint Protection
Verwenden der Programmsteuerung
4
Im Bereich "Verbindungen" legen Sie in der Dropdown-Liste "Verbindung" die
Option "Zulassen" und unter "Verbindungstyp" den Wert "Eingehend" fest.
5
Unter "Computer" wählen Sie "Computer wählen, nach Netzwerkadresse" und
geben Sie die vertrauenswürdige Netzwerkadresse/die Subnetzmaske ein.
Klicken Sie auf die Schaltfläche >>, um den Computer der Liste hinzuzufügen.
6
Wählen Sie unter "Kommunikationen" die Optionen "TCP", "Benutzerdefinierte
Liste", "Portbereich", "Lokal" aus und geben Sie die Port-Nummern 6000 bis
6005 ein. Klicken Sie auf >>, um den Port der Kommunikationsliste
hinzuzufügen.
7
Klicken Sie auf "OK", um die Regel abzuschließen.
8
Wenn Sie mit dem Erstellen oder Ändern der Richtlinie fertig sind, klicken Sie
auf "Speichern & Anwenden" unten auf der Richtlinienkonfigurationsseite.
Diese Aktion verteilt die Richtlinie und alle neuen oder geänderten
Firewall-Regeln an die Gruppen, die die Richtlinie verwenden.
Verwenden der Programmsteuerung
Der Endpoint Protection Agent erkennt die allgemein bekannten Programme, die
auf jedem Endgerät ausgeführt werden, und fügt sie der Datenbank eines
Unternehmens hinzu. Die intelligente Firewall ermöglicht die sichere Ausführung
dieser Programme. Jedoch kann ein Administrator die erkannten Programme daran
hindern, eine Verbindung zum Internet herzustellen, wenn die Sicherheitsrichtlinie
einer Organisation dies nicht erlaubt.
So blockieren Sie ein erkanntes Programm mithilfe der Programmsteuerung
1
Im Bereich "NetzwerkSchutz" einer Richtlinienkonfigurationsseite klicken Sie
auf "Programmsteuerung" und dann auf "Erkanntes Programm hinzufügen",
um die vom Agent erkannten Programme anzuzeigen.
2
Wählen Sie die nicht zugelassenen Programme aus und klicken Sie auf OK.
3
Die ausgewählten Programme erscheinen in einer Liste "Erkanntes Programm".
Verwenden Sie das Dropdown-Feld für das jeweilige Programm zum
"Blockieren" diese Programms.
4
Wenn Sie fertig sind, klicken Sie auf "Speichern & Übernehmen".
Scannen von Computern über Remote-Zugriff
Endgeräte können von der Profilseite eines Computers, oder eine ganze Gruppe
von Computern kann von der Computergruppenseite gescannt werden.
55
Anpassen von Endpoint Protection
Scannen von Computern über Remote-Zugriff
Hinweis: Agents, die unter Windows 2008 installiert sind, unterstützen die Funktionen
"Beheben", "Wiederherstellen" und "Löschen" der Management-Konsole nicht.
Hinweis: Agenten, die auf Windows Server 2012 installiert werden, unterstützen
nicht die Wiederherstellung von in Quarantäne befindlichen Dateien über die
Management-Konsole.
So scannen Sie einen Computer per Remote-Zugriff
1
Loggen Sie sich bei der Management-Konsole ein.
2
Auf der Seite "Computer" klicken Sie auf den Namen des Computers, den Sie
scannen möchten.
3
Suchen Sie auf der Seite "Computerprofil" auf der Registerkarte "Dienste" das
Menü "Aufgabe" und klicken Sie auf "Jetzt scannen".
4
Bestätigen Sie, dass ein Computer über Remote-Zugriff gescannt werden soll,
indem Sie erneut auf "Jetzt scannen" klicken.
Der Scan wird auf dem Remote-Computer im Hintergrund ausgeführt.
5
Wenn der erste Scan abgeschlossen ist, stehen im Menü "Aufgaben" die
Optionen "Quarantäne anzeigen" und "Nicht behobene Risiken anzeigen" zur
Verfügung.
So scannen Sie eine Gruppe von Computern über Remote-Zugriff
1
Loggen Sie sich bei der Management-Konsole ein.
2
Auf der Seite "Computer" klicken Sie im linken Teilfenster im Abschnitt
"Gruppen" auf einen Gruppennamen.
3
Auf der Seite "Computergruppe" klicken Sie auf "Gruppenscan".
4
Das Dialogfeld "Gruppenscan" wird geöffnet. Wählen Sie "Schnellprüfung"
oder "Vollständiger Systemscan" und klicken Sie dann auf "Jetzt scannen".
5
Bestätigen Sie, dass ein Computer über Remote-Zugriff gescannt werden soll,
indem Sie erneut auf "Jetzt scannen" klicken.
Der Scan wird auf den Remote-Computern im Hintergrund ausgeführt.
6
Wenn der erste Scan abgeschlossen ist, stehen im Menü "Aufgaben" die
Optionen "Quarantäne anzeigen" und "Nicht behobene Risiken anzeigen" zur
Verfügung.
56
Anpassen von Endpoint Protection
Installieren der On-Premises-Version von Endpoint Protection
Installieren der On-Premises-Version von Endpoint
Protection
Ihre Lizenz für Endpoint Protection berechtigt Sie zum Einsatz entweder der Cloudoder der On-Premises-Version von Endpoint Protection. Die On-Premises-Version
von Endpoint Protection unterstützt Mac OS X.
So laden Sie die On-Premises-Version von Endpoint Protection herunter
1
Klicken Sie auf einer beliebigen Seite auf "Abonnements".
2
Wenn Sie Ihre Seriennummer nicht zur Hand haben, klicken Sie auf
"Abonnementdetails" unter "Endpoint Protection Small Business Edition".
Sie benötigen die Seriennummer zum Herunterladen der On-Premises-Version
der Software.
3
Unter "Endpoint Protection Small Business Edition" klicken Sie auf "On-Premise
Manager herunterladen".
4
Ein separates Fenster wird geöffnet, in dem Sie die Software herunterladen
können.
5
Installieren Sie die heruntergeladene Software und aktivieren Sie sie mithilfe
Ihrer Seriennummer.
57
Kapitel
3
Implementieren des lokalen
Update-Dienst
In diesem Kapitel werden folgende Themen behandelt:
■
Infos zum lokalen Update-Dienst
■
Entscheidung über mögliche Vorteile durch den lokalen Update-Dienst
■
Auswählen lokaler Update-Hosts
■
Konfigurieren eines lokalen Update-Host
■
Verwalten eines lokalen Update-Host
■
Sicherheitslücken des lokalen Update-Hosts
Infos zum lokalen Update-Dienst
Der lokale Update-Dienst ermöglicht es, Computer als lokale Update-Hosts
einzurichten. Lokale Update-Hosts leiten Software-Updates und Definitionsdateien
effizient an andere Computer im Netzwerk weiter. Diese Funktion reduziert den
Internetverkehr auf SEP SBE Cloud, da Agents zum Herunterladen erforderlicher
Updates aus dem lokalen Update-Host aufgefordert werden. Der Einsatz des lokalen
Update-Dienstes kann die Belastung der Internetbandbreite erheblich reduzieren.
Entscheidung über mögliche Vorteile durch den
lokalen Update-Dienst
Der lokale Update-Dienst bietet erhebliche Vorteile für Netzwerke mit begrenzter
Bandbreite für den Internetzugang. Der Dienst ermöglicht die Konfiguration lokaler
Implementieren des lokalen Update-Dienst
Auswählen lokaler Update-Hosts
Update-Hosts für die einzelnen Netzwerksegmente. Der lokale Update-Host sucht
alle vier Stunden nach Definitions- und Softwareupdates. Falls Updates verfügbar
sind, lädt er sie herunter. Die folgenden allgemeinen Faktoren sind für einen lokalen
Update-Host zu berücksichtigen:
(35MB*30 days)+170MB/month for additional files=1220MB/month
Ohne lokale Update-Hosts Endpoint Protection führt jeder Endpoint
Protection-Computer dieselben Vorgänge aus, wofür er Internetbandbreite
beansprucht. Diese starke Auslastung kann zu Schwierigkeiten führen, wenn die
Benutzer morgens ihre Computer einschalten und die Agents in der Cloud nach
Updates suchen. Selbst wenn Sie lokale Updatehosts bereitstellen, verbrauchen
Endpoint Protection-Computer noch lokale Netzwerkbandbreite, um Updates und
Definitionsdateien herunterzuladen. Dabei wird jedoch nur das lokale Netzwerk
genutzt, nicht das Internet. Mit einer geeigneten Strategie können Sie lokale
Update-Hosts an geeigneten Stellen für verschiedene Netzwerksegmente einrichten
und dadurch Ihr Netzwerk entlasten.
Eine erfolgreiche Bereitstellung lokaler Update-Hosts im Netzwerk erfordert Planung
und Voraussicht. Sobald Sie jedoch die am besten geeigneten Computer als lokale
Update-Hosts ermittelt haben, ist keine Konfiguration erforderlich.
Auswählen lokaler Update-Hosts
Die Kenntnis der Netzwerktopologie und -nutzung ist Voraussetzung für die
Entwicklung einer Bereitstellungsstrategie für lokale Update-Hosts. Sie müssen die
folgende Entscheidung treffen: Sollen lokale Update-Hosts für das lokale Netzwerk
oder für einzelne Netzwerksegmente bereitgestellt werden?
Dabei sind u. a. folgende Punkte zu berücksichtigen:
■
Wie viele Agents sind im Netzwerk vorhanden?
■
Welche Kapazität hat die Internetverbindung?
■
Werden zwischen den Standorten des Unternehmens Routing oder Bridges
eingesetzt?
■
Welche Kapazität haben die Verbindungen zwischen den Standorten?
■
Werden an jedem Standort im Unternehmen mehrere Netzwerke unterstützt?
■
In welchem Umfang werden die Netzwerke in jedem Netzwerksegment genutzt?
Im Allgemeinen kommt es bei kleineren und mittleren Unternehmen, die ein Switched
Gigabit-Ethernet-Netzwerk verwenden, wahrscheinlich nicht zu Problemen mit der
Netzwerknutzung. Als problematisches Element in der Topologie erweisen sich
wahrscheinlich entfernte Standorte, die über Bridges mit dem Hauptnetzwerk
59
Implementieren des lokalen Update-Dienst
Konfigurieren eines lokalen Update-Host
verbunden sind und über diese Verbindung auf das Internet zugreifen. In solchen
Fällen können Software- und Definitionsaktualisierung für Agents die
Netzwerkverbindung zwischen dem Remote-Netzwerk und dem Hauptnetzwerk
auslasten und blockieren. Die Verbindung der standortfernen Niederlassung wird
in jedem Fall beeinträchtigt, gleichgültig, ob Agents Updates von einem lokalen
Update-Host im Hauptnetzwerk oder aus dem Internet abrufen. In diesem Fall kann
die Verbindung für den entfernten Standort durch Bereitstellung eines lokalen
Update-Hosts auf einem Computer am Remote-Standort entlastet werden.
Werden standortferne Niederlassungen zum Netzwerk der Unternehmenszentrale
geroutet und wird eine lokale Internetverbindung unterstützt, ergeben sich andere
Probleme. Berücksichtigen Sie in diesem Fall die folgenden Aspekte:
■
Die Kapazität der Internetverbindung
■
Die unterstützte Anzahl an Computern
Ist die standortferne Niederlassung klein, sind auch die Vorteile nur geringfügig.
Mit zunehmender Anzahl von Agents ergeben sich jedoch weitere Vorteile. Ein
einzelner lokaler Update-Host kann ca. 100 Agents unterstützen (50 Agents parallel).
Nachdem Sie die Netzwerktopologie und -nutzung analysiert haben, müssen Sie
Computer als lokale Update-Hosts zuweisen. Einige wichtige Voraussetzungen
sind:
■
Vorzugsweise ein Microsoft Server Betriebssystem
■
Hohe Verfügbarkeit; nach Möglichkeit 24/7
■
Computername muss eindeutig sein
■
VMware-Hosts werden nicht empfohlen
Symantec empfiehlt den Einsatz dedizierter Server, um die beste Leistung zu
gewährleisten. Ein lokaler Updatehost reserviert 1 GB für den Cache. Aufgrund
dieses Arbeitsspeicherverbrauchs sind bestimmte Computerhardwareanforderungen
wichtig:
■
Mindestens 4 GB RAM, um einen lokalen Update-Host auf einem
32-Bit-Computer zu ermöglichen.
■
Eine schnelle Festplatte mit mindestens 7200 U/min.
Konfigurieren eines lokalen Update-Host
Auf der Seite "Computer" der SEP SBE Management-Konsole geben Sie die
Computer an, die als lokale Update-Hosts geeignet sind. Um lokale Update-Hosts
einzurichten, verwenden Sie die Seite "Profil" der ausgewählten Computer. In
Ermangelung einer Systemrichtlinie, anhand derer lokale Update-Hosts Gruppen
60
Implementieren des lokalen Update-Dienst
Verwalten eines lokalen Update-Host
zugewiesen werden, erkennen Endpoint Protection-Computer ihren Host während
des regulären Anrufs des Agenten. Der automatische Anruf erfolgt alle 12 Stunden.
Von diesem Zeitpunkt an erhalten die Clients des lokalen Update-Host
Software-Updates und Definitionsdateien über den lokalen Update-Host, wodurch
die Internetverbindung entlastet wird.
Wenn ein lokaler Update-Host aus irgendeinem Grund offline geht, erfolgt ein
automatisches Failover der Clients des lokalen Update-Host auf SEP SBE Cloud.
Wenn ein Angestellter mit seinem Laptop unterwegs ist, erfolgt ein Failover des
Agent auf SEP SBE Cloud, wenn er den lokalen Update-Host nicht findet.
Der lokale Update-Dienst ermöglicht es, die Bandbreitennutzung für Netzwerk und
Internet auf einfachere Weise zu senken, als dies beim Speichern von
Proxy-Konfigurationen im Cache möglich wäre.
Hinweis: Da lokale Update-Hosts Port 3128 nutzen, muss dieser zugänglich sein.
So richten Sie einen Computer als lokalen Update-Host ein
1
Klicken Sie von einer beliebigen Seite aus auf die Registerkarte "Computer".
2
Klicken Sie auf den Namen des Computers, den Sie als lokalen Update-Host
einrichten möchten.
3
Klicken Sie auf der Seite "Computerprofil" in der Liste der Aktionen auf der
rechten Seite auf "Als lokalen Update-Host aktivieren".
4
Bestätigen Sie die Einrichtung des lokalen Update-Hosts.
5
Da Agents die Richtlinie "Globales System" aktualisieren oder lokale
Update-Hosts in ihrem Netzwerk erkennen, fängt der Agent an, Updates vom
lokalen Update-Host herunterzuladen
Hinweis: Er kann bis zu 12 Stunden dauern, bis die Agents eine Verbindung
zu neuen lokalen Update-Hosts herstellen.
Verwalten eines lokalen Update-Host
Sie verwalten lokale Update-Hosts auf der Seite "Computerprofil" des lokalen
Update-Host, der ein Eingreifen erfordert. In Ermangelung einer Systemrichtlinie,
die Gruppen lokale Update-Hosts zuweist, wird der lokale Update-Dienst dynamisch
konfiguriert. Auf der Seite "Computerprofil" eines designierten Host haben Sie
folgende Möglichkeiten:
■
Zeigen Sie die Computer an, die einem lokalen Update-Host zugewiesen werden.
61
Implementieren des lokalen Update-Dienst
Sicherheitslücken des lokalen Update-Hosts
■
Deaktivieren eines lokalen Update-Host
Globale Systemrichtlinien können auf der Seite "Richtlinien" der
Management-Konsole verwaltet werden.
Siehe "Einsatz globaler Richtlinien" auf Seite 65.
So zeigen Sie die einem lokalen Update-Host zugewiesenen Computer an
1
Klicken Sie von einer beliebigen Seite aus auf die Seite "Computer".
2
Auf der Seite "Computer" klicken Sie auf den Namen des lokalen Update-Host.
3
Klicken Sie auf der Seite "Computerprofil" im Bereich "Lokaler Update-Host"
auf die als Link formatierte Zahl neben "Zugewiesene Computer", um die Liste
der zugewiesenen Computer anzuzeigen.
So deaktivieren Sie einen lokalen Update-Host
1
Klicken Sie von einer beliebigen Seite aus auf die Seite "Computer".
2
Klicken Sie auf der Seite "Computer" auf den Namen des lokalen Update-Host,
den Sie außer Betrieb setzen möchten.
3
Klicken Sie auf der Seite "Computerprofil" in der Liste der Aktionen auf der
rechten Seite auf "Als lokalen Update-Host deaktivieren".
4
Bestätigen Sie, dass die die Einrichtung des lokalen Update-Host aufheben
möchten.
5
Da andere Computer auf dem Netzwerk mit SEP SBE Cloud kommunizieren,
rufen die Computer entweder Updates aus der Cloud ab oder werden einem
neuen lokalen Update-Host im Netzwerk zugewiesen.
Sicherheitslücken des lokalen Update-Hosts
Ein Sicherheitslückenscan auf einem lokalen Updatehost entdeckt möglicherweise
einige neue Sicherheitslücken auf dem Computer, der als lokaler Updatehost
fungiert. Sicherheitslücken, die Sie möglicherweise entdecken:
Hohe Sicherheitsrisiken:
■
Denial-of-Service-Sicherheitslücke vom Typ "Inhaltslänge" im PHP-Webserver
■
HTTP TRACE XSS-Angriff
■
Aufgeteilte Apache-Codierung
■
Denial-of-Service bei Cisco VoIP-Telefonen
■
Sicherheitslücke: Pufferüberlauf wegen falsch formatierten Druckauftragsheaders
in NT IIS 5.0
62
Implementieren des lokalen Update-Dienst
Sicherheitslücken des lokalen Update-Hosts
■
Sicherheitslücke: Offenlegung von SQUID-Informationen
Mittlere Sicherheitslücken:
■
Sicherheitslücke: Denial-of-Service infolge der Verarbeitung von
SQUID-HTCP-Paketen
■
Sicherheitslücken durch externe SQUID-Header-Parser in DOS
■
Sicherheitslücke: Denial-of-Service bei SQUID Header-Paketen über
Remote-Verbindung
Geringfügige Sicherheitslücken:
■
Überprüfung der Datums- und Zeiteinstellungen (über HTTP)
■
Änderung der relativen IP-Identifikationsnummer
Hinweis: Die Bezeichnungen für die Sicherheitslücken stammen von der
Sicherheitsüberwachung von Security Space. Verschiedene Hersteller verwenden
für ähnliche Sicherheitslücken unterschiedliche Bezeichnungen.
Diese Sicherheitslücken können nicht ignoriert werden. Wir verringern die von
diesen Sicherheitslücken ausgehenden Risiken auf unterschiedliche Arten:
■
Anonymer Zugriff auf den SQUID-Proxy ist nicht zulässig.
■
Alle Kommunikationen mit dem Proxy sind auf Kundenagenten beschränkt.
■
Symantec empfiehlt, einen lokalen Update-Host innerhalb des Netzwerks des
stationären Computers zu platzieren.
■
Des Weiteren empfiehlt Symantec, den Zugriff nicht vertrauenswürdiger
Netzwerke auf Port 3128 des lokalen Update-Hosts zu blockieren. Die Firewall
muss jedoch die Kommunikation zwischen dem lokalen Update-Host und
Symantec-Diensten zulassen.
Diese Faktoren zur Risikominderung schützen den lokalen Update-Host vor externen
Angriffen. Administratoren müssen jedoch sorgfältig auf mögliche interne
Bedrohungen achten.
63
Kapitel
4
Verwalten der Computer
In diesem Kapitel werden folgende Themen behandelt:
■
Ausführen von Gruppenaktionen
■
Einsatz globaler Richtlinien
■
Einsatz der Proxy-Einstellungen des lokalen Agent
■
Erstellen von Warnmeldungen
Ausführen von Gruppenaktionen
Die Option "Gruppenaktionen ausführen" auf der Seite "Computer" ermöglicht es
Administratoren, gleichzeitig Scans auszuführen und LiveUpdate auszulösen. Dem
Administrator stehen die Optionen "Schnellprüfung" oder "Vollständiger Scan" sowie
"LiveUpdate ausführen" für beliebige oder alle Gruppen in einer Organisation zur
Verfügung.
Hinweis: LiveUpdate erfordert ausreichenden Speicherplatz, um ausgeführt werden
zu können. Stellen Sie bitte sicher, dass Ihre Computer 1 GB des verfügbaren
Festplattenspeichers haben, um LiveUpdate-Fehler zu vermeiden.
So führen Sie Gruppenaktionen aus
1
Loggen Sie sich bei Ihrem Management-Konsolenkonto ein.
2
Klicken Sie auf der Seite "Computer" im linken Teilfenster unter
"Schnellaufgaben" auf "Gruppenaktionen ausführen".
3
Wählen Sie im Dialogfeld "Gruppenaktion" die Gruppen aus, auf die die
Aktionen angewendet werden sollen.
4
Im Bereich "Gruppenscan" wählen Sie "Schnellprüfung" oder "Vollständiger
Scan".
Verwalten der Computer
Einsatz globaler Richtlinien
5
Wenn die Endgeräte nach den neuesten Virendefinitionen suchen sollen,
aktivieren Sie "LiveUpdate ausführen".
6
Klicken Sie auf "Aktion ausführen".
7
SEP SBE Cloud sendet dann die Aktion an alle Endgeräte, die verbunden sind,
wenn die Aktion ausgeführt wird. Das Dialogfeld "Senden der Gruppenaktion
abgeschlossen" zeigt eine Zusammenfassung der Aktion.
Einsatz globaler Richtlinien
Globale Richtlinien werden Gruppen zusätzlich zu den bereits zugewiesenen
Dienstrichtlinien zugewiesen. Die Richtlinien haben folgende Einsatzmöglichkeiten:
■
Konfigurieren von Proxy-Einstellungen
■
Zuweisen lokaler Update-Hosts
■
Festlegen eines LiveUpdate-Zeitplans
Eine globale Richtlinie kann Proxy-Einstellungen und lokale
Update-Host-Zuweisungen für Unternehmen mit mehreren Büros vereinfachen.
■
Proxy-Einstellungen, die durch den lokalen Agent zugewiesen werden, setzen
globale Proxy-Einstellungen außer Kraft.
Siehe "Einsatz der Proxy-Einstellungen des lokalen Agent" auf Seite 68.
■
In Ermangelung global zugewiesener, lokaler Update-Hosts erkennen Agents
trotzdem einen lokalen Update-Host.
Siehe "Konfigurieren eines lokalen Update-Host" auf Seite 60.
Die globale Richtlinie für das Planen von LiveUpdates ermöglicht auch das Verwalten
von Agent-Software-Updates. Wann immer Softwareupdates älter als 30 Tage sind,
werden die Updates ohne Rücksicht auf den globalen Richtlinienzeitplan geliefert.
Hinweis: Der LiveUpdate-Zeitplan betrifft nicht Lieferung von Virendefinitionen.
So konfigurieren Sie eine globale Systemrichtlinie
1
Klicken Sie auf einer beliebigen Seite der Management-Konsole auf
"Richtlinien". Stellen Sie sicher, dass die Option "System" aktiviert ist. Die
Option "System" befindet sich unter "Global".
2
Klicken Sie zum Einrichten einer neuen Systemrichtlinie auf "Richtlinie
hinzufügen".
65
Verwalten der Computer
Einsatz globaler Richtlinien
3
Geben Sie einen "Namen" und eine "Beschreibung" für die Richtlinie ein, um
den Zweck der Systemrichtlinie zu dokumentieren.
4
Sie können jetzt Proxy-Einstellungen konfigurieren und lokale Update-Hosts
zuweisen.
So konfigurieren Sie globale System-Proxy-Einstellungen
So weisen Sie lokale Update-Hosts zu
So konfigurieren Sie einen LiveUpdate-Zeitplan
So konfigurieren Sie globale System-Proxy-Einstellungen
1
Aktivieren Sie unter "Proxy-Einstellungen" das Kontrollkästchen "Proxy
aktivieren", um den Proxy für Ihre Agents zu konfigurieren.
Hinweis: Der Proxy-Typ ist standardmäßig auf "HTTP" eingestellt und kann
nicht geändert werden.
2
Geben Sie unter "Host" und "Port" die entsprechenden Adressen für den Proxy
ein.
3
Aktivieren Sie das Kontrollkästchen "Authentifiziert", wenn eine Authentifizierung
beim Proxy erforderlich ist, und geben Sie einen Proxy-Benutzernamen und
ein Proxy-Kennwort ein.
4
Weisen Sie im Bereich "Gruppen" die Proxy-Einstellungen den Gruppen zu,
die sie benötigen.
Hinweis: Sie können lokale Update-Hosts im Bereich "Lokaler Update-Dienst"
zuweisen. Im nächsten Abschnitt wird der Vorgang beschrieben.
5
Wenn Sie fertig sind, klicken Sie auf "Speichern & Übernehmen".
Computer in den ausgewählten Gruppen erhalten die neuen
Proxy-Einstellungen, wenn die Richtlinienänderung übertragen wird.
66
Verwalten der Computer
Einsatz globaler Richtlinien
So weisen Sie lokale Update-Hosts zu
1
Wählen Sie unter "Lokaler Update-Dienst" den entsprechenden Ansatz für
diese Systemrichtlinie.
Verbindung zu einem beliebigen
Ist diese Option aktiviert, kann ein Agent
verfügbaren lokalen Update-Host herstellen seinen lokalen Update-Host erkennen.
Keine Verbindung zu einem beliebigen
Diese Option deaktiviert den lokalen
verfügbaren lokalen Update-Host herstellen Update-Dienst für diese Systemrichtlinie.
Lokalen Update-Host für diese Gruppe
angeben
Ist diese Option aktiviert, können Sie
geeignete lokale Update-Hosts für diese
Systemrichtlinie auswählen.
Wenn Sie eine der ersten beiden Optionen auswählen, fahren Sie mit Schritt
3. fort.
Wenn Sie die dritte Option auswählen, fahren Sie mit Schritt 2. fort.
2
Wenn Sie "Lokalen Update-Host für diese Gruppe angeben" auswählen, wird
das Dialogfeld zum Auswählen des Host geöffnet.
Wählen Sie die lokalen Update-Hosts aus, die dieser Systemrichtlinie
zugewiesen werden sollen und klicken Sie auf "Hinzufügen". Sie können alle
lokalen Update-Hosts auswählen, indem Sie auf "Alle hinzufügen" klicken.
3
Im Bereich "Gruppen" weisen Sie die Konfiguration von "Lokaler Update-Dienst"
den Gruppen zu, die sie benötigen.
4
Wenn Sie fertig sind, klicken Sie auf "Speichern & Übernehmen".
Computer in den ausgewählten Gruppen erhalten die neuen
Proxy-Einstellungen, wenn die Richtlinienänderung übertragen wird.
67
Verwalten der Computer
Einsatz der Proxy-Einstellungen des lokalen Agent
So konfigurieren Sie einen LiveUpdate-Zeitplan
1
Erwägen Sie sorgfältig den Zeitplan, der Ihren Anforderungen am Besten
entspricht.
Jederzeit
Dies ist die Standard- und empfohlene
Einstellung.
Während Geschäftsstunden
Geschäftsstunden sind Montag bis Freitag
von 08:00 bis 17:00 Uhr Ortszeit.
Nicht während Geschäftsstunden
Nach 17:00 und vor 08:00 Uhr Ortszeit.
Nur an Wochenenden
"Wochenende" ist als Samstag und
Sonntag definiert.
Deaktivieren
Diese Einstellung wird automatisch
übergangen, nachdem ein Softwareupdate
älter als 30 ist.
Hinweis: LiveUpdate erfordert ausreichenden Speicherplatz, um ausgeführt
werden zu können. Stellen Sie bitte sicher, dass Ihre Computer 1 GB des
verfügbaren Festplattenspeichers haben, um LiveUpdate-Fehler zu vermeiden.
2
Wählen Sie unter "Live Update-Zeitplan" die gewünschte Option für
LiveUpdate-Agent-Software-Updates aus.
3
Weisen Sie im Bereich "Gruppen" die Konfiguration von "Lokaler
Update-Zeitplan" den Gruppen zu, die sie benötigen.
4
Wenn Sie fertig sind, klicken Sie auf "Speichern & Übernehmen".
Computer in den ausgewählten Gruppen erhalten die neuen
Proxy-Einstellungen, wenn die Richtlinienänderung übertragen wird.
Einsatz der Proxy-Einstellungen des lokalen Agent
Sie können Proxy-Einstellungen auf dem lokalen Agent konfigurieren. Die
Proxy-Einstellungen des lokalen Agent übergehen die einer globalen
Systemrichtlinie. Die globalen Richtlinien werden in der Management-Konsole auf
der Seite "Richtlinien" konfiguriert.
Die von Richtlinien gesteuerten Proxy-Einstellungen, die in der Management-Konsole
konfiguriert werden, werden auf ausgewählte Gruppen im Unternehmen angewendet.
Bevor Sie Proxy-Einstellungen über die Management-Konsole implementieren,
sollten Sie die beabsichtigte Konfiguration zunächst auf einigen Testcomputern
68
Verwalten der Computer
Erstellen von Warnmeldungen
testen. Falsch in der Management-Konsole konfigurierte Proxy-Einstellungen können
dazu führen, dass alle Symantec.cloud-Agents blockiert werden. Über den Endpoint
Protection -Agent können Sie eine fehlerhafte Konfiguration manuell übergehen.
So konfigurieren Sie Proxy-Einstellungen für einen Computer mit Endpoint
Protection-Agent
1
Doppelklicken Sie im Benachrichtigungsbereich der Taskleiste auf das Symbol
"Symantec.cloud".
2
Klicken Sie im Banner der Anwendung auf "Einstellungen".
3
Klicken Sie im Menü "Einstellungen" auf "Proxy-Einstellungen".
4
Aktivieren Sie das Kontrollkästchen "Proxy-Einstellungen überschreiben".
5
Aktivieren Sie im Proxykonfigurationsteil des Fensters das Kontrollkästchen
"Proxy aktivieren".
6
Geben Sie unter "Host" und "Port" die entsprechenden Adressen für den Proxy
ein.
7
Aktivieren Sie das Kontrollkästchen "Authentifiziert", wenn eine Authentifizierung
beim Proxy erforderlich ist, und geben Sie einen Proxy-Benutzernamen und
ein Proxy-Kennwort ein.
8
Wenn Sie fertig sind, klicken Sie auf "Übernehmen" und "Schließen", um die
Konfiguration zu speichern.
Erstellen von Warnmeldungen
Sie erstellen Warnmeldungen, indem Sie Regeln zum Bestimmen des Zeitpunktes
für Warnmeldungen erstellen.
Richten Sie Warnmeldungen nach folgenden Gesichtspunkten ein:
■
Für welche Ereignisse sollen Warnmeldungen ausgegeben werden?
■
Wie sollen Warnmeldungen ausgegeben werden?
Hinweis: Die Standard-E-Mail-Benachrichtigungsmethode ist bereits unter
Verwendung der E-Mail-Adresse eingerichtet, die mit Ihrem Konto verknüpft ist.
Sie können Warnmeldungen an eine andere E-Mail-Adresse oder ein SMS-Gerät
senden.
69
Verwalten der Computer
Erstellen von Warnmeldungen
So erstellen Sie eine Warnmeldung
1
Klicken Sie rechts oben in der Management-Konsole, in der Dropdown-Liste
"E-Mail-Adresse" auf "Eigenes Profil".
Wenn Sie eine Warnmeldung für einen weiteren Benutzer erstellen möchten,
klicken Sie auf die Registerkarte "Benutzer" und auf den Namen des Benutzers,
um die Warnmeldung zu erstellen.
2
Klicken Sie auf Warnmeldungseinstellungen und erweitern Sie dann die
Benachrichtigungsmethode, für die Sie eine Warnmeldung erstellen möchten,
indem Sie auf " + " klicken.
Wenn Sie Warnmeldungen über eine andere Benachrichtigungsmethode als
die angezeigten erhalten möchten, müssen Sie eine neue
Benachrichtigungsmethode hinzufügen.
3
Klicken Sie auf den Link "Regel hinzufügen" für die Benachrichtigungsmethode,
für die Sie eine Warnmeldung erstellen möchten.
Das Dialogfeld "Neue Regel hinzufügen" wird geöffnet.
4
Im Feld "Regelname" geben Sie einen geeigneten Namen für die
Warnmeldungsregel ein.
5
Wählen Sie mindestens eine dieser Einstellungen aus:
Dienst
Wählen Sie einen abonnierten Dienst.
Kategorie
Endpoint Protection:
Schweregrad
■
Allgemein
■
Ermittelte Risiken
■
Information+
Information+ liefert Informations-, Warn- und Fehlermeldungen.
Warnung+
Warnung+ liefert Warn- und Fehlermeldungen.
Fehler
Diese Option liefert nur Fehlermeldungen.
■
■
Computer
6
Standardmäßig gilt die Regel für alle Computer. Wählen Sie Regel
auf ausgewählte Computer anwenden, um eine
Warnmeldungsregel für bestimmte Computer zu erstellen.
Klicken Sie auf "Speichern".
Um eine Warnmeldungsregel zu bearbeiten, klicken Sie auf deren Namen und
nehmen Sie Änderungen vor.
70
Kapitel
5
Hilfe finden
In diesem Kapitel werden folgende Themen behandelt:
■
Hilfe zu Symantec Endpoint Management Small Business Edition Cloud
■
Videos zu Symantec Endpoint Management Small Business Edition
Hilfe zu Symantec Endpoint Management Small
Business Edition Cloud
Symantec Endpoint Management Small Business Edition Cloud enthält eine Reihe
von Ressourcen für Benutzer:
■
Verwendung der Dienste
■
Technischer Support
■
Kundenservice
■
Symantec-Vertrieb
Tabelle 5-1
Ressourcentyp
Ressourcen zur Benutzerunterstützung
Ressourcenspeicherort
Online-Benutzerunterstützung ■
Online-Hilfe
■
FAQ
■
Handbuch "Erste Schritte"
■
Administratorhandbuch
■
Siehe "Videos zu Symantec Endpoint Management Small
Business Edition" auf Seite 72.
Hilfe finden
Videos zu Symantec Endpoint Management Small Business Edition
Ressourcentyp
Ressourcenspeicherort
Technischer Support
■
US/Kanada: +1 (866) 807 6047
■
(Europa/Naher Osten/Afrika EMEA): +44 (0) 870 850 3014
■
Australien: 1 800 088099
■
Hongkong: 1 800 901220
■
Asien und Pazifik: +852 6902 1130
■
E-Mail: Support.Cloud@symantec.com
Kundenservice
(800) 339-1136
Das Team des
Kundenservice kann bei
kostenlosen
Kreditkartentests,
Abrechnungen,
Rechnungen,
Verlängerungen,
Lizenzierung und
anderen in anderen
Angelegenheiten helfen.
Symantec-Vertrieb
(800) 745-6054 Option 3
Hinweis: Kunden von Symantec-Partnern sollten sich direkt an ihre Partner wenden,
um umgehende Unterstützung zu erhalten.
Videos zu Symantec Endpoint Management Small
Business Edition
Sie finden die Videos zum Cloud-verwalteten Dienst von Symantec Endpoint
Protection Small Business Edition hier:
■
Der Assistent von Symantec Endpoint Protection Small Business Edition
■
Entfernen vorhandener Virenschutz- und Firewall-Produkte vor der Installation
von Endpoint Protection
■
Herunterladen des Agent für Symantec.cloud-Dienste
■
Einsparen der Internet-Bandbreite mit Symantec.cloud-Diensten
■
Erstellen von Richtlinien zum Vewalten von Endgeräten
■
Erstellen und Nutzen von Gruppen im Symantec.cloud-Konto
72
Hilfe finden
Videos zu Symantec Endpoint Management Small Business Edition
■
Konfigurieren einer Firewall-Regel in Endpoint Protection
■
Konfigurieren und Nutzen der Programmsteuerung in Endpoint Protection
■
Bereitstellen von Symantec Endpoint Protection Small Business Edition mit
Active Directory Windows Server 2003
■
Bereitstellen von Symantec Endpoint Protection Small Business Edition mit
Active Directory Windows Server 2008
73
Autor
Document
Kategorie
Internet
Seitenansichten
14
Dateigröße
735 KB
Tags
1/--Seiten
melden