51CTO赛门铁克（Symantec）SEP系统安装配置教程.doc

Symantec SEP系统安装配置指南Symantec Endpoint Protection 11.0赛门铁克中国公司20081050举例产品介绍SymantecSep11.0版2服务端+500客户点目录一文档介绍4二SEP安装概述5三SEP安装前系统检查6四SEP服务器、控制台安装7五复制站点的安装17六SEP策略配置221.配置LiveUpdate更新222.防配置默认防病毒和防间谍软件策略253.配置防火墙策略264.配置对应用程序的控制345.配置对设备的控制426.管理检测到的威胁47七SEP客户端安装包配置49八SEP客户端安装591网络共享手工安装SEP592推送安装SEP603WEB方式安装SEP614其它安装方式61九SEP客户端简单图解62十SEP问题与解答66十一获取更多信息68一 文档介绍1、本文档根据Symantec技术支持部门编写的内部文档扩充改编；2、本文档用来指导小型用户顺利的安装SEP11.0产品；3、小型用户环境中，SEP服务器1台，终端数量小于200台；4、按照本文档安装完毕后，SEP11.0产品具有AntivirusNetwork Threatened ProtectApplication Control功能。二 SEP安装概述三 SEP安装前系统检查1. 安装SEP11.0服务器和控制台及嵌入式数据库的计算机最低要求处理器900MHz Intel Pentium III操作系统Windows Server 2003 SP1内存2GB硬盘8GB（其中1GB用于存储日志、数据库和备份文件）软件环境Internet Information Service Server5.0或更高版本（须启动）Internet Explorer 6.0或更高版本2. 安装SEP11.0客户端的计算机最低要求处理器400 MHz Intel Pentium III（Windows Vista需要1GHz）操作系统Windows 2000 Professional/Server/Advanced Server Service Pack3或更高；Windows XP Home Edition/Professional/Tablet PC Edition；Windows Server 2003 Web/Standard/Enterprise/Datacenter EditionWindows Vista（x86）内存512MB硬盘600MB软件环境Internet Explorer 6.0或更高版本系统中没有其他杀毒软件第一次安装管理软件的过程分为两部分。第一部分安装 Symantec EndpointProtection Manager。第二个部分安装并配置 Symantec Endpoint ProtectionManager 数据库。在第一部分中，您可以接受全部的默认值。在第二部分中，您必须根据服务器支持的客户端数量，为 Symantec Endpoint Protection Manager 选择所需的配置类型（“简单”或“高级”）。“简单”配置适用于支持的客户端数量少于 100 的服务器，该配置会自动创建嵌入式数据库，并为大部分设置使用默认值，而让您进行最少的键入。“高级”配置适用于较大环境中的管理员，可让您指定特定于该环境的设置。注意：管理软件不包括 Symantec Endpoint Protection 或任何其他受管的客户端软件。四 SEP服务器、控制台安装将安装光盘放入服务器光驱中，会自动弹出如下界面点击“安装Symantec Endpoint Protection”，出现如下提示点击“安装Symantec Endpoint Protection Manager”，将同时安装服务器和控制台安装程序将检查系统是否满足需求，如果没有安装IIS，系统将会提示点击“确定”后，会退出安装程序，等待安装IIS再重装。如果系统满足要求将会继续，出现如下安装向导点击“下一步”，出现安装许可协议选择“接受该许可协议中的条款”，点击“下一步”确认安装目录，点击“下一步”保持“使用默认Web站点”选项，点击“下一步”确认以上信息后，点击“安装”开始安装过程开始安装过程，完成后出现如下提示点击“完成”，系统会自动弹出“管理服务器配置向导”选择“安装我的第一个站点”，然后点击“下一步”确认以上信息，点击“下一步”命名此站点名称后，点击“下一步”输入服务器和客户端加密通信时使用的密码，用于灾难恢复，为方便记忆，这里的密码设为Symantec，请一定记住此密码，点击“下一步”。这里选择数据库，如果管理的客户端少于1000点，可以选择使用“嵌入式数据库”，否则请一定要安装使用SQL server 。由于本机上已经有一个SQL server了，所以这里可以选择使用SQL server作为数据库。点击“下一步”由于本机上已经有一个SQL server了，所以这里可以选择使用SQL server作为数据库。点击“下一步”。输入登录管理员admin的密码，确认后，点击“下一步”系统将创建数据库，等待一段时间，待其配置完成后，服务器和控制台即安装完成。选择“否”，然后点击“完成”。系统将自动弹出Symantec Endpoint Protection Manager登录界面。输入安装时指定的“用户名”和“密码”，点击“登录”出现Symantec Endpoint Protection Manager主页面，服务器和控制台安装完成。五 番号复制站点的安装对于多级管理架构，需要用到复制站点。如，省公司是一级，地市公司是二级。需要进行统一的规划和管理。对于地市公司必须采取复制站点的模式，否则不能接受省公司的管理！复制站点安装流程如下： 使用默认选择，不建议更改！使用默认的站点名称，也可自定义！指向省公司的SEP服务器，需要输入省公司站点的管理员账户和密码在探出的对话框中点击“是”，信任证书，并建立通信！选择SQL Server 数据库选择创建新的数据库！与新建站点一样！输入数据库密码，用于查询！输入DBA密码，用于建立数据库！在安装数据库时，建议都使用symantc作为密码，方便记忆！等待数据库从远程站点复制过来！约20-30分钟后数据库同步完成！（需要耐心等待，如果同步失败，建议扩大系统盘或者在其他盘符下进行站点复制）六 SEP策略配置使用 Symantec Endpoint Protection Manager 可配置策略并将其应用于组或组中的位置。组及位置中的所有客户端计算机都会接收在策略中指定的权限和功能。例如，如果 LiveUpdate 设置策略指定在每天晚上 10 点运行 LiveUpdate，则所有接收该策略的客户端都会每天运行 LiveUpdate。对于 Symantec Endpoint Protection，有多种策略。对于 LiveUpdate、防病毒和防间谍软件防护、集中式例外等，都有对应的策略。SEP系统已经有三种默认的防病毒策略，分别是“防病毒和防间谍软件策略”、“防病毒和防间谍软件策略高安全性”、“防病毒和防间谍软件策略高性能”。一般来说根据企业的情况选择其中一种策略既可。如果要对当前策略作修改，修改办法请参阅产品介质光盘中的SEP管理员手册（CD1Documentationadministration_guide.pdf）1. 配置LiveUpdate更新对于管理员来说，最重要的策略配置当属系统自动更新LiveUpdate的配置。不过系统已经有默认的LiveUpdate配置，一般情况下是不需要修改默认配置的。如要修改，请按如下步骤进行更改。配置用于站点更新的 LiveUpdate您应该配置 Symantec Endpoint Protection Manager 检查与下载新的站点更新的频率。另外，您还要用 LiveUpdate 内容策略配置客户端更新，从而确保下载想要客户端接收的所有类型。配置站点的 LiveUpdate1 在控制台左窗格中，单击“管理员”。2 在左下方窗格中，单击“服务器”。3 在左上方窗格中，右键单击“本地站点”，然后单击“编辑属性”。4 在 LiveUpdate 选项卡的“下载调度”下，选中“频率”选项，决定要多久下载一次最新定义。5 有关设置此对话框中其他选项的详细信息，请单击“帮助”。6 完成设置站点的 LiveUpdate 属性后，单击“确定”。配置 LiveUpdate 进行客户端更新使用迁移和部署向导创建组时，组会接收默认策略。如果您创建与默认策略类型相同的新策略，并将其应用于组，则默认策略不再起作用。例如，您可以创建一个名为MyLiveUpdate 策略的 LiveUpdate 策略，并将其应用于使用默认 LiveUpdate 策略的组。MyLiveUpdate 就会取代默认的 LiveUpdate 策略。其他组也可以共享您创建的新策略。LiveUpdate 策略有两种类型。一种是 LiveUpdate 设置策略，该策略指定客户端运行 LiveUpdate 以检查是否有内容更新的频率。另一种是 LiveUpdate 内容策略，该策略指定客户端在运行 LiveUpdate 时可以接收的内容。配置 LiveUpdate 设置策略使用迁移和部署向导创建组时，组会接收默认策略。您可以创建新策略替换默认策略，也可以编辑默认策略。最好的做法就是创建并应用新策略，保留默认策略。配置 LiveUpdate 设置策略1 在控制台上，单击“策略”。2 在“查看策略”窗格中，单击 LiveUpdate。3 在左下方的“任务”窗格中，单击“添加 LiveUpdate 设置策略”。4 在“概述”窗格的“策略名称”框中，键入策略名称。5 在 LiveUpdate 策略下，单击“调度”。6 在“调度”窗格中，接受或更改调度选项。7 在 LiveUpdate 策略下，单击“高级设置”。8 决定是保留还是更改默认设置。9 有关设置的详细信息，请单击“帮助”。通常情况下，您不希望用户修改更新设置。但是，如果客户端太多而不能支持，您不妨让他们手动启动 LiveUpdate 会话。10 完成策略配置后，单击“确定”。11 在“分配策略”对话框中，单击“是”。12 在“分配 LiveUpdate 策略”对话框中，选中要应用策略的组与位置，然后单击“分配”。如果您不能选择嵌套组，该组会继承其父组的策略，如“客户端”页面“策略”选项卡上的设置。13 在“分配 LiveUpdate 策略”对话框中，单击“是”。配置 LiveUpdate 内容策略默认情况下，组内的所有客户端都会收到所有内容更新的最新版本。如果组配置为从管理服务器接收更新，则客户端只会接收服务器下载的更新。如果 LiveUpdate内容策略配置为允许所有更新，但管理服务器未配置为下载所有更新，则客户端只会接收服务器下载的内容。服务器下载的内容可以从“管理员”窗格中配置。注意：LiveUpdate 内容策略不适用于 Symantec Network Access Control 客户端。配置 LiveUpdate 内容策略1 在控制台上，单击“策略”。2 在“查看策略”窗格中，单击 LiveUpdate。3 在“LiveUpdate 策略”窗格中，单击“LiveUpdate 内容”选项卡。4 在左下方的“任务”窗格中，单击“添加 LiveUpdate 内容策略”。5 在“概述”窗格的“策略名称”框中，键入策略名称。6 如果配置 Symantec Endpoint Protection，请在“LiveUpdate 内容”窗格中，单击“安全定义”。7 在“安全定义”窗格中，选中要下载并安装的更新，取消选中要禁用的更新。8 在“LiveUpdate 内容策略”窗口中，单击“确定”。9 在“分配策略”对话框中，单击“是”。10 在“分配 LiveUpdate 内容策略”对话框中，选中一个或多个要应用此策略的组，然后单击“分配”。如果您不能选择嵌套组，该组会继承其父组的策略，如“客户端”页面“策略”选项卡上的设置。11 在“分配 LiveUpdate 策略”对话框中，单击“是”。2. 防配置默认防病毒和防间谍软件策略接下来，将为组配置防病毒和防间谍软件策略。此过程会让您编辑当前唯一应用于组的默认策略。不过，您也可以创建新策略，并将其应用于组。配置默认防病毒和防间谍软件策略1 在控制台的左窗格中，单击“客户端”。2 在“查看客户端”下方选择组，然后单击“策略”选项卡。3 在“策略”选项卡上，依次单击“特定于位置的策略与设置”（在“防病毒和防间谍软件策略”共享 对面）下的“任务”“转换为非共享策略”。4 在“防病毒和防间谍软件策略”窗格中，单击“文件系统自动防护”。5 确认已选中“扫描详细信息”选项卡上的“启用文件系统自动防护”，而且锁图标处于解锁模式（以供测试）。通常情况下，您希望锁定此设置，但为了进行初始测试，会将其保留为解锁状态。锁定设置可防止用户更改设置。6 在“操作”选项卡上的“检测”下，单击“非宏病毒”。7 在“操作目的:非宏病毒”下，检查检测到非宏病毒时执行操作的默认顺序。第一操作是尝试清除病毒。如果不能清除病毒，就将隔离病毒。8 在“通知”选项卡上，检查检测到病毒或安全风险时出现在客户端计算机上的消息。如有必要，以后可以更改此消息。9 在左窗格上，单击“管理员定义的扫描”。10 在“扫描”选项卡上的“名称”下，单击“周调度扫描”，然后单击“编辑”。11 尽可能熟悉各个选项卡上的选项，如有必要加以更改。建议在一开始就进行全面扫描。运行全面扫描后，活动扫描及自动防护随即生效，从而确保客户端计算机的安全。12 了解扫描选项后，单击“确定”。13 在左窗格中，单击“隔离”，然后再单击“清除”。14 在“清除”选项卡上，查看用于清除已修复文件和已隔离文件的设置。如果您要在将来更改这些设置，请尽可能熟悉它们。15 单击“确定”。3. 配置防火墙策略安装网络威胁功能后，默认策略下网络中原有的网络共享服务可能会出现中断，此时需在控制台编辑防火墙规则，允许文件共享和ping服务器。这一点建议在SEP服务器安装完成后立刻进行修改配置，之后再导出生成客户端安装包。方法如下：1） 在SEP控制台上修改策略点击，出现如下策略编辑界面在“查看策略”部分选择“防火墙”点击任务栏中的“添加防火墙策略”，出现如下防火墙策略编辑页面点击“规则”定位编号为6（SEP11_MR2_MP2中编号为7），名称为“禁止本地文件共享”的规则进行修改。双击名称字段，修改规则名称为“允许本地文件共享”双击操作字段，修改规则的操作为“允许”，修改完成后启用这条规则再定位编号为9（SEP11_MR2_MP2中编号为10），名称为“允许 ping、pong 和 tracert”的策略。双击“服务”字段，弹出“服务列表”修改其中已经启用的前三项内容，双击第一项，编辑“协议”内容修改“数据包方向”为“两者”点击“确定”，然后同样修改其他两条规则，修改完成后，“服务列表”内容更新为如下确定以上修改后，新增防火墙规则内容如下所示确认规则修改正确后，点击“确定”，系统会要求选择此策略应用的组选定相应的组后，将策略进行分配分配后在防火墙策略的“位置使用计数”可以看到其应用组的数量这样就在防火墙策略中增加了允许文件共享和允许服务器与客户端互相ping的规则。2） 在客户端上更新策略右键点击，在出现的菜单中选择“更新策略”，完成后，检查文件共享功能是否已打开。4. 配置对应用程序的控制（以QQ为例），方法如下：1） 在Symantec Endpoint Protection控制台上修改策略点击，出现如下策略编辑界面在“查看策略”部分选择“应用程序与设备控制”点击任务栏中的“添加应用程序和设备控制策略”，出现如下策略编辑页面点击“应用程序控制”“添加”一条新的应用程序控制规则填入规则集的名称和说明，在规则1的属性中“添加”要将此规则应用的范围“要匹配的进程名称”中填入“*”，代表所有进程，然后点击“确定”右击“规则”库中的“规则1”“添加条件”选择“启动进程尝试”在相应的“属性”中配置要控制的进程，修改“名称”字段用于标识此规则要作用的应用程序，然后在“应用于下列进程”中添加相应的进程名称 。 (禁用QQ实例 )在此例中要控制的进程为QQ.exe，进程名称支持环境变量、通配符和注册表项，确定后此进程及被添加至应用程序列表中，然后配置对此应用程序所要采取的措施点击“操作”配置相应的动作，此例中为“禁止访问”，并启用记录，而且通知用户，完成后确定新添的应用程序控制规则编写完成，将其状态修改为“生产”并确定，系统会要求分配此策略应用的组分配完成后，在“应用程序域设备控制策略”的“位置使用计数”中可以看到应用组的数量2） 在客户端上更新策略右键点击，在出现的菜单中选择“更新策略”，完成后，检查应用程序是否可以使用。5. 配置对设备的控制（以USB设备为例，禁止使用USB，但不禁止鼠标和键盘），方法如下：1) 在Symantec Endpoint Protection控制台上修改策略点击，出现如下策略编辑界面在“查看策略”部分选择“应用程序与设备控制”点击任务栏中的“添加应用程序和设备控制策略”，出现如下策略编辑页面点击“设备控制”分别在“禁止的设备”和“不禁止的设备”中选择要控制的设备添加“禁止的设备”，从硬件列表中选择USB，并确定，然后再添加“不禁止的设备”（上图）从硬件列表中选择Human Interface Device，并确定确认要控制的设备无误，可选择“当设备被禁止时提示用户”，输入要提示的消息内容，确定对设备控制的配置后，系统会要求分配此策略应用的组分配完成后，在“应用程序域设备控制策略”的“位置使用计数”中可以看到应用组的数量1） 在客户端上更新策略右键点击，在出现的菜单中选择“更新策略”，完成后，检查除键盘鼠标外的其他USB端口是否可以使用。七 SEP问题与解答Q1. 服务器的建议安装顺序是怎样的？A1.安装服务器时的建议安装步骤为，先安装操作系统Windows 2003，打好最新的补丁，再安装IIS，完成后再安装Symantec Endpoint Protection 服务器和控制台Q2. 使用远程控制台应用程序对Java版本有要求吗？A2.使用远程控制台应用程序登录Symantec Endpoint Protection控制台时，系统会要求在机器上安装JRE 1.5.0.12，若机器上已安装JRE 1.6，则远程控制台应用程序不能正常使用，建议先卸载。Q3. SEP客户端对Windows2000的支持如何？A3.SEP客户端安装于Windows2000操作系统上时，机器运行性能降低较多，需进行一定的优化，如关闭开机扫描、网络扫描等。Q4. 如何恢复默认配置？A4.建议在创建新的策略时，不对默认策略修改，而是创建新的策略，恢复时只需删除新建的策略，并将缺省策略分配给相应的组即可。Q5. 五次输入错误控制台密码后，登录帐号会被锁定，有什么解决方法吗？A5.默认情况下，输入五次错误密码，帐号会被锁定，15分钟后会自动解锁。Q6. 安装SEPM（Symantec Endpoint Protection Manager）时出现错误提示“Port