SEP安装配置手册.doc

Symantec Endpoint Protection(SEP)安装手册第一章 安装前注意事项2第二章 安装SEP前的准备32.1 安装IIS32.2 安装SQL 200542.3 安装SQL 2005补丁18第三章 安装SEPM32第四章 配置SEPM454.1管理员页面454.2策略页面504.3客户端页面584.4导出客户端软件包604.4.1设定客户端安装设置：624.4.2设定客户端安装设置：634.4.3导出软件包64Tommy TangLzrj_cc第一章 安装前注意事项在安装之前，先注意一下客户端数量，一般的来说，客户端数量超过300后，推荐使用MS SQL。SEP对于资源的要求比较高，尽量做到服务器只装一个SEPM，如果实在要装其他的应用上去，不要安装基于JAVA或者需要占用80 PORT的软件，比如HP OPENVIEW和WEB站点，或者是SYMANTEC其他产品。在安装前，你可能需要以下的一些东西：WINDOWS系统安装盘需要里面的IISMS SQL支持SQL 2000 sp4，SQL 2005 sp1等SEP安装盘。第二章 安装SEP前的准备2.1 安装IIS打开控制面板，双击添加或者删除程序，选择添加，删除WINDOWS组件，把WINDOWS安装盘放进去。选择INTERNET信息服务（IIS），按确定。安装完毕后，验证以下80端口是否开放。按一下default web site （默认站点）的web site（属性 网站）里面的advance（高级）看看是不是有80端口。很好，有了，这样保证了SEP和其他的web服务都可以同时使用了。下面确定服务器的主机名和IP地址。安装后是不允许更改主机名称和IP地址的，否则会出错。2.2 安装SQL 2005运行SQL 2005光盘里面的SETUP.EXE或者运行 相应平台文件夹serversetup.exe点击服务器组件、工具、联机丛书和事例点击同意许可，下一步选择安装选择下一步选择NEXT这个时候会帮你测试一下你是否已经有安装了这些组件。点击NEXT。登记你的注册信息，点击下一步如上图选择安装组件（数据库服务器，Reporting Services，Notification Services），选择安装路径，注意选择的SQL安装所在盘符磁盘空间至少1G，选择下一步。选择默认实例名即可, Next选择使用内置系统帐户，本地系统。自启动服务选择如上图即可。身份验证选择混合模式，这里设置的是SQL超级管理员的密码选择默认或者选择如上图排序规则。下一步选择安装默认，选择下一步下一步要安装的组件列表，选择安装在安装过程中SQL的REPORT SERVER会使用了80端口。稍后我们需要讲SQL的REPORT SERVER 端口改成79。SQL就已经安装完成，SQL 2005和2000不大一样，你在任务栏里面是看不到SQL的图标的。接下来检查SQL的一些接口配置。从开始菜单打开SQL管理器(SQL Server Configuration Manager)，如上图，起用TCP/IP协议，并确保TCP/IP协议使用固定端口1433，动态端口为空。调整完毕后重新启动SQL服务配置生效。2.3 安装SQL 2005补丁再次停止除了SQL Server服务外的所有SQL服务，安装SQL补丁。这里需要之前安装时定义的sa密码，由于密码的核对是需要SQL Server服务的支持，所以在前面SQL Server服务没有停。(请记录您的SQL管理员名和口令！)在这里尽可能的减少并关闭受影响的进程，刚才没停的SQL Server服务现在可以停了。( Wmiprvse.exe这个进程我没有结束进程，也可以继续。 +_+ ?？ )安装结束后会有提示重新启动，使SQL实例生效的提示。取消对Vista用户的配置过程，没有用。由于数据库仅针对SEPM使用，同时SEPM是不支持Vista的，所以取消后，点击完成后，重新启动一下。现在更改SQL REPORT SERVER的端口，否则会和后面的SEP冲突的，首先停止SQL服务。首先把默认的端口改成79，点击确定然后找到C:Program FilesMicrosoft SQL ServerMSSQL.3Reporting ServicesReportServerrsreportserver.config 路径也有可能稍稍有些变化，但一定是.Reporting ServicesReportServerrsreportserver.config这个文件。编辑这个文件，将上图中的地址改成http:/你的主机名:79/reportserver，也就是从默认端口，该到79端口。这样，就把端口更改了，我们测试一下。OK，80已经没有人用了。安装完成后，重新启动一次，准备开始安装SEP。第三章 安装SEPM打开第一张光盘，或者运行安装程序中的Setup.exe这里会出现一个欢迎界面，选第二项安装 Symantec Endpoint Protection选择安装Symantec Endpoint Protection Manager。选择下一步版权信息，同意许可协议，选择下一步选择安装路径。选择使用默认Web站点，这样可以和其他的WEB 应用比如REPORT SERVER for MS Sql 混用。点击安装开始。安装完成后会自动来到服务器配置向导。引导你的数据库如何配置，因为是正常安装，所以选择第一个。接下来，会让你选择服务器端口和服务器名。（这里的9090端口是远程连接到SEPM服务器时，下载JAVA登录程序的页面端口。）按下一步：这里选择一个站点名，可选择默认。指定共享密钥：输入你和SEPM和其他组件通信的加密密码，只要大于8位就可以了，这里使用的是symantec (请记录您的共享密钥！)这里选择所使用的数据库，选择SQL SERVER。下一步由于是新站的正常安装，使用创建一个新的数据库这里指定SEPM使用的数据库的密码，以及使用SQL的管理员密码。DBA用户和DBA密码就是前面安装SQL是的管理员和管理员密码。数据库sem5的密码是SEP产品在SQL里，自己的数据库(sem5)的密码。(请记录sem5数据库的用户及口令！)填写完后，点击默认会自动生成数据文件的地址。如果不出现地址，应该是您的SQL配置不正确，请检查SQL的配置。下一步。指定您SEPM管理员的登陆密码，下一步配置过程需要一段时间。安装完成后，会弹出客户端的部署和迁移向导。这个现在不需要，选择否，点击关闭。至此SEPM安装完毕。接下来会出现SEPM的管理登录界面。提示：安装完后不要改IP地址，否则会无法登陆SPM，而且SPM服务会不停的自动停止，改回还是一样无法登陆。如果更改了IP地址及服务器名(主机名)，可以利用程序里的Management Server Configuration Wizard（服务器配置向导）的configure the management Server（配置管理服务器）重新初始化，管理服务器不会丢数据的。但由于需要对所有客户端重新指定管理服务器，需要对每台受保护客户端操作，会造成很大的工作量，所以建议如非必要，不要对主机名和IP地址修改。第四章 配置SEPM由于刚刚建立的服务器的默认配置不太适合，有些配置还需要调整以下。4.1管理员页面用系统管理员登录SEPM后，来到管理员页面。在管理员页面中选择服务器项，选择上部的本地站点，点击编辑站点属性。（此处的下载LiveUpdate内容可以手动立即更新服务器所有定义，显示LiveUpdate下载可以显示现有各种定义的版本和日期信息。）在本地站点属性页里，翻到LiveUpdate标签页（在常规页里可以设定比如控制台的超时，删除客户端的时间阀值；日志设置和数据库页里分别可是设置保留日志数量和天数以及数据库中事件日志的保留天数），在这里根据具体情况调整服务器下载定义的调度时间，比如每天凌晨1点开始。在要下载的语言中点击更改选择。在这里增加中文，点一下简体中文。（英文是必选的，取消不掉，不用试了）在管理员项中，可以添加，以及对现有管理员的修改。可以设定不同权限的管理员。4.2策略页面在策略页里是SEPM上的策略库，可以在这里修改这些共享策略，如果在这里修改了策略，那么会影响所有使用那条共享策略组。下面我们来看一下防病毒和防间谍软件策略。在管理员定义扫描项里的扫描标签页中，可以定义使用这条策略的所有客户的调度扫描计划。比如在周末中午实行所有客户端的查毒工作。可以在这里添加调度扫描，添加时可以利用模板，也可以自己建立。调度扫描模板在后面的调度扫描模板中制作。点击管理员按需扫描下的编辑，可以决定选择扫描的类型，以便管理员在客户端页中对组或某些终端强制扫描时的参数。在高级标签页中，可以根据需求，对主机启动扫描、新定义到达时的扫描以及管理员调度扫描中是否显示进度条等，做调整。建议不选择启动扫描。在防火墙策略中可以定制对以通讯为主的策略，即控制某种通讯而非控制某种程序的运行。这里可以定义新的防火墙策略并修改策略。在每条策略中可以看到类似上图的规则页，在这个页面，即可以对通讯规则加以限制和记录。可以对每条规则定义：不同的名称、严重指数、所对应的应用程序、所对应的主机、应用这条规则的时间段、对应的通讯协议和端口、规则所对应的网络适配器、对屏保的反映、通讯的允许与否、是否保留日志和那种类型的日志(数据日志会比通讯日志的记录量大很多，造成SEPM上大量日志，请慎重使用。)。在通信与隐藏设置中建议选中启用防MAC欺骗，可以有效的组织网络内ARP类的威胁发生。在入侵防护中可以使用默认的配置，无需特别的修改。在应用程序与设备控制策略中，可以对程序的启动终止、注册表的修改访问、文件或文件夹的修改访问以及DLL动态链接库的访问，进行控制。还可以对客户端的硬件设备进行使用限制。在LiveUpdate中可以调整客户端内容的更新方式。在集中式例外中，可以定义排除的威胁和不进行安全保护的文件或文件夹。在下图的位置，我们可以定义调度扫描模板。在这里做好的模板，就可以在前面提到的防病毒和防间谍软件策略中使用。在右侧空白右键，点击添加（或点左边任务中的添加调度扫描模板）。为客户端指定统一的调度扫描任务。在这里可以为扫描任务指定扫描内容，即扫描那些位置。在这里可以为扫描任务指定扫描的预订时间。确定后即可生成调度扫描模板。4.3客户端页面在客户端页面里，可以以客户端组为单位，进行统一管理。在这个页面可以根据您的不同的需求(如，楼层、职能、部门、安全水平等)，建立不同的组或子组，从而实现灵活的管理。在客户端标签页中可以看到组内的所有客户端。在每个客户端的属性中有每个客户端的详细信息。如操作系统、系统补丁、BIOS信息、主机名称、IP地址、MAC地址、SEP产品版本，如果安装时定义了信息收集，还可以看到收集的信息。在策略标签页中就是对客户端具体的策略配置了。如果定义多个组，请先将组中的从父组”Global”继承策略和设置取消选择。这样才能分别修改每个组内的内容。在组里，可以根据具体需要建立不同的位置。在不同的位置间，可以手动切换，也可以根据终端的具体网络位置，如主机的DHCP服务器、网关地址、是否能解析到某个主机、是否能连接到SEPM服务器等条件，来实现自动切换。而在不同的位置，可以使用不同的策略。在每个位置中都可以使用策略库中的各类策略。当然，每类策略只能有一个。默认情况下，每个组仅有一个默认位置，每个位置有如上图的5类策略(无集中例外策略)。点击策略右侧对应的任务可以更换策略或者修改策略(注意：如果您修改的是共享方式的策略，那么其他组中使用这条共享策略的内容也会随之改变)。在与位置无关的策略和设置下的常规设置中，在安全设置中可以对部署的客户端进行如上图的四种行为的密码保护。但要说明的是这四种保护使用的都是同一组密码。您可以根据需要仅选择部分密码保护功能。在详细信息标签页中的物理计算机数，可以显示所在组中计算机的数量。(用户数是组中使用用户账户的数量，用不上。因为许多终端都是用的Administrator这一个用户在登录，在用户数中仅算一个用户账户。)4.4导出客户端软件包在管理员页面中的安装软件包项目中，可以导出需要部署的客户端软件包。建议使用设置用户信息收集。这样可以对所部署的终端进行一些必要的信息收集，也便于以后的终端维护和管理。在设置用户信息收集里，可以定义通知信息、要收集的内容和取消后的退后提醒时间。在导出软件包之前，还需要对以下两个地方进行所需的配置和调整。4.4.1设定客户端安装设置：在客户端安装设置中，主要调整安装的类型、需要重新启动计算机与否、安装位置、安装日志、是否添加开始菜单和从旧产品升级上来时，保留以前的日志、隔离区内容。安装类型：分三种。无人参与：指安装过程中显示安装进度，但是不需要客户的人为参与，直至安装结束。(推荐)静默安装：指安装过程完全后台，用户看不到任何信息，直至安装结束。交互安装：指安装过程由用户参与，点击下一步的传统方式进行安装。重新启动：由于SEP产品中，防火墙模块至少需要在重新启