symantec-SEP-服务器与客户端安全管理实施方案

展讯客户端安全管理实方案 目录 1客户需分析客户需分析.2 2方案实施目标方案实施目标.3 3实施环境需求实施环境需求.4 3.1SEPM 服务器软硬件配置要求.4 3.2SEP 客户端软硬件配置要求.4 3.3SPLUNK 服务器软硬件需求.4 4SEP 实施过程实施过程 .5 4.1SEPM 实施 .5 4.1.1安装Symantec Endpoint Protection服务器和控制台.5 4.1.2安装负载均衡.14 4.1.3导出Symantec Endpoint Protection客户端.25 4.2SEPM 配置 .31 4.2.1配置负载均衡.31 4.2.2USB控制策略配置.36 4.3SEP CLIENT 安装.39 4.3.1安装前环境测式.39 4.3.2手动安装Client SEP步骤.39 4.3.3安装SEP软件截图说明.40 5SPLUNK 实施过程实施过程.41 5.1SPLUNK说明.41 5.2安装 SPLUNK.41 5.3SPLUNK 拓扑图.43 5.4报表分析.43 5.4.1网络安全日志搜索分析.44 5.4.2防火墙流量排名.44 5.4.3分析所有CISCO设备的重启及告警等信息.45 5.4.4cisco vpn设备.47 5.4.5SEPM 服务器日志搜索分析.47 1 客户需分析客户需分析 展讯通信作为手机芯片研发的领先公司，需要对企业核心知识 产权文件做管控，包括内网和外网的文件服务器做管控，不希 望这些文件服务器上的文件被客户端用户拷贝到 U 盘等移动外 设上，要能够自动告警和做记录，要能够方便的查询到有哪些 人试图做这些事情，并进行相关的统计和分析。 2 方案实施目标方案实施目标 1、 在外网部属 SEPM 服务器两台，采用内 SQL 数据库，配置负载均衡高可用 性。 2、 在所有需要管理的客户端 PC 或 Notebook 上安装 SEP Client，统一接受 SEPM 的管理 3、 定义安全策略，禁止向移动设备写入文件，并在所有需要管控的客户端上 启用策略，使用密码保护禁止非法删除 SEP 客户端软件 4、 任何被管控的客户端有违反的行为，会在客户端自动弹出通知窗口，通知 内容可自定义，任何违反的行为会被自动禁止，并且记录到日志中。 5、 在外网部属一台 Splunk Server，统一收集防火墙日志（包括 VPN 访问日志 等），SEPM 服务器的日志，或内外网文件服务器的 Windows 日志等，做 到日志的快速查询，违反安全策略的统计分析等。 6、 部署框架图如下： 3 实施环境需求实施环境需求 3.1 SEPM 服务器软硬件配置要求服务器软硬件配置要求 CPU：P4 2.0GHz 以上； 内存：2G 以上； 硬盘：10G 以上剩余空间； Symantec Endpoint Protection 11.06 版本 操作系统：Windows Server 2003 Standard Edition Service Pack 1 或更高版本 数据库：SQL Server 2005 及以上版本 WEB 服务器：Internet Information Services Server 5.0 或更高版本 浏览器：Internet Explorer 6.0 或更高版本 IP 地址：静态 IP 地址 3.2 SEP 客户端软硬件配置要求客户端软硬件配置要求 CPU：P4 1.2GHz 以上；（32 位处理器） 内存：512M 以上 硬盘：1G 以上剩余空间（非常重要）； 操作系统：Windows XP Professional Service Pack 2 浏览器：Internet Explorer 6.0 或更高版本 3.3 Splunk 服务器软硬件需求服务器软硬件需求 CPU：双核 Xeon2.0GHZ、 内存：8G 内存以上 硬盘：存储容量 400G； 操作系统：windows server 2003 浏览器：Internet Explorer 6.0 或更高版本 4 SEP 实施过程实施过程 4.1SEPM 实施实施 4.1.1 安装安装 Symantec Endpoint Protection 服务器和控制台服务器和控制台 将安装光盘放入服务器光驱中，会自动弹出如下界面 点击“安装 Symantec Endpoint Protection ”，出现如下提示 点击“安装 Symantec Endpoint Protection Manager ”，将同时安装服务器和控制台 安装程序将检查系统是否满足需求，如果没有安装 IIS，系统将会提示 点击“确认”后，会退出安装程序，等待安装 IIS 再重装。如果系统满足要求将会继续， 出现如下安装向导： 点击“下一步”，出现安装许可协议 选择“接受该许可协议中的条款”，点击“下一步” 确认安装目录，点击“下一步” 保持“使用默认 WEB 站点”选项，点击“下一步” 确认以上信息后，点击“安装”开始安装过程 开始安装过程，安成后出现如下提示 点击“完成”，系统会自动弹出“管理服务器配置向导” 选择“安装我的第一个站点”，然后点击“一下步” 确认以上信息，点击“下一步” 命名此站点名称后，点击“下一步” 输入服务器和客户端加密通信时使用的密码，点击“下一下” 确认使用“SQL 数据库”，点击“下一步” 输入登入管理员 admin 的密码，砍认后，点击“下一步” 系统将创建军数据库，等待一段时间，待其配置完成后，服务器和控制台即安装完成。 选择“否”然后点击“完成”。系统将自动弹 Symantec Endpoint protection Manager 登 入界面。 输入安装里指定的“用户名”和“密码”，点击“登录” 出现 Symantec Endpoint Protection Manager 主页面，服务器和控制台安装完成。 4.1.2 安装安装负载均衡负载均衡 1. 在另外一台服务器上安装 SEPM，重启电脑，进入“Server Configuration Assistant”的 配置界面： 2. 由于我们要生成新的数据库，所以应当生成一个新的站点。进入下一步： 3. 输入相应的本机机器名和 SEPM 之间使用的端口 4. 此时界面中看到的站点名就是新站点的名称。管理员可以根据需要修改。记住，安装 完成之后是不能再改动了。进入下一步： 5. 输入远程的主站点的服务器名、SEPM 使用的端口号、SEPM 服务器登陆的帐号和密码。 此处注意：输入的不是主站点的 Windows 登录名和密码。 6. 如果用户名和密码输错，会出现如下的错误提示： 7. 选择信任此证书。 8. 接着输入次站点数据库的信息： 9. 开始将主站点的数据复制过来。 10. 安装过程验证。可以看到创建军了 SQL 的数据库。 11. 复制即将结束： 12. 一切顺利： 4.1.3 导出导出 Symantec Endpoint Protection 客户端客户端 在服务器上，点击菜单栏上的“开始”，选择“程序”中的“Symantec Endpoint protection Manager ”下的 “Symantec Endpoint Protection Manager 控制台” 打开控制台，输入用户名和密码，登录到控制台界面 在左侧菜单项中选择“管理员“图标，出现”管理员“界面 点击菜单栏中“安装软件包”，出现如下界面 在“查看安装软件包”部分选择“客户端安装功能集” 在“任务”栏中点击“添加客户端安装功能集”，出现如下界面 在其中分别填入相应的字段，包括“名称”、“说明”、以及要包括的功能，如下图 按照以上图示选择相应的功能集，然后点击“确定”，则在功能集列表中会增加一个 的新功能集 在“查看安装软件包”部分选择“客户端安装软件包” 选择软件包名称为“Symantec Endpoint Protection 版本（用于 WIN32BIT） ”，点击任务栏中的“导出客户端安装软件包” 分别配置导出文件要存放的位置“导出文件夹”，以消息“针对此软件包创建单个. exe ”，选择要使用的功能为刚才新创建的功能集名称，此例中为“防病毒、防间谍软 件和网络威胁防护”，同时指定导出软件包所属的组，点击“确定” 导出完成后，在相应的目录下会邮现客户端安装文件夹目录，在服务器上共享些文件 夹，或者将其拷贝至存储介质，在客户端直接安装。 4.2SEPM 配置配置 4.2.1 配置负载均衡配置负载均衡 当我们安装完第二个站点的 SEPM 服务器后，我们接着就可以配置负载均衡关系了。 首先我们切换到“策略”配置页面，选择策略组件管理服务器列表。我们看到现 在系统默认已经生成了二个 Policy Manager Lists。它们分别是：“站点一的默认管理 服务器列表”和“站点二的默认管理服务器列表” 接下来我们可以从新定义 SEP11 客户端连接的服务器列表。 1. 首先我们点击界面上的“添加管理服务器列表”，如下图所示： 2. 接着我们对新的服务器列表重新命名，输入描述，连接协议（http 或者是 https） 3. 接下来我们需添加一个新优先级：“优先级 1”，并在这个优先级设置下面添加我们想 要的 SEPM 列表： 4. 在 SEPM 服务器的 IP 地址编辑框中一般输入服务器的 IP 地址，但是考虑到 SEM 的负 载均衡，我们应输入服务器的域名，当然，如果企业没有采用域的管理，我们可以只 输入 SEPM 服务器的计算机名。如下图所示： 5. 如果 SEPM 服务器采用了其他的端口，也可以在上述的配置窗口中重新定义。 6. 如果企业有自己的 DNS 系统，我们在这里可以只输入一个域名。 7. 同时管理员在企业的内部 DNS 服务器上配置域名解析，把局域网中的某台 SEPM 服务 器或者所有的 SEPM 服务器全部指向域名 。这样即使当其中一台 SEPM 服务器宕机时，也毫不影响 SEP11 客户端与 SEPM 服务哭的连接。 8. 如果企业内没有 DNS 服务器，为了负载均衡的需要，我们在优先级 1 中可以配置多台 服务器群，如下图所示： 这样当优先级 1 中有任何一台 SEPM 服务器宕机时，SEP11 依然可以连接到剩下的 SEPM 服务器。 9. 配置完成之后的服务器列表如下图所示： 10. 接下来我们把这些 SEPM 服务器列表的策略配置到相应的用户群组中。先选中右边的 服务器列表中某一个 SEPM List，点击鼠标右键的“分配”： 11. 选择需要分配到的组，如下图所示： 12. 负载均衡结构图 4.2.2 USB 控制策略配置控制策略配置 打开管理员控制台，点选 policy 项中的应用程序及设备控制策略进行只读 策略、禁止写入策略、记录写入策略。 进入编辑各策略如下图： 只读策略规则集 禁止写入规则 记录写入策略规则 分配策略到各 gorup 中 4.3 SEP client 安装安装 4.3.1 安装前环境测式安装前环境测式 查看电脑现有的硬件配置环境 查看是否安装有其它产品的杀毒软件及防火墙 避免大量部署后客户端出现异常，因此需进行小范围安装测试 首先在只有几台电脑的小区域网络环境进行试安装 确定稳对此环境中没有影响时，再进行大量部署。 4.3.2 手动安装手动安装 Client SEP 步骤步骤 1） 使用域管理员身份登入客户端。 2） 卸载 Client 原有的防护软件及防火墙程序。 3） 卸载完成后重启客户端操作系统。 4） 再次以域管理员身份登入客户端。 5） 通过网络共享方式手动执行安装程序。 6） Client 安装完成后重启操作系统。 7） 启动后检查客户端工作是否正常。 4.3.3 安装安装 SEP 软件软件截图说明截图说明 1、找到 SEP 软件，双击执行安装文件 2、当弹出安装对话框时，让它自行安装及可。 3、当电脑任务档中出显图标时，表示已经安装完成。 程序装完后的界面如下： 4、成功安装完成后，请手动重启电脑 5 Splunk 实施过程实施过程 5.1 Splunk 说明说明 利用 splunk 的强大的搜索功能，快速找到网络设备资源，以便快速找到问题点； 利用 splunk 强大的日志收集分析功能来进行安全审计，当有违规事件发生时利 用 splunk 来快速定位问题，使其符合 PCI 法规遵从的要求；利用 splunk 灵活的 报表功能来对网络设备中的用户访问行为定制相关的报表；IT 管理人员通过 splunk 可以实时知道网络设备的状况。 5.2 安装安装 Splunk 运行 Splunk 安装程序如下图 安装过程需等待数分钟后，才可以完成，完成如下图： 登入画面如下图： Splunk 的主控台中可以进行相关设定配置。画面如下图： 5.3Splunk 拓扑拓扑图图 5.4 报表分析报表分析 5.4.1 网络安全日志搜索分析网络安全日志搜索分析 如针对防火墙日志，在 Splunk 上被判定为“Host=X X X X ”以及 “Sourcetype= udp:514”,接下来我们看看，由 Splunk 为这些日志产生的报表。 5.4.2 防火墙流量排名防火墙流量排名 搜索语句：host=x. x. x .x |stats sum(sent) sum(rcvd) by src|sort sum(sent) sum(rcvd) desc |head 10 上图是 Splunk 根据防火墙日志产生的流量排名，图中显示的是排在前 10 名的 IP 地址。横坐标表示的是 IP 地址，纵坐标表示的是每个地址的接收 （Rcvd）流量的合计和发送（Sent）流量的合计。 下图为具体数字信息： 4.1.2、防火墙策略匹配率分析 搜索语句：host x.x.x.x |stats count(policy_id) by policy_id 上图是 Splunk 根据防火墙日志产生的策略匹配排名，图中显示的是被匹 配策略的前 10 个策略 ID。横坐标是策略 ID，纵坐标