Symantec Endpoint Protection 11.0.5: Note e commenti

In questi giorni ho lavorato con l’antivirus per utilizzo aziendale Symantec Endpoint Protection (SEP) che è il successore di Symantec Antivirus Corporate Edition (SAV)

Requisiti di sistema di Symantec Endpoint Protection Manager

I requisiti della parte server di questo prodotto, Symantec Endpoint Protection Manager, sono:

  • IIS 5.0 o successivo
  • IE 6.0 o successivo
  • RAM 1 GB (minimo)

Il SEP utilizza anche un DB SQL che può essere quello integrato (fino a 1000 client) o SQL Server 2000 SP4 o succesive versioni. Inoltre viene utilizzato anche Java ( Versione6 Update 10) e Tomcat che se non presenti verranno installati automaticamente.

SEP è supportato in ambienti virtuali quali Microsoft Virtual server, Microsoft Hyper-V e VMWare inoltre se nel server di SEP sono installati uno o più prodotti tra quelli elencati di seguito, è necessario configurare l’installazione:

  • Symantec Backup Exec 10, 10D o 11D
  • Symantec Brightmail
  • Symantec Enterprise Vault
  • Symantec Ghost Solution Suite 2.0
  • Symantec Mail Security per Exchange
  • Symantec NetBackup
  • Microsoft Outlook Web Access
  • Microsoft SharePoint
  • Microsoft Windows Update Services

Nella maggior parte dei casi, si rendono necessarie modifiche delle porte per consentire l’esecuzione di questi programmi contemporaneamente a Symantec Endpoint Protection. Per informazioni sulle modifiche di configurazione, fare riferimento al seguente documento nella Knowledge Base di Symantec: Addressing Symantec Endpoint Security compatibility issues.

 

Nel mio caso ho installato il prodotto in una Macchina Virtuale in Hyper-V con le seguenti caratteristiche:

  • Sistema Operativo XP SP3 32 Bit (dal momento che avevo a disposizione una licenza non OEM di tale S.O., ho utilizzato l’architettura a 32 bit poiché XP a 64 bit non è stato localizzato, ma esiste solo il lingua inglese e tale istallazione dovrà essere gestita anche da personale con competenze IT di base che preferisce utilizzare sistemi localizzati in italiano)
  • IIS 5.1 (incluso in XP)
  • IP Statico (come consigliato)
  • RAM 1 GB
  • HD 64 GB (VHD Dinamico)

Windows XP supporta un numero limitato di utenti simultanei se i client sono in modalità Push quindi verrà utilizzata la modalità Pull che permette di gestire tramite Windows XP un massimo di 100 client (l’installazione in oggetto prevede un massimo di 50 client).

Per ridurre la memoria utilizzata ho modificato le impostazioni dei seguenti servizi:

  • Temi (Themes) –> Disabilitato
  • Spooler di stampa (Spooler) –> Disabilitato
  • Audio Windows (AudioSrv) –> Disabilitato
  • Guida in linea e supporto tecnico (helpsvc) –> Manuale, Arrestato
  • Zero Configuration reti senza fili (WZCSVC) –> Manuale, Arrestato

Per aumentare le prestazioni ho eseguito le seguenti impostazioni:

  • Sistema
    • Scheda Avanzate – Riquadro Prestazioni – pulsante Impostazioni
      • Scheda Effetti Visivi
        • Scelta automatica impostazioni migliori -> Regola in modo da ottenere le prestazioni migliori
      • Scheda Avanzate – Riquadro Pianificazione Processore
        • Da Programmi -> Servizi in background
      • Scheda Avanzate – Riquadro Utilizzo memoria
        • Da Programmi -> Cache sistema
      • Scheda Avanzate – Riquadro Memoria virtuale
        • Impostata con valori min e max uguali a 1.5*RAM (= 3072 MB)

Ho installato il prodotto con le seguenti impostazioni:

  • Sito Web personalizzato (porta TCP 8014)
  • Client gestiti dal server tra 100 e 500
  • Porta server (8443)
  • Porta console web (9090)
  • Database integrato

Ho lasciato il firewall di XP attivo creando le seguenti eccezioni per consentire ai client di comunicare:

  • TCP 2967 (Endpoint aggiornameni di gruppo)
  • TCP 8005 (Endpoint Tomcat)
  • TCP 8014 (Endpoint sito web IIS personalizzato)

Requisiti di sistema del client di Symantec Endpoint Protection

Il client è installabile su tutti i sistemi operativi Microsoft (32 bit e 64 bit) a partire da Windows 2000 SP3 ed composto dai seguenti componenti:

  • Antivirus e Antispyware Protection
  • Controllo della posta elettronica POP3/SMTP, Microsoft Outlook e Lotus Notes
  • TruScan Proactive Threat Scan (motore euristico per la protezione di malware non ancora identificato dalle definizioni antivirus)
  • Network Threat Protection (il firewall client Symantec)
  • Application and Device Control (per la gestione dei dispositivi esterni come chiavette USB, lettori DVD/CD e le applicazioni)

Richiede un mimo di 256 MB di RAM in XP (1 GB consigliato) e un minimo di 1 GB di RAM (2 GB consigliato) negli altri S.O.

Rispetto alle prime versioni pare la “voracità” di risorse di tale prodotto sia stata ridotta, inoltre è possibile evitare che ad ogni aggiornamento delle definizioni antivirus venga eseguita una scansione locale (una delle piaghe di SAV nonostante la scansione non fosse approfondita).

Per installare il client Endpoint, è necessario disporre dei diritti utente di amministratore nel computer o nel dominio di Windows e accedere come amministratore. Sebbene l’installazione sia possibile in modalità Push dal server di SEP questa modalità presenta la necessità di avere le corrette eccezioni sui firewall dei client e presenta ulteriori complicazioni in ambienti Vista e successivi. Ragion per cui conviene istallare il client in modalità Pull avviando il pacchetto localmente sul client (o remotamente ad esempio tramite PSExec di Sysinternals usando la modalità d’installazione silente del client).

 

La Distribuzione remota guidata non verifica che Internet Explorer 6.0 o versione successiva venga installato sui computer quando richiesto. Pertanto, se i computer di destinazione non dispongono della versione corretta di Internet Explorer, il processo d’installazione non verrà eseguito e non verrà visualizzata alcuna notifica.

 

L’installazione del client Endpoint aggiunge 3 eccezioni al firewall che è possibile eliminare o disattivare:

  • SMC Service (C:\Programmi\Symantec\Symantec Endpoint Protection\Smc.exe)
    Relativa al Symantec Management Client che consente di gestire il client Endpoint da riga di comando
  • SNAC Service (C:\Programmi\Symantec\Symantec Endpoint Protection\SNAC.EXE) 
    Il Symantec Network Access Control non usato (il servizio relativo è disabilitato). SEP installa anche il software Symantec Network Access Control, ma tale componente verrà attivato solo se si effettua l’aggiornamento di Symantec Endpoint Protection Manager per Symantec Network Access Control. In ogni caso se si sta utilizzando NAP tale funzionalità non è necessaria.
  • Symantec Email (C:\Programmi\File comuni\Symantec Shared\ccApp.exe)
    Relativa al Symantec Common Client Application che controlla che altri programmi siano in esecuzione.

Symantec Endpoint Protection è completamente supportato sui Terminal Server tranne la protezione proattiva contro le minacce che non è supportata su qualsiasi sistema operativo di Windows Server a riguardo si veda Supporto di Symantec Endpoint Protection 11.x e di Terminal Server

http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/it_docid/20080318110905935

Considerazione personale

Ultimamente gli antivirus aziendali hanno la tendenza, a mio parere da rivedere, di affiancare oltre al modulo Antivirus e Antispyware tutta una seria di altri componenti col risultato di rallentare oltremodo le workstation il cui scopo non è quello di eseguire il software di protezione, ma di eseguire applicativi per fini lavorativi.

Quindi in ambienti in cui gli utenti non lavorano con privilegi di amministratore, gli aggiornamenti critici e di sicurezza sono installati sui client (ad esempio tramite WSUS), il firewall è attivo (presente nei sistemi Microsoft a partire da XP), l’autoplay da dispositivi esterni (chiavette e lettori CD/DVD) disattivato, la UAC (presente a partire da Vista) attiva e vi sia il blocco da parte del firewall aziendale per i client ad accedere a server SMTP eterni i moduli aggiuntivi non hanno una gran utilità che va a e rischiano solo di rallentare macchine peraltro magari dotati di HW limitato.

Di conseguenza dal momento che l’infrastruttura aveva le caratteristiche di sicurezza elencate precedentemente ho istallato solo il modulo Antivirus e Antispyware Protection abilitando il controllo della posta per Microsoft Outlook sui client che hanno tale applicazione.

Mentre non ho abilitato:

  • Controllo della posta elettronica POP3/SMTP (non potendo/dovendo i client accedere a server di posta esterni)
  • Controllo della posta Lotus Notes (non avendo tale prodotto)
  • TruScan Proactive Threat Scan (per evitare problemi di performance dal momento che gli aggiornamenti critici e di sicurezza sono installati sui client tramite WSUS e gli utenti non hanno privilegi amministrativi sul sistema)
  • Network Threat Protection (da momento che su sui client è attivo il personal firewall del sistema inoltre l’infrastruttura è protetta da un firewall perimetrale che rende inutile l’IDS contenuto in questo componente)
  • Application and Device Control (per questioni performance e perché non avendo diritti amministrativi il rischio d’installazioni non consentite è ridotto inoltre il firewall perimetrale blocca il traffico P2P)
  •  

    Gestione del SEP

    In SEP la gestione è cambiata radicalmente rispetto al SAV ora la filosofia è di fatto uguale a Active Directory esistono gruppi (simili alle OU) a cui solo collegate policy (simili alle GPO) per configurare i componenti del client con la possibilità di ereditare o sovrascrivere le policy. Esistono anche i Siti (simili ai Siti di AD) per la gestione di client su reti a velocità di connessione diversa e la distribuzione del client viene fatta creando pacchetti che possono venir esportati come exe o msi o ancora collegati a gruppi per l’aggiornamento dei client in essi contenuti

    Considerazione personale

    Capisco che la finalità di mettere in piedi una struttura di fatto uguale ad AD (e sincronizzabile con essa) per gestire i client garantisce una maggior scalabilità, ma rischia anche di creare un doppione nell’infrastruttura. Avrei preferito oltre alla possibilità di creare pacchetti msi anche la possibilità di creare file ADM ADMX per importare in AD le policy del client Endpoint e gestire tutto in AD e non sincronizzarmi con essa. Questo sistema più avere un senso in ambienti in cui AD non è presente.

    Confronto con Forefront Security Client (FFSC)

    Il client FFSC mi sembra meno “vorace di risorse” (onestamente FFSC ha il client AV più “slim” che abbia visto fin’ora e non sono il solo a pensarlo si veda ad esempio CERN replaces Symantec with Forefront) la gestione è completamente integrata in AD.

    Rispetto a FFSC non richiedendo SQL Server e un Sistema Operativo server per installare la console di gestione si avvicina, per motivi di budget, agli scenari della piccola e media impresa.

    Documentazione per l’installazione

    All’interno del CD del prodotto scaricabile dal sito di Symantec ci sono i documenti necessari per familiarizzare con il prodotto nella lingua in cui è stato scaricato il CD.

    In particolare vi consiglio la lettura seguenti:

    • Getting_Started_SEP11.0.5.pdf
    • Installation_Guide_SEP11.0.5.pdf
    • Administration_Guide_SEP11.0.5.pdf

    Inoltre potete trovare utili suggerimenti nella guida Amministrazione del Symantec Endpoint Protection di Paolo Arlotti ed Alessandro Tani.