《symantecsep服务器与客户端安全管理实施方案.doc》由会员分享,可在线阅读,更多相关《symantecsep服务器与客户端安全管理实施方案.doc(47页珍藏版)》请在三一办公上搜索。
1、展讯客户端安全管理实方案目录1客户需分析22方案实施目标33实施环境需求4SEPM 服务器软硬件配置要求4SEP 客户端软硬件配置要求4Splunk 服务器软硬件需求44SEP实施过程5SEPM实施5安装Symantec Endpoint Protection服务器和控制台5安装负载均衡14导出Symantec Endpoint Protection客户端25SEPM配置31配置负载均衡31USB控制策略配置36SEP client 安装39安装前环境测式39手动安装Client SEP步骤39安装SEP软件截图说明405SPLUNK 实施过程41Splunk说明41安装Splunk41Spl
2、unk 拓扑图43报表分析43网络安全日志搜索分析44防火墙流量排名44分析所有CISCO设备的重启及告警等信息45cisco vpn设备47SEPM服务器日志搜索分析471 客户需分析展讯通信作为手机芯片研发的领先公司,需要对企业核心知识产权文件做管控,包括内网和外网的文件服务器做管控,不希望这些文件服务器上的文件被客户端用户拷贝到U盘等移动外设上,要能够自动告警和做记录,要能够方便的查询到有哪些人试图做这些事情,并进行相关的统计和分析。2 方案实施目标1、 在外网部属SEPM服务器两台,采用内SQL数据库,配置负载均衡高可用性。2、 在所有需要管理的客户端PC或Notebook上安装SEP
3、 Client,统一接受SEPM的管理3、 定义安全策略,禁止向移动设备写入文件,并在所有需要管控的客户端上启用策略,使用密码保护禁止非法删除SEP客户端软件4、 任何被管控的客户端有违反的行为,会在客户端自动弹出通知窗口,通知内容可自定义,任何违反的行为会被自动禁止,并且记录到日志中。5、 在外网部属一台Splunk Server,统一收集防火墙日志(包括VPN访问日志等),SEPM服务器的日志,或内外网文件服务器的Windows日志等,做到日志的快速查询,违反安全策略的统计分析等。6、 部署框架图如下:3 实施环境需求3.1 SEPM 服务器软硬件配置要求 CPU:P4 以上; 内存:2G
4、 以上; 硬盘:10G以上剩余空间; Symantec Endpoint Protection 版本 操作系统:Windows Server 2003 Standard Edition Service Pack 1或更高版本 数据库:SQL Server 2005 及以上版本 WEB服务器:Internet Information Services Server 或更高版本 浏览器:Internet Explorer 或更高版本 IP地址:静态IP地址3.2 SEP 客户端软硬件配置要求n CPU:P4 以上;(32位处理器)n 内存:512M以上n 硬盘:1G以上剩余空间(非常重要);n 操
5、作系统:Windows XP Professional Service Pack 2n 浏览器:Internet Explorer 或更高版本3.3 Splunk 服务器软硬件需求l CPU:双核、l 内存:8G内存以上l 硬盘:存储容量400G;l 操作系统:windows server 2003l 浏览器:Internet Explorer 或更高版本4 SEP实施过程4.1 SEPM实施4.1.1 安装Symantec Endpoint Protection服务器和控制台将安装光盘放入服务器光驱中,会自动弹出如下界面点击“安装Symantec Endpoint Protection”,出
6、现如下提示点击“安装Symantec Endpoint Protection Manager”,将同时安装服务器和控制台安装程序将检查系统是否满足需求,如果没有安装IIS,系统将会提示点击“确认”后,会退出安装程序,等待安装IIS再重装。如果系统满足要求将会继续,出现如下安装向导:点击“下一步”,出现安装许可协议选择“接受该许可协议中的条款”,点击“下一步”确认安装目录,点击“下一步”保持“使用默认WEB站点”选项,点击“下一步”确认以上信息后,点击“安装”开始安装过程开始安装过程,安成后出现如下提示点击“完成”,系统会自动弹出“管理服务器配置向导”选择“安装我的第一个站点”,然后点击“一下步
7、”确认以上信息,点击“下一步”命名此站点名称后,点击“下一步”输入服务器和客户端加密通信时使用的密码,点击“下一下”确认使用“SQL数据库”,点击“下一步”输入登入管理员admin的密码,砍认后,点击“下一步”系统将创建军数据库,等待一段时间,待其配置完成后,服务器和控制台即安装完成。选择“否”然后点击“完成”。系统将自动弹Symantec Endpoint protection Manager登入界面。输入安装里指定的“用户名”和“密码”,点击“登录”出现Symantec Endpoint Protection Manager 主页面,服务器和控制台安装完成。4.1.2 安装负载均衡1. 在
8、另外一台服务器上安装SEPM,重启电脑,进入“Server Configuration Assistant”的配置界面:2. 由于我们要生成新的数据库,所以应当生成一个新的站点。进入下一步:3. 输入相应的本机机器名和SEPM之间使用的端口4. 此时界面中看到的站点名就是新站点的名称。管理员可以根据需要修改。记住,安装完成之后是不能再改动了。进入下一步:5. 输入远程的主站点的服务器名、SEPM使用的端口号、SEPM服务器登陆的帐号和密码。此处注意:输入的不是主站点的Windows登录名和密码。6. 如果用户名和密码输错,会出现如下的错误提示:7. 选择信任此证书。8. 接着输入次站点数据库的
9、信息:9. 开始将主站点的数据复制过来。10. 安装过程验证。可以看到创建军了SQL的数据库。11. 复制即将结束:12. 一切顺利:4.1.3 导出Symantec Endpoint Protection客户端在服务器上,点击菜单栏上的“开始”,选择“程序”中的“Symantec Endpoint protection Manager”下的“Symantec Endpoint Protection Manager 控制台”打开控制台,输入用户名和密码,登录到控制台界面在左侧菜单项中选择“管理员“图标,出现”管理员“界面点击菜单栏中“安装软件包”,出现如下界面在“查看安装软件包”部分选择“客户
10、端安装功能集”在“任务”栏中点击“添加客户端安装功能集”,出现如下界面在其中分别填入相应的字段,包括“名称”、“说明”、以及要包括的功能,如下图按照以上图示选择相应的功能集,然后点击“确定”,则在功能集列表中会增加一个的新功能集在“查看安装软件包”部分选择“客户端安装软件包”选择软件包名称为“Symantec Endpoint Protection 版本(用于WIN32BIT)”,点击任务栏中的“导出客户端安装软件包”分别配置导出文件要存放的位置“导出文件夹”,以消息“针对此软件包创建单个.exe”,选择要使用的功能为刚才新创建的功能集名称,此例中为“防病毒、防间谍软件和网络威胁防护”,同时指
11、定导出软件包所属的组,点击“确定”导出完成后,在相应的目录下会邮现客户端安装文件夹目录,在服务器上共享些文件夹,或者将其拷贝至存储介质,在客户端直接安装。4.2 SEPM配置4.2.1 配置负载均衡当我们安装完第二个站点的SEPM服务器后,我们接着就可以配置负载均衡关系了。首先我们切换到“策略”配置页面,选择策略组件管理服务器列表。我们看到现在系统默认已经生成了二个Policy Manager Lists。它们分别是:“站点一的默认管理服务器列表”和“站点二的默认管理服务器列表”接下来我们可以从新定义SEP11客户端连接的服务器列表。1. 首先我们点击界面上的“添加管理服务器列表”,如下图所示
12、:2. 接着我们对新的服务器列表重新命名,输入描述,连接协议(http或者是https)3. 接下来我们需添加一个新优先级:“优先级1”,并在这个优先级设置下面添加我们想要的SEPM列表:4. 在SEPM服务器的IP地址编辑框中一般输入服务器的IP地址,但是考虑到SEM的负载均衡,我们应输入服务器的域名,当然,如果企业没有采用域的管理,我们可以只输入SEPM服务器的计算机名。如下图所示:5. 如果SEPM服务器采用了其他的端口,也可以在上述的配置窗口中重新定义。6. 如果企业有自己的DNS系统,我们在这里可以只输入一个域名。7. 同时管理员在企业的内部DNS服务器上配置域名解析,把局域网中的某
13、台SEPM服务器或者所有的SEPM服务器全部指向域名 。这样即使当其中一台SEPM服务器宕机时,也毫不影响SEP11客户端与SEPM服务哭的连接。8. 如果企业内没有DNS服务器,为了负载均衡的需要,我们在优先级1中可以配置多台服务器群,如下图所示:这样当优先级1中有任何一台SEPM服务器宕机时,SEP11依然可以连接到剩下的SEPM服务器。9. 配置完成之后的服务器列表如下图所示:10. 接下来我们把这些SEPM服务器列表的策略配置到相应的用户群组中。先选中右边的服务器列表中某一个SEPM List,点击鼠标右键的“分配”:11. 选择需要分配到的组,如下图所示:12. 负载均衡结构图4.2
14、.2 USB控制策略配置打开管理员控制台,点选policy项中的应用程序及设备控制策略进行只读策略、禁止写入策略、记录写入策略。进入编辑各策略如下图:只读策略规则集禁止写入规则记录写入策略规则分配策略到各gorup中4.3 SEP client 安装4.3.1 安装前环境测式 查看电脑现有的硬件配置环境 查看是否安装有其它产品的杀毒软件及防火墙 避免大量部署后客户端出现异常,因此需进行小范围安装测试 首先在只有几台电脑的小区域网络环境进行试安装 确定稳对此环境中没有影响时,再进行大量部署。4.3.2 手动安装Client SEP步骤1) 使用域管理员身份登入客户端。2) 卸载Client原有的
15、防护软件及防火墙程序。3) 卸载完成后重启客户端操作系统。4) 再次以域管理员身份登入客户端。5) 通过网络共享方式手动执行安装程序。6) Client 安装完成后重启操作系统。7) 启动后检查客户端工作是否正常。4.3.3 安装SEP软件截图说明1、 找到SEP软件,双击执行安装文件2、 当弹出安装对话框时,让它自行安装及可。3、 当电脑任务档中出显图标时,表示已经安装完成。程序装完后的界面如下:4、 成功安装完成后,请手动重启电脑5 Splunk 实施过程5.1 Splunk说明利用splunk的强大的搜索功能,快速找到网络设备资源,以便快速找到问题点;利用splunk强大的日志收集分析功
16、能来进行安全审计,当有违规事件发生时利用splunk来快速定位问题,使其符合PCI法规遵从的要求;利用splunk灵活的报表功能来对网络设备中的用户访问行为定制相关的报表;IT管理人员通过splunk可以实时知道网络设备的状况。5.2 安装Splunk运行Splunk安装程序如下图安装过程需等待数分钟后,才可以完成,完成如下图:登入画面如下图:Splunk的主控台中可以进行相关设定配置。画面如下图:5.3 Splunk 拓扑图5.4 报表分析 5.4.1 网络安全日志搜索分析如针对防火墙日志,在Splunk上被判定为“Host=X X X X ”以及“Sourcetype= udp:514”,
17、接下来我们看看,由Splunk为这些日志产生的报表。5.4.2 防火墙流量排名搜索语句:host=x. x. x .x |stats sum(sent) sum(rcvd) by src|sort sum(sent) sum(rcvd) desc |head 10上图是Splunk根据防火墙日志产生的流量排名,图中显示的是排在前10名的IP地址。横坐标表示的是IP地址,纵坐标表示的是每个地址的接收(Rcvd)流量的合计和发送(Sent)流量的合计。下图为具体数字信息:4.1.2、防火墙策略匹配率分析搜索语句:host |stats count(policy_id) by policy_id上图
18、是Splunk根据防火墙日志产生的策略匹配排名,图中显示的是被匹配策略的前10个策略ID。横坐标是策略ID,纵坐标是该策略被匹配的次数。下图为具体数字信息:5.4.3 分析所有CISCO设备的重启及告警等信息首先搜索所有CISCO设备的reboot日志(查找原始日志):如果有相关reboot的日志的话,原始日志就会显示在右下方,因为在联想无设备重启现象,故没有查到原始日志。再根据查到的日志做基于时间和主机的报表:搜索语句为:sourcetype=cisco* reboot | timechart count by host报表为:分析设备arp告警信息,并根据时间和主机形成报表。搜索语句为:s
19、ourcetype=cisco* alert arp | timechart count by host报表为:分析CISCO交换机的端口up及down的信息。搜索语句为:sourcetype=udp:514 %LINK | timechart count by status形成报表:5.4.4 cisco vpn设备 下图是Splunk根据ciscovpn日志产生的IP排名,图中显示的是排名前十位的数据;搜索语句:source=/tmp/ |top limit=10 outside_ip inside_ip5.4.5 SEPM服务器日志搜索分析此部分主要是用来分析SEPM中的更新,病毒码、客户端管理及策略更改、病毒感染等日志分析。
