Symantec EndPoint Protection 11.

Instalacin, configuracin y administracin de Symantec EndPoint Protection,

En este documento se describe cual es el ltimo producto a fecha de Enero '08 de
Symantec sobre un antivirus corporativo. Es el sustituto de la versin 10.2, suponiendo
que es la versin de Symantec Corporate Edition 11. Aqu veremos cmo se instala el
componente de servidor, cmo desplegaremos los antivirus en los clientes, cmo los
configuraremos con directivas y cmo haremos copias de seguridad de todo el estado
del servidor de AV.

Instalacin del servidor antivirus Symantec Endpoint - I

Configuracin y uso del Symantec Endpoint Protection Manager - I
Uso del Asistente para la migracin y distribucin del cliente Antivirus - I
Copia de seguridad de la Base de datos y su restauracin - I

Instalacin del servidor antivirus Symantec Endpoint,

Se detalla la instalacin de un nico servidor Endpoint en la organizacin.

Si metemos el CD de Symantec Endpoint Protection, debemos seleccionar "Install

Symantec Endpoint Protection" para instalar el cliente de Antivirus de forma manual. O
directamente para lo que nos interesa, para instalar el servidor de anti virus. Antes
tenemos que instalar sus prerequisitos: IIS.

Seleccionamos la primera opcin, "Install Symantec Endpoint Protection Manager" para

instalar el servidor y la consola de administracin,

os sale un asistente de instalacin para el Symantec Endpoint Protection Manager,

pulsamos en "ext",

Aceptamos el acuerto de licencia & "ext",

Seleccionamos el directorio de instalacin del servidor de Antivirus, el path por defecto

es: "C:\Archivos de programa\Symantec\Symantec Endpoint Protection Manager\" &
"ext",

os pregunta qu sitio web de IIS usar, si el sitio predeterminado que tengamos o si

crear un sitio para tal efecto. Si tenemos una web ya alojada y queremos seguir
mantenindola habr que crear un sitio en IIS para Endpoint. Lo recomendado es
marcar "Use the default Web site", continuamos "ext",

Preparados para instalar ya el servidor de AV, "Install",

... esperamos mientras instala...

Instalacin simple, ahora pulsamos "Finish" para comenzar un asistente de

configuracin del servidor.

Bien, si es el primero servidor de nuestra red, seleccionaremos "Install my first site"

para instalar el primer servidor. Si ya tenemos un servidor en la red, podemos instalar
un segundo servidor de Antivirus en la red para que se hagan un balanceo de las
peticiones entre ambos desde "Install a management server to an exisiting site".
Marcamos la primera opcin y "ext",

Ponemos el nombre del servidor que queremos instalarle los componentes de servidor,
en mi caso estoy haciendo la instalacin en local, seleccionamos el puerto, por defecto
ser el 8443tcp y el path de instalacin para los datos. "ext",

Indicamos el nombre del sitio para la organizacin del AV, algo descriptivo para cuando
lo veamos sepamos de qu se trata. "ext",

ecesitamos crear una contrasea para cuando necesitemos recuperar datos o para
que la conexin entre el servidor y los clientes vaya cifrada, "ext",

ecesitamos almacenar los datos en una base de datos, tenemos dos posibilidades: La
primera, si nuestra organizacin es pequea podemos usar una base de datos que trae
Endpoint "Embedded database" y nos la instalar el asistente. O podemos usar un
servidor SQL que tengamos en la red para almacenarla en l, es la opcin ms fiable si
podemos disponer de uno, marcando "Microsoft SQL Server". En este caso optare por
la primera opcin, "ext",

%enemos que indicar una contrasea para el usuario 'admin' para poder conectarnos a
la consola de administracin. "ext",

... esperamos mientras se crea la base de datos...

Bien, ya nos confirma que se ha configurado perfectamente el servidor de

administracin. Ahora nos pregunta si queremos ejecutar el asistente de migracin y
distribucin ahora, yo dir que "o" ya que primero prefiero configurar bien el
servidor, migrar y distribuir ms tarde. "Finish".

onfiguracin y uso del Symantec Endpoint Protection Manager,

En esta parte se explica cmo configurar y usar la consola de administracin del
antivirus corporativo de Symantec, as cmo la configuracin mediante directivas y
visualizacin de informes.

Bien, lo primero de todo es abrir la consola de administracin del Symantec Endpoint

Protection Manager con su consola: "Symantec Endpoint Protection Manager Console",
nos pedir un usuario, ser 'admin' con la contrasea que le hayamos establecido
durante la instalacin. os conectaremos al servidor AV mediante el puerto 8443
pulsando en "Log On".

Este es el aspecto principal de la consola desde la pestaa "Home", desde aqu

veremos el estado de varios aspectos, cmo nuestras infecciones en puestos y la tarea
que se ha realizado en ellos, los riesgos que hemos tenido, si tenemos equipos sin
antivirus o con problemas...

Lo primero que hay que hacer es crear un grupo para organizar nuestros puestos,
desde la pestaa "Clients" pulsamos en "Add Group..."

Indicamos un nombre para el grupo donde meteremos los puestos de mi organizacin

para posteriormente aplicarles unas directivas/polticas de antivirus, antispyware,
firewall... "OK"

Si vamos a "Clients" y a nuestro grupo en "Install Packages" podemos agregar un tipo

de instalacin para nuestros clientes, botn derecho y "Add..."

Aqu podemos seleccionar el paquete que les vamos a instalar, y qu caractersticas

instalaremos de l, si instalacin completa...

a parte podemos notificarles la instalacin con un mensaje a los usuarios, desde

"otify",

En la pestaa "Admin" del panel izquierdo, en "Administrators" tenemos los que son los
administradores de la consola del Endpoint, podemos crear algn administrador ms
para dar a otras personas de nuestra organizacin para que nos ayuden a gestionar la
herramienta.

En la pestaa "Admin" en el panel de "Domains", tenemos los dominios para los que
est configurado este Endpoint.

Seguimos en la pestaa "Admin" en la parte de "Servers" es donde veremos los

servidores de nuestro sitio u organizacin, donde podremos configurar opciones del
sitio o agregar otro servidor de replicacin para repartirse la carga.

En "Admin" > "Install Packages" > "Client Install Packages" es donde veremos todos
los paquetes que podemos distribuir a nuestros clientes, actualmente tengo dos que
son los que vienen por defecto, pero podemos agregar paquetes nuevos o
directamente actualizados aqu para posteriormente distribuirlos.

En "Admin" > "Install Packages" > "Client Install Settings" es donde configuraremos
varias opciones a los clientes del antivirus, tenemos una configuracin predeterminada
llamada "Default Client Installation Settings", pero yo crear una nueva para ver todas
las opciones y seleccionar las que ms me interesen para mi organizacin desde "Add
Client Install Settings..."

Le indicamos un nombre y posteriormente se la aplicaremos al grupo BUJARRA.

Seleccionamos el tipo de instalacin, para que los usuarios no se percaten ser una
instalacin silenciosa. Podemos marcar que se reinicie el puesto una vez finalizada la
instalacin. Podemos seleccionar el directorio de instalacin, lo dejar en el
predeterminado. Si queremos habilitar el LOG de instalacin y si eso en qu fichero, y
sobre todo si nos interesa crear accesos directos del programa en el men inicio. "OK".

En "Admin" > "Install packages" tenemos "Client Install Feature Sets" que es qu
cosas se instalarn en los PC's clientes cuando distribuyamos el cliente del antivirus,
en mi caso crear un tipo nuevo desde "Add Client Install Feature Set..."

Desde aqu seleccionar el tipo de instalacin para mis clientes, le indicamos un

nombre y posteriormente se lo aplicaremos a nuestro grupo creado anteriormente, en
mi caso llamado BUJARRA. Indicamos qu queremos que tenga, en mi caso "Antivirus
and Antispyware Protection", "Antivirus Email Protection" y slo del cliente que usamos
que es "Microsoft Outlook Scanner", como no usamos los dems clientes de correo no
los instalar. Adems marco el "Proactive %hreat Protection" > "Proactive %hreat Scan"
o tambin llamado Anlisis proactivo de amenazas, lo que hace es mostrar
puntuaciones en base a comportamientos buenos y malos de las aplicaciones
'desconocidas', vamos que es capaz de analizar el slo la conducta de las aplicaciones
y las comunicaciones para de detectar y bloquear los ataques antes de que ocurran sin
necesidad de emplear ficheros de firmas. Pero no marcar "etwork %hreat Protection"
por que principalmente no me interesa en mi caso, similar a lo anterior pero para
recursos de red, navegadores, buscando amenazas en la red, un nivel ms de
proteccin, "OK".

Bien, ahora veremos una parte bastante interesante que trae, que es la configuracin
mediante polticas, podremos crear tantas queramos y del tipo que nos interese,
despus las aplicaremos a los grupos de equipos que nos interese, yo voy a crear una
de cada tipo para ver todas sus posibilitades y despus las asginar a mi grupo
BUJARRA. As que primero nos vamos a "Policies" > "Antivirus and Spyware" y
creamos una nueva en "Add and Antivirus and Antispyware Policy..."

%enemos varios apartados que configurar, en el primero "Overview" indicaremos el

nombre y descripcin de la directiva y si queremos habilitarla o no, y a qu grupo la
asignaremos, as que podemos indicar ya nuestro grupo a Global (todos) o a ninguno.

En "Administrator-defined Scans" podemos programar escaneos programados en los

puestos a quien se le aplique est poltica.

En "File System Auto-Protect" es el analisis en tiempo real de los ficheros, si queremos

que est habilitado en todo momento, podemos bloquearlo con el candado, configurar
qu tipo de ficheros se analizarn y cuales se excluirn.

En "Internet Email Auto-Protect" habilitaremos el escaneos del correo electrnico

genrico, indicando si est habilitado o no y que tipo de ficheros.

En "Microsoft Outlook Auto-Protect" habilitaremos a quien tenga este componente

instalado si queremos forzarle a usarlo, desde aqu configuraremos las opciones de su
escaneo, si est habilitado o no, si analiza todos los ficheros, incluso los comprimidos y
hasta qu nivel...

En "Lotus otes Auto-Protect" idem que el anterior pero para otro cliente de correo
electrnico y para configurar este o el anterior que quede claro que el componente
debe de estar instalado, si no esto no sirve.

En "Proactive %hreat Scan" si hemos instalado este componente en los clientes si

queremos habilitarlo para la bsqueda de gusanos/troyanos en los equipos, as como
keyloggers y dems.

En "Quarantine" es donde configuraremos cuando se detecte un virus que haremos con

l, si llevarlo a la carpeta local de quarentena del usuario o qu hacer, arriba tenemos
las posibilidades.

En "Submissions" es donde habilitaremos o no que se mande informacin de lo que

suceda en los puestos al servidor.

En "Miscellaneous" tenemos configuraciones varias sobre el Centro de seguridad de

Windows y su integracin para que de notificaciones o no, entre otras opciones, as
como habilitar los logs o notificaciones. Damos a "OK" para guardarla.

Ahora nos preguntar si nos interesa asignar la politica que acabamos de crear, si no
la asignamos a ningn grupo lo podremos hacer despus, pero si no, no se nos
aplicarn los cambios que aqu hemos configurado a nadie, en mi caso dir "S".

Bien, a la hora de asignar una poltica, tenemos que indicar a qu grupo la

asignaremos, as que seleccionamos uno, marcamos el check de su lado y "Assign".

%enemos ms directivas, en este caso las de tipo "Firewall", creamos una nueva desde
"Add a Firewall Policy",

Le indicamos un nombre en "Policy ame" y una descripcin. Por supuesto la

habilitamos marcando "Enable this policy",

En la parte "Rules" es donde podemos crear reglas para el firewall que queramos
configurarles. Primero veremos si estn o no habilitadas, despus su nombre, la
severidad, la aplicacin si es que le afectara a alguna en concreto. O lo mismo para el
Host, podemos configurarla para que sea en un rango de timpo, as cmo los
servicios/puertos que nos interesa aplicar a la regla, si queremos prohibir que nos
entren con cierto puerto en el PC, a qu adaptador se le aplicara, si queremos
habilitarlo con el salvapantallas, si la regla lo que hace es bloquear o permitir y por
supuesto si queremos logear.

En "Smart %raffic Filtering" podemos habilitar trfico habitual en una red cmo es el de
consultas DS ("Enable SmartDS") / WIS("Enable Smart WIS"), o trfico
DHCP("Enable Smart DHCP").

En la pestaa de "%raffic and Stealth Settings" podemos configurar otras opciones del
filtrado del trfico, cmo habilitar el trafico de etBIOS, o el DS inverso, antiMAC
spoofing... Damos a "OK" para guardarla.

"S" para asignarla ya a un grupo de servidores existente.

Marcamos el grupo al que le queremos aplicar la politica del FW y "Assign",

Creamos una poltica de prevencin de intrusiones desde "Intrusion Prevention" > "Add
an Intrusion Prevention Policy..."

En "Overview" le indicamos un nombre & descripcin, la habilitamos,

En "Settings" es donde habilitaremos que detecte y bloque automticamente los

ataques en la red ("Enable Intrusion Prevention"). As cmo ataques DoS ("Enable
denial of service detection") o escaneos de puertos ("Enable port scan detection").
Podremos excluir si nos interesan ciertos equipos para que no se le aplique est
directiva. E incluso si nos interesa podemos bloquear la IP desde la que se nos est
realizando el ataque, marcando "Automatically block an attacker's IP address" e
indicando la cantidad de segundos que le queremos bloquear.

En "Exceptions" podemos personalizar alguna que nosotros pensamos que no deba ser,
desde "Add...", grabamos la directiva desde "OK".

Aplicamos la politica si nos interesa ya, desde "S"

Marcamos el grupo de equipos a quienes le queremos aplicar esta directiva de

prevencin de intrusiones (IPS) y "Asign",

%ambin con polticas podemos controlar el uso de aplicaciones y dispositivos, desde

"Application and Device Control" > "Add an Application and Device Control Policy..."

Igual que en las anteriores indicamos el nombre de la poltica...

Bien aqu ("Application Control") podremos bloquear las aplicaciones que nos
interesen, o directamente editar algunas existente, cmo bloquear y que todas las
unidades externas sean slo de lectura, o que no se ejecuta software de unidades
externas... o podemos agregar nosotros una aplicacin e indicar el tipo que queramos
que sea, si slo de pruebas (%est) o directamente para produccin, adems de generar
un LOG.

En "Device Control" podemos personalizar diferentes dispositivos hardware para

crearles algunas reglas, cmo prohibir directamente los dispositivos USB... "OK" para
guardarla.

Asiganmos la directiva, "S"

Indicamos el grupo donde tenemos que aplicar la directiva... y "Asign",

Ms, podemos configurar una poltica para personalizar las actualizaciones del Live
Update, pulsando en "LiveUpdate" y creando una nueva directiva en "Add a LiveUpdate
Settings Policy..."

Igual que todas las anteriores, indicamos un nombre, descripcin y la habilitamos,

En "Server Settings" podemos configurar aqu quien es el servidor de LiveUpdate, si es

que tenemos uno en la red nuestra o nuestro poveedor nos indica cual usar.

En "Schedule" es donde programaremos el horario con el que queremos que se

actualicen los puestos a quien se le aplique est directiva.

En "Advanced Settings" podemos personalizar si queremos que los usuarios se

actualicen independientemente del servidor sus actualizaciones de firmas en los
puestos. "OK"

Aplicamos la poltica de actualizaciones de LiveUpdate... "S",

Indicamos el grupo de equipos que nos interesa que se le aplique y "Assign",

el ltimo tipo de directivas que podemos configurar es el de las excepciones, desde

"Centralized Exceptions" en "Add a Centralized Exception". Desde aqu podremos
habilitar diferentes excepciones a directorios o archivos.

Igual que todas las anteriores, indicamos un nombre, una descripcin y habilitamos la
poltica para poder usarla.

En "Centralized Exceptions" podremos agregar diferentes tipos de archivos o

directorios para que se excluyan de ser inspeccionados por el Antivirus, as cmo
indicar variables de ficheros o directorios.

En "Client Restrictions" podemos personalizar si queremos que los usuarios puedan

agregarse sus propias exclusiones y de ser as cuales podran excluirse. "OK" para
guardarla.

Indicamos que "S" para asignar la directiva.

Asignamos la poltica de exclusiones al grupo que nos interese, en mi caso "BUJARRA"

& "Assign"

Hasta aqu finalizada la explicacin del uso de la consola del Symantec Endpoint.

&so del sistente para la migracin y distribucin del cliente ntivirus,

En esta parte veremos cmo migrar nuestros clientes de antivirus de una versin
antigua a est, o directamente la distribucin del cliente del antivirus en equipos de
nuestra red.

Para todo esto, existe el "Migration and Deployment Wizard", lo abrimos,

os salta un asistente indicndonos de las posibilidades de este, lo comentado

anteriormente o migrar las versiones de los clientes o instalaciones nuevas en ellos.
"ext",

Seleccionamos lo que nos interesa, si distribuir el cliente antivirus en nuestra red

"Deploy the client" mediante una instalacin limpia y nueva. O migrar versiones
antiguas desde "Migrate from a previous version of Symantec Antivirus". "ext",

Si queremos migrarlos a un grupo nuevo en concreto. o marco que los instale

mediante un cliente ya existente de un grupo ("Select and existing client install
package to deploy") ya que en BUJARRA hemos creado un paquete de AV antes y lo
hemos configurado. "Finish",

Seleccionamos nuestro cliente AV a instalar, el paquete AV y la cantidad mxima de

instalaciones simultneas, "Siguiente",

Examina nuestro dominio y nos muestra todos los equipos en l, pulsamdo en "Add >"
para los que nos interese instalar el cliente AV & "Finalizar",

... esperamos mientras copia e instala...

Bien, pulsamos en "Close", ya estn instalados.

Podemos ver un LOG de instalacin si nos interesa de la instalacin.

De todas formas tenemos otra manera de poder distribuir los clientes de antivirus en
nuestra organizacin, desde la consola, si vamos a "Clients" > "Find Unmanaged
Computers" nos buscar los equipos en un rango IP que no tengan el cliente del AV
instalado.

Seleccionamos un rango IP para que busque equipos en l sin el cliente del antivirus e
introducimos un usuario con permisos de instalarlo en ellos, pulsamos en "Search
ow" para buscar equipos...

... esperamos mientra busca dispositivos sin el AV...

os mostrar un listado de los equipos sin el cliente del antivirus, ahora podemos
seleccionar el paquete que le instalaremos, las configuraciones de instalacin y las
caractersticas que hayamos configurado antes, as cmo a qu grupo meterles para
que se les apliquen las polticas, pulsamos en "Start Installation" para instalo en los
seleccionados.

ahora no queda ms que esperar a que se instale el cliente del antivirus en los
equipos sin l.

opia de seguridad de la Base de datos y su restauracin,

finalmente veremos cmo podemos hacer backups de la base de datos de Symantec
Endpoint por si en algn momento dado se nos corrompe la base de datos o
directamente se cae el servidor.

Para esto, tenemos una consola llamada: "Database Back Up and Restore",

Si habrimos est herramienta, ya en est men veremos directamente las operaciones

que podemos hacer, hagamos una copia de seguridad, pulsamos en "Back Up".

Estamos seguros que vamos a hacer una copia: "S",

... esperamos mientras exporta los datos...

"OK", nos confirma que la BD ya est copiada.

Con esto hemos visto las principales novedades de este antivirus totalmente nuevo
que trae Symantec, cmo instalar el servidor, configurarlo, realizar copias de
seguridad, actualizarlo, tenerlo bien administrado y cmo mantener nuestros puestos
de la organizacin con el cliente del antivirus.
www.bujarra.com - Hctor Herrero - nheobug@bujarra.com - v 1.0