شرکت رایان سامانه آرکا نمایندگی رسمی سیمانتک در ایران در راستای تسهیل به کارگیری کنسول مدیریتی اقدام به تولید راهنمای کنسول مدیریتی آنتی ویروس سیمانتک برای مشتریان و مدیران عزیز کرده است.
راهنمای کنسول مدیریتی آنتی ویروس سیمانتک
در اینجا به بررسی پنل مدیریتی آنتی ویروس سیمانتک می پردازیم:
پنل Home:
در این صفحه یک نمای کلی از وضعیت آنتی ویروس در سازمان و شبکه مربوطه نشان داده می شود.
Security Status:
وضعیت فعلی سیستم را نشان می دهد در حالت عادی کلمه Good به رنگ سبز می باشد.در این قسمت دو گزینه Preferences و View Details وجود دارد که گزارش اجمالی از وضعیت ماژولهای مختلف(تمامی ماژولهای مهم بعدا توضیح داده خواهد شد) و نحوه نمایش آنها را نشان می دهد و با کلیک بر روی هر کدام جزیئات بیشتری را ارائه می کند.کامپیوترهای دارای ایراد با رنگ قرمز مشخص شده و تمامی اطلاعات آنها نظیر Ip User و … نمایش داده می شود.
مثلا Scan Failures اسکن هایی که به هر دلیلی به مشکل خورده اند نشان داده می شود. مانند اسکن های متوقف شده توسط کاربر یا در حین اسکن ویندوز کرش کرده باشد
Virus Definition Failures کامپیوترهایی که لیست ویروسها را دریافت نکرده و آپدیت نشده اند
EndPoint Status:
وضعیت کلی کلاینت ها را نشان می دهد
-Total Endpoint تعداد کل کلاینت ها
-Up-to Date تعداد کامپیوترهایی که آپدیت هستند
-Oute-of Date تعدادکامپیوترهایی که هنوز آپدیت نشده اند
-Offline: تعداد کامپیوترهایی که خاموش بوده و یا در دسترس نیستند.
-Disabled: تعدا کامپیوترهایی که آنتی ویروس در آنها غیر فعال شده است البته در بعضی موارد می تواند تعدادی از ماژولها غیر فعال باشد و به اصطلاح Full Protection نباشد
-Host Integrity Failed: این ماژول چک می کند که آخرین پالیسی که بر روی کلاینت می باشد با پالیسی که از کنسول مدیریتی تنظیم شده یکسان می باشد یا خیر
Windows Definitions:
آخرین آپدیتی که از طرف وب سایت سیمانتک ارسال شده و آخرین آپدیتی که بر روی کنسول موجود می باشد.
لازم به ذکر است علت عقب بودن زمان نشان داده شده با تاریخ جاری اختلاف ساعت کشور سازنده با ایران می باشد.
مدیریتی آنتی ویروس سیمانتک
License Status:
وضعیت لایسنس نرم افزار را نشان می دهد.به طور پیش فرض 60 روز می باشدو بعد از اعمال آن اگر کلمه Good را نشان دهد یعنی تاریخ انقضا نزدیک نیست و مشکلی ندارد.
Symantec Security Responce:
میزان پالیس اعمال شده در سازمان را در چهار سطح نشان می دهد. هر چقدر میزان پالیسی سخت گیرانه تر باشد سطح آن بالاتر می رود.
Activity Summary:
خلاصای از فعالیت های انجام شده در دوره های زمانی مختلف را نشان می دهد مثلا ویروس پاک شده در زمانی خاص
Favorite Reports:
برای دسترسی به ریپورت های مورد علاقه
پنل Monitors:
همان طور که از اسم آن پیداست برای مانیتور کردن شبکه استفاده می شود که دارای چهار برگه Summary,Logs,Notifications,Command Status
مهمترین آنها برگه Logs می باشد. در این قسمت می توان نوع log را با انواع ماژولها وفیلتری خاص در زمان دلخواه تنظیم و گزارش گرفت.
مثلا تمامی Riskهای موجود در ماه گذشته را با فیلترهای موجود یا با فیلترهایی که خودمان می توانیم در همین قسمت از Advanced Settings ایجاد کرده و استفاده کنیم.
پنل Reports:
این قسمت شبیه مانتورینگ بوده با گزارش گیری کامل تر و تفاوتهایی در ماژول ها و نوع گزارش ها
ریپورت ها را با فیلترهای بیشتر می توان در پنجره ای جدید ایجاد کرده ، ذخیره و چاپ کرد.
مدیریتی آنتی ویروس سیمانتک
پنل Policies:
تمامی پالیسی های پیش فرض و خاص ساخته شده توسط سازمان مشتری در این قسمت اعمال و مدیریت می شود (مانند بستن Usb، چه اسکنی انجام دهد، اسکن ها را چه زمانی انجام دهد، اگر به ویروسی را پیدا کرد چه برخوردی با آن بکند و ..)که در ادامه مفصل به ان خواهیم پرداخت.
پنل Client:
این قسمت دارای چهار برگه بوده که عبارتند از:
Client,Policies,Details,Install Pakage
به طور کلی تمامی گروه ها و وضعیت کاربرانی که عضو آن گروه ها هستند را در این قسمت می توان در حالتهای مختلف مشاهده کرد.
همچنین پالسی های اعمال شده و پکیج های نصب شده به گروهای مختلف را نشان می دهد.
در قسمت Tasks دو گزینه مهم که در اخیار داریم
Install a client,Run a Command on Group
Install a Client:
در این قسمت می توان پکیج های مورد نیاز سازمان را تولید و به کلاینت ها نصب کرد. با زدن این گزینه در پنجره جدید دو مورد پیش رو داریم
ایجاد پکیج جدید یا پکیجی که از قبل وجود دارد با انتخاب گزینه اول در پنجره جدید سه حالت برای ایجاد پکیج داریم
Windows
Mac
Linux
علاوه بر این سه حالت انواع پکیج های دلخواه خود را می توان از منوی Admin به لیست فوق اضافه کرد.
همچنین انتخاب گروه مورد نظر یا انتخاب My Company که در اینصورت پکیج به تمامی سازمان می تواند اعمال شود.
انتخاب نوع Feature برای نصب گزینه ها عبارتند از:
Full Protection For Client
Full Protection For Server
Basic Protection For Server
این حالت برای درگیر نشدن بیش از حد منابع سرور و اختلال ایجاد نکردن برای پردازشهای پشت زمینه مناسب است.
Protection For Active Directory در این حالت بعضی از سرویس ها مانند اسکن دستی غیر فعال می شوند.
Install Setting:
سه حالت برای تنطیمات پکیج موجود می باشد.تنظیمات دلخواه را نیز می توان برای این قسمت ایجاد کرد که در بخش Basic Setings به آن خواهیم پرداخت.
Default Standard Client Instalation Settings For Windows
حالت استاندارد و پیش فرض تنظیمات
Default Embeded or VDI Client Instalation Settings For Windows
این حالت سبک تر و بهینه شده برای محیط های Virtual می باشد.
Default Dark Network Client Instalation Settings For Windows
این حالت برای محیط هایی که مستقیما نمی توانند به اینترنت وصل شوند مناسب است البته در ایران کار نمی کند.
برای نصب Remote باید سرویس Remote Registry فعال باشد.
Basic Setings:
برای ایجاد تنظیمات دلخواه می توان از این قسمت استفاده کرد که شامل دو بخش زیر است:
Basic Setings
در این قسمت نام ،توضیحات، نوع سیستم عامل، حالت نصب که دیده شود یا خیر (Silent)، پوشه نصب نرم افزار، حذف کردن آنتی ویروسهای موجود در سیستم کلاینت یا حذف کردن سیمانتک قبلی در صورتی که در حالت عادی پاک نمی شود و .. می توان تنظیم کرد.
Restart Seting
در این قسمت نوع ریستارت کردن سیستم بعد از نصب پکیج بر روی سیستم کلاینت را که بدون اجازه گرفتن باشد، با سوال کردن از کاربر ، با تاخیر یا پیامی که به کاربر می دهد چه باشد.
راهنمای کنسول مدیریتی آنتی ویروس سیمانتک
پنل Admin:
Administrator :
یوزهایی که بعنوان مدیر شبکه در نظر گرفته می شوند را می توان در این تب تعریف کرد.همچنین تمامی مشخصات و سطح دسترسی کاربران مدیر را مشاهده و ویرایش کرد.
Domains:
دامین سازمان را می توان به کنسول آنتی ویروس وصل کرده و با کاربران دامین وارد شد..
Servers:
سرور کنسول و دیتا بیس آنتی ویروس (Localhast)که می توان ویرایش یا از آن پشتیبان گرفت.
Install pakages:
پکیج های موجود در سرور را نشان می دهد و می توان پکیج های ورژنهای قبلی را نیز بصورت دستی آپلود کرد.
Licenses:
اطلاعات لایسنس را ارائه می کند زمان باقیمانده تعداد کلاینت های باقیمانده … و تغییراتی که می توان انجام داد.
نکته:
برای Add کردن لایسنس حتما باید از طریق فایل slf اقدام شود.در صورت اضافه کردن مسقیم سریال نامبر، بخاطر تحریم ها لایسنس بلافاصله بلاک خواهد شده و قابل بازیابی نخواهد بود.
چگونگی تکنولوژی محافظت سیمانتک از کامپیوترهای شبکه
سیمانتک برای محافظت از محیط شبکه از رویکرد امنیتی جامع در کل زنجیره حمله با استفاده از مراحل زیر استفاده می کند
Incursion حمله
infection عفونت
infestation and exfiltration آلودگی و بیرون زدگی
remediation and inoculation اصلاح و تلقیح
مروری بر عملکرد ماژولهای سیمانتک
سیمانتک در هر مرحله از ماژول های مختلفی برای مقابله با تهدیدات استفاده می کند که به بعضی از آنها اشاره میکنیم.
فاز اول Incursion (حمله)
Intrusion Prevention/Firewall (Network Threat Protection):
فناوری امنیتی- پیشگیری از تهدید شبکه است که جریانات ترافیک شبکه را برای شناسایی و جلوگیری از سوء استفاده از آسیب پذیری بررسی می کند.
کنترل ترافیک ورودی و خروجی شبکه ، مبدا ترافیک کجاست و از کدام پورت ها استفاده می کند ، در حال حاضر وضعیت آن پورت ها چگونه هستند، چه حجم از دیتا خارج می شود و این دیتا چیست، ترافیک از چه حدی بگذرد شناسایی خواهد کرد مانند حملات Dos,Dedos محدود کردن کاربران برای ریموت زدن و …
Application Control:
و یا برای Applicationهایی که می خواهند به I/O ها دسترسی داشته باشند شرط تعیین کرد.
برای کنترل برنامه ها و نرم افزارها روی سیستم نصب هستند و در کامپیوتر یا شبکه کار می کنند
برای مثال اگر نیاز باشد برنامه ای اجرا نشود یا با محدودیت کار کند.
راهنمای کنسول مدیریتی آنتی ویروس سیمانتک
Device Control:
در کنسول مدیریتی سیمانتک می توان به مدیریت سخت افزارها و تمامی تجهیزات و لوازم جانبی که به سیستم یا شیکه وصل می شوند را می توان بر اساس شناسه آن ها کنترل کرد.
مثلا می توان بعضی USB ها را مستثنی کرد
Device Id:
هر دستگاه جانبی برای خود یک شناسه منحصر به فرد دارد.
Glass Id:
شناسه تمامی تجهیزات تا چند رقم ابتدایی می تواند یکسان باشد، بر اساس Glass Id می توان تجهیزات برندهای مختلف را کنترل کرد.
Id تجهیزات را علاوه بر Device Manager سیستم با استفاده از برنامه DevViewer.exe سیمانتک نیز می توان بازیابی کرد.
روش کار با یک مثال به ترتیب زیر است:
استثنا کردن Color Turn
برای این کار ابتدا Id اختصاصی دیوایس را از طریق Device Manager یا Dewviewer.exe سیمانتک بدست می آوریم.
آدرس Dewviewer.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\14.2.1031.0100.105\Bin
برنامه را اجرا کرده و طبق شکل زیر فلش درایو مورد نظر را انتخاب کنید.
سپس در محیط کنسول از برگه Policies وارد مسیر زیر شوید.
Policy Component…>Hardware Devices…>Rightclick…>Add
در پنجره باز شده نام و DeviceId را وارد کنید
DeviceId
از دو قسمت زیر تشکیل شده است
VID:
این کد برای انواع فلش های برند مورد نظر مشترک می باشد.
PID :
Id اختصاصی فلش درایو مورد نظر
می توان فقط VID را اعمال کرد و برای انواع فلش های برند ColorTurn استثنا تعریف کرد.(قرار دادن * بجای PID)
Memory Exploit Mitigation:
برای کاهش یک سری عملیات مخرب مانند ویروسهایی که در Boot Sectore می افتد.
راهنمای کنسول مدیریتی آنتی ویروس سیمانتک
فاز دوم Infection (بعد از آلودگی):
File reputation analysis:
بر اساس هوش مصنوعی که Semantec از شبکه اطلاعاتی جهانی برای تجزیه و تحلیل پیشرفته میلیارد ها پیوند همبسته از کاربران ، وب سایتها و پرونده ها برای شناسایی و دفاع در برابر بدافزار سریع جهش یافته استفاده می کند.
Symantec میتواند با تجزیه و تحلیل ویژگی های کلیدی (مانند مبداء بارگیری یک فایل) با دقت تشخیص دهد که آیا یک پرونده خوب یا بد است سپس برای تشخیص هویت آن فایل یک signature اختصاص می دهد ، که همه این کارها قبل از رسیدن فایل به سیستم کلاینت می باشد.
Advanced machine learning:
این ماژول تریلیون ها نمونه از پرونده های خوب و بد را تجزیه و تحلیل می کند
پرونده هایی که در شبکه اطلاعاتی جهانی موجود می باشد.
یادگیری پیشرفته ماشین یک فناوری بدون امضا می باشد و نسبت به رفتار فایل ها یاد می گیرد که انواع جدید بدافزارها را در پیش از اجرا مسدود کند یا نه.
Antivirus file protection:
برای یافتن بدافزارهای مخرب از آنتی ویروس مبتنی بر امضا استفاده می کند و از پرونده های اداری سیستم در برابر ویروس ها ، کرم ها ، تروجان ها ، نرم افزارهای جاسوسی ، رباتها ، تبلیغات و rootkits محافظت می کند.
این ماژول آپدیت بیشتری نسبت به دیگر ماژولها می گیرد.
Behavioral monitoring (Sonar):
این ماژول اهرم ماژول یادگیری ماشین برای ارائه حفاظت روز صفر می باشد.
متوقف کردن تهدیدات جدید و ناشناخته با نظارت بر نزدیک به 1400 رفتار پرونده در حالی که آنها برای تعیین خطر پرونده در زمان واقعی اجرا می شوند.
فاز سوم Infestation and Exfiltration (آلودگی و بعد از شناسایی):
در این فاز نیز ماژولهای مربوط به فایروال و نظارت بر رفتار فایل ها فعال می شوند.
Intrusion Prevention/Firewall
Behavioral monitoring
فاز چهارم Remediation and Inoculation (اصلاح):
Power Eraser:
ابزاری بسار قوی برای پاک کردن و رسیدن به آدرس تهدیدات مداوم و بد افزارهای سرسخت می باشد.
Host Integrity:
پالیسی های روی کلاینت و کنسول را چک کرده و هماهنگ می کند.اگر نگرفته باشند اعمال می کند.
System Lockdown:
به برنامه های لیست سفید اجازه اجرا می دهد و برنامه های لیست سیاه را بلاک می کند، این ماژول در هر دو حالت از طریق چک کردن و مکان فایل ها برنامه ها را تایید می کند.
System LockDown برای سیستم های که با یک برنامه کار می کنند مناسب است
Secure Web Gateway Integration:
برای مانیتور کردن نرم افزارهایی که با بیرون از سازمان ارتباط دارند مانند مرورگرها
Upgrate to New Release:
اولین کاری که برای ارتقا کنسول به ورژنهای جدید انجام داد باید از کنسول فعلی پشتیبان گرفت.
نرم افزار Database Backup & Restore همراه با کنسول نصب می شود، که از طریق جست و جو منوی Start قابل دسترس می باشد.
نرم افزار دارای سه گزینه می باشد:
Backup
Restore
Test
راهنمای کنسول مدیریتی آنتی ویروس سیمانتک
نکته مهم: قبل از شروع و نصب کنسول جدید باید سرویس کنسول آنتی ویروس فعلی متوقف شود در غیر اینصورت احتمال خراب شدن و از دست رفتن آنتی ویروس وجود دارد.
در صورت داشتن کنسول های شعبه در سازمان سرویس آنها نیز باید غیر فعال شود.
آنتی ویروس در حالت پیش فرض هنگام نصب یک Backup می گیرد که در مسیر نصب خود ذخیره می کند.
گزینه Backup را انتخاب کنید (حدود 2 ساعت نسبت به بزرگی سازمان طول خواهد کشید) و فایل ساخته شده جدید را همراه با فایل Server Privet Key Backup کپی کرده و در محلی امن خارج از کنسول ذخیره کنید.
کنسول جدید سیمانتک را از اینترنت دریافت کرده و نصب کنید سپس فایل Backup را Restor کنید.
سرویس کنسول را فعال کنید.
آپگریت کلاینت ها:
پس از آپدیت کنسول برا ی آپدیت کلاینتها باید یک Task از منوی Client تولید شودکه روال کار شبیه نصب پکیج می باشد.
به این ترتیب Client…>InstallPakages…>New Pakages از منوی کشویی پکیج های که اخیرا اضافه شده و می خواهید به آن به روزرسانی کنید را انتخاب کنید.
در ادامه پیامی مبنی بر اینکه کلاینت ها دارای اند پوینت می باشند آیا می خواهید به روزرسانی شوند با تائید این گزینه کلاینت ها به روزرسانی می شوند.
فایل Sylink:
تمامی ارتباط کنسول مدیریتی و کلاینت ها از طریق این فایل تنظیم می شود.(حاوی تمامی تنظیمات ارتباطی کلاینت ها از قبیل آدرس سرور، بازه زمانی آپدیت شدن پالیسی ها و..)
همچنین با استفاده از این فایل می توان کلاینت هایUnmanage (کلاینت هایی که مستقل از کنسول بوده و آپدیت خود را از وب سایت سیمانتک دریافت می کنند) سازمان را به حالت Manage تبدیل کرد.
برای تبدیل کلاینت های Unmanage به Manage فایل Sylink را در سمت کلاینت Help…>Troubelshooting گزینه Import را انتخاب کنید.تمامی تنظیمات کنسول سازمان در کلاینت اعمال می شود.
Troubelshooting از سمت کلاینت:
در سمت کلاینت روی گزینه Help…> Troubelshooting کلیک کنید
در صورت Manage بودن اطلاعات کلاینت قابل مشاهده است.
از قبیل نام سرور، گروه، آخرین اتصال، آخرین پالیس اعمال شده با زمان آن
Profile Policies:
Update:
برای دریافت آخرین بروزرسانی پالیسی ها زمانی که به ریموت به سرور دسترسی نیست مناسب است.
Import:
برای وارد کردن پالیسی ها
Export:
برای صادر کردن پالیسی ها
دو گزینه بالا برای زمانی مناسب است که با وجود اعمال درست پالیسی ها در سمت سرور بعضی از کلاینت ها درست کار می کنند و بعضی نه .
برای این کار از کلاینتی که به خوبی کار می کند یک Export گرفته و در کلاینتی که پالیسی ها کار نمی کنند Import کرد.
تولید فایل Sylink در سرور نیز قابل انجام می باشد، بر روی گروه مورد نظر کلیک راست کرده و گزینه Export Communication Settings را بزنید.
ورژن و آپدیت تمامی کامپوننت ها و ماژوال ها را نشان می دهد
اطلاعاتی در مورد ویندوز از قبیل User، دامین، گروه ها، دسترسی
اطلاعات کامپیوتر و مشخصات آن
وضعیت اتصال کلاینت با سرور را نشان می دهد در صورت داشتن ایراد آن را نشان می دهد.
آخرین اتصال موفق و آخرین تلاش برای متصل شدن به سرور قابل مشاهده است. اختلاف این زمان ها نشان دهنده مدیت زمان متصل نبودن کلاینت به سرور می باشد.
نحوه ارتباط کلاینت با سرور برای دریافت پالسی ها:
Push Mode:
کللاینت یک اتصال ثابت https با سرور برقرار می کند و هر تغییری روی دهد بلافاصله کلاینت متوجه می شود.(دارای ترافیک سنگین)
Pull Mode:
اتصال بین کلاینت و سرور بصورت دوره ای و بر اساس زمانبندی که تنظیم می شود صورت می گیرد.(حالت پیش فرض 30 دقیقه)
نکته: دوره ها یزمانی برای شبکه های با تداد کلاینت بالای 1000، سیمتنک بیشترین زمان ممکن را پیشنهاد می دهد.
برای تنظیم آن:
Client…>Policies…>Communication…>Downlod…>Heartbeat Inteval
تنظیم دوره های زمانی دریافت آپدیت ها از سرور:
Client…>Policies…>Communication…>Download…>Heartbeat Inteval…>Downlod Randomization
برای یافتن علل وقوع خطاها و مشکلات ارتباطی کلاینت ها
View Logs…>Client Management…>View Logs…>System Logs
فهرستی از تمامی پیام های خطا همراه با جزئیات آنها را می دهد.
بازیابی ارتباط از بین رفته کلاینت و سرور از طریق پکیج جدید:
در صورتی که تعداد کلاینتها زیاد باشد و Import کردن حضوری امکان نداشته باشد، می توان از روش زیر استفاده کرد.
Client…>Install Client …>Select Deploy Type ..>Communecation Update Pakage Deployment..>Create Sep Run on Windows
Next
Select Comunication Update Option
Selecte Group
Computer Mode
Password
آخرین پسورد ادمین که برای محیط کلاینت اعمال شده بود را وارد کنید
سپس در آخرین بخش computer Selection کامپیوترهایی که می خواهیم ارتباط آنها بروزرسانی شوند انتخاب می کنیم.
راهنمای کنسول مدیریتی آنتی ویروس سیمانتک
نحوه بروزرسانی کنسول و کلاینت ها:
خود سرور را به دو طریق می توان به روز کرد:
Online
Offline:
زمانی که سازمان مربوطه ترجیح نمی دهد کنسول آنتی ویروس را مستقیما به اینترنت وصل کند.
بروز رسانی کلاینت ها نیز می تواند از طریق کنسول یا Update Server انجام گیرد.
برای تنطیم تنظیم این :
حالت پیش فرض
Polices…>Live Update…>LiveUpdate Settings Polices …>کلیک راست…>Edit…>Server Settings
Use the Defult Management Servar
حالت بعدی :
Use Group Update Provider
و اعمال تنظیمات آن از قبیل چند سرور یا تکی، Roming Server و اعمال Ip