Podręcznik wprowadzający programu Symantec Network Access Control 12.1.5

Podręcznik wprowadzający programu Symantec Network Access Control 12.1.5 Dotyczy programów Symantec Network Access Control i Symantec Network Access Control Starter Edition

Podręcznik wprowadzający programu Symantec Network Access Control Wersja produktu: 12.1.5 Wersja dokumentacji: 1 Ostatnia aktualizacja tego dokumentu: październik 08, 2014 Informacje prawne Copyright 2014 Symantec Corporation. Wszystkie prawa zastrzeżone. Nazwy Symantec, LiveUpdate i TruScan oraz logo Symantec i logo znacznika wyboru to znaki towarowe lub zastrzeżone znaki towarowe firmy Symantec Corporation lub jej oddziałów, zarejestrowane w USA i innych krajach. Inne nazwy mogą być znakami towarowymi odpowiednich właścicieli. Produkt opisywany w niniejszym dokumencie jest dystrybuowany zgodnie z licencjami ograniczającymi jego użycie, kopiowanie, dystrybucję i dekompilację/odtwarzanie kodu źródłowego. Żadna część tego dokumentu nie może być powielana w jakiejkolwiek formie i w jakikolwiek sposób bez uprzedniej pisemnej zgody Symantec Corporation i jego licencjodawców, jeśli tacy istnieją. TA DOKUMENTACJA JEST DOSTARCZANA W STANIE W JAKIM JEST I WSZELKIE JAWNE LUB DOROZUMIANE WARUNKI, ZOBOWIĄZANIA I GWARANCJE, WŁĄCZNIE Z DOROZUMIANYMI GWARANCJAMI PRZYDATNOŚCI HANDLOWEJ, PRZYDATNOŚCI DO JAKIEGOKOLWIEK OKREŚLONEGO CELU I GWARANCJAMI NIENARUSZANIA PRAW WŁASNOŚCI INTELEKTUALNEJ SĄ WYKLUCZONE W STOPNIU DOPUSZCZALNYM PRZEZ OBOWIĄZUJĄCE PRAWO. W ŻADNYM WYPADKU FIRMA SYMANTEC CORPORATION NIE PONOSI ODPOWIEDZIALNOŚCI ZA JAKIEKOLWIEK SZKODY UBOCZNE LUB WTÓRNE ZWIĄZANE Z DOSTARCZENIEM LUB WYKORZYSTANIEM NINIEJSZEJ DOKUMENTACJI. INFORMACJE ZAWARTE W NINIEJSZEJ DOKUMENTACJI MOGĄ ZOSTAĆ ZMIENIONE BEZ UPRZEDZENIA. Licencjonowane oprogramowanie i dokumentacja są uznawane za komercyjne oprogramowanie komputerowe zgodnie z przepisami FAR 12.212 i podlegają prawom ograniczonym, zgodnie z FAR, sekcja 52.227-19 Commercial Computer Software Restricted Rights i DFARS 227.7202 Rights in Commercial Computer Software or Commercial Computer Software Documentation, oraz wszelkim późniejszym przepisom. Jakiekolwiek wykorzystywanie, modyfikowanie, dystrybuowanie kopii, prezentowanie, wyświetlanie lub ujawnianie oprogramowania i dokumentacji objętych licencją przez rząd USA musi się odbywać zgodnie z postanowieniami niniejszej umowy. Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.pl

Wprowadzenie do programu Symantec Network Access Control Ten dokument obejmuje następujące zagadnienia: Co to jest Symantec Network Access Control? Co nowego w programie Symantec Network Access Control 12.1.5 Wymagania systemowe programu Symantec Network Access Control Typy egzekwowania w programie Symantec Network Access Control informacje Składniki programu Symantec Network Access Control Instalowanie programu Symantec Network Access Control Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy Instalowanie programu Symantec Endpoint Protection Manager Aktywowanie lub importowanie licencji produktu Symantec Network Access Control 12.1.x Instalowanie klientów za pomocą łącza internetowego i wiadomości e-mail Instalowanie klientów przy użyciu funkcji Zapisz pakiet Instalowanie klientów za pomocą funkcji zdalnego wypychania Instalowanie urządzenia Enforcer

Co to jest Symantec Network Access Control? 4 Wskaźniki i elementy sterujące urządzenia Enforcer Instalacja urządzenia Enforcer Logowanie się do urządzenia Enforcer Konfiguracja urządzenia Enforcer Dodatkowe źródła informacji Co to jest Symantec Network Access Control? Program Symantec Network Access Control zapewnia zgodność komputerów klienckich firmy z zasadami zabezpieczeń firmy przed zezwoleniem komputerom na dostęp do chronionej sieci. Gdy środki egzekwowania nie są stosowane, dane organizacji są narażone na utratę w wyniku celowego działania lub przypadku. Przywracanie danych może skutkować przestojem i stratami finansowymi związanymi z utratą wydajności. Aby uniknąć tych strat, program Symantec Network Access Control kontroluje dostęp lokalny i zdalny do zasobów w zabezpieczonej sieci. Program Symantec Network Access Control to kompleksowe rozwiązanie umożliwiające kontrolę dostępu do sieci. Program Symantec Network Access Control stosuje zasadę integralności hosta i opcjonalnie moduł Symantec Enforcer w celu wykrywania i oceniania zgodności komputerów. Niezgodne klienty są kierowane do serwera kwarantanny w celu naprawy. Serwer naprawczy umożliwia pobranie plików wymaganego oprogramowania, poprawek, aktualizacji definicji wirusów itd. w celu zapewnienia zgodności komputera. Ponadto zasada integralności hosta na kliencie stale monitoruje systemy końcowe pod kątem zmian ich stanu zgodności. Program Symantec Network Access Control jest produktem towarzyszącym programu Symantec Endpoint Protection. Oba produkty zawierają program Symantec Endpoint Protection Manager, który zapewnia infrastrukturę niezbędną do instalowania klientów Symantec Network Access Control oraz Symantec Endpoint Protection i zarządzania nimi. Patrz Typy egzekwowania w programie Symantec Network Access Control informacje na stronie 11

Co nowego w programie Symantec Network Access Control 12.1.5 5 Co nowego w programie Symantec Network Access Control 12.1.5 Program Symantec Network Access Control 12.1.5 zawiera nowe funkcje dotyczące programu Symantec Endpoint Protection Manager i zasad integralności hosta. Tabela 1-1 Nowe funkcje programu Symantec Network Access Control 12.1.5 Funkcja Wymagania systemowe Opis Program Symantec Endpoint Protection Manager jest teraz dostępny w następujących przeglądarkach: Microsoft Internet Explorer 10.2, 11 Mozilla Firefox 5.x do 31.0 Google Chrome do wersji 37.0.2062.94 Pełna lista wymagań systemowych: Szczegóły zawiera artykuł bazy wiedzy: Uwagi o wersji i wymagania systemowe wszystkich wersji programów Symantec Endpoint Protection i Symantec Network Access Control Aktualizacje serwera zarządzania Z programu Symantec Network Access Control 12.1.4 usunięto program Symantec Protection Center 1. Program Symantec Endpoint Protection Manager można nadal zintegrować z programem Symantec Protection Center 2, ale funkcje nie są już testowane. Program Protection Center umożliwia zarządzanie programem Symantec Network Access Control i innymi produktami firmy Symantec w jednym środowisku. Ustawienia haseł klienta Ustawienia ochrony hasłem klienta są teraz widoczne w lepiej dostępnej lokalizacji w oknie Klienci > Zasady > Ustawienia haseł. To okno dialogowe zawiera nową opcję globalnego włączenia ochrony hasłem dla wszystkich klientów. Dostęp do okna dialogowego Ustawienia haseł można również uzyskać podczas logowania do programu Symantec Endpoint Protection Manager. Limitu czasu konsoli nie można już ustawić na Nigdy. Ze względu na bezpieczeństwo maksymalny limit czasu to jedna godzina. Po wywołaniu blokady konta po próbach logowania administratora zakończonych niepowodzeniem czas blokady ulega teraz podwojeniu z każdą kolejną blokadą. Program Symantec Endpoint Protection Manager przywraca oryginalny czas blokady po pomyślnym logowaniu lub po upływie 24 godzin od pierwszej blokady.

Wymagania systemowe programu Symantec Network Access Control 6 Funkcja Wydajność serwera zarządzania i klienta Opis Serwer zarządzania i klient zawierają następujące ulepszenia wydajności: Sterowanie przepustowością komunikacji klienta Serwer zarządzania zawiera teraz moduł Apache, który można włączyć i skonfigurować do kontrolowania przepustowości sieci. Moduł ten zmniejsza obciążenie sieci między programem Symantec Endpoint Protection Manager a komputerami klienckimi, szczególnie gdy klienty pobierają definicje składników oprogramowania lub pakiety instalacyjne klienta. Czas uruchamiania klienta skrócono o ponad 10%. Do działania usługi klienta jest używanych mniej procesów. Zmiany zasad integralności hosta Zasada integralności hosta jest teraz dołączona do produktu Symantec Endpoint Protection oraz do produktu Symantec Network Access Control. Zasada integralności hosta ocenia komputery klienckie i sprawdza, czy spełniają one zmodyfikowane wymogi zasad zabezpieczeń przekazane na te komputery. Dokumentacja Program Symantec Network Access Control zapewnia następujące zmiany dokumentacji: Główne pliki PDF są obecnie dostępne na stronie internetowej pomocy technicznej. Najnowsze pliki PDF można wyszukiwać i pobierać na jednej stronie internetowej: Podręczniki produktu dla wszystkich wersji programu Symantec Network Access Control (j. angielski) Symantec Network Access Control (inne języki) Dokumenty narzędzi znajdują się w tym samym folderze, co skojarzone narzędzie. Podręcznik instalacji i podręcznik administratora programu Symantec Endpoint Protection nie uwzględnia już tematów dotyczących programu Network Access Control. Nowy Podręcznik instalacji i podręcznik administratorauwzględnia tematy dotyczące programu Network Access Control. Dokumentacja dotycząca określonych narzędzi nadal znajduje się w folderach powiązanych z tymi narzędziami. Wymagania systemowe programu Symantec Network Access Control Zasadnicze wymagania systemowe serwera Symantec Endpoint Protection Manager i klientów Symantec Network Access Control są takie same, jak systemów operacyjnych, w których są obsługiwane. Najnowsze wymagania systemowe zawiera dokument: Uwagi o wersji i wymagania systemowe wszystkich wersji programów Symantec Endpoint Protection i Symantec Network Access Control Wymagania systemowe programu Symantec Endpoint Protection Manager

Wymagania systemowe programu Symantec Network Access Control 7 Patrz Wymagania systemowe programu Symantec Endpoint Protection Manager na stronie 7 Wymagania systemowe klienta programu Symantec Network Access Control dla systemu Windows Patrz Wymagania systemowe klienta programu Symantec Network Access Control dla systemu Windows na stronie 9 Wymagania systemowe klienta On-Demand Symantec Network Access Control dla systemu Windows Patrz Wymagania systemowe klienta On-Demand Symantec Network Access Control dla systemu Windows na stronie 10 Wymagania systemowe klienta On-Demand Symantec Network Access Control dla systemu Mac Patrz Wymagania systemowe klienta On-Demand Symantec Network Access Control dla systemu Mac na stronie 11 Patrz Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy na stronie 15 Wymagania systemowe programu Symantec Endpoint Protection Manager Tabela 1-2 przedstawia wymagania minimalne programu Symantec Endpoint Protection Manager. Tabela 1-2 Składnik Procesor Wymagania systemowe programu Symantec Endpoint Protection Manager Wymagania Procesor 32-bitowy: Intel Pentium 4 lub odpowiednik (zalecany co najmniej procesor dwurdzeniowy lub z funkcją Hyper Threading) Procesor 64-bitowy: Intel Pentium 4 z obsługą architektury x86-64 lub odpowiednik (zalecany co najmniej procesor dwurdzeniowy lub z funkcją Hyper Threading) Uwaga: Procesory Intel Itanium IA-64 nie są obsługiwane. Fizyczna pamięć RAM Minimum 2 GB dostępnej pamięci RAM, zalecane 4 GB lub więcej. Uwaga: Serwer Symantec Endpoint Protection Manager może wymagać dodatkowej pamięci RAM w zależności od wymogów innych, już zainstalowanych aplikacji.

Wymagania systemowe programu Symantec Network Access Control 8 Składnik Dysk twardy Wyświetlacz System operacyjny Przeglądarka internetowa Wymagania 16 GB dostępnego miejsca (zalecane 100 GB) dla serwera zarządzania. Minimum 40 GB dostępnego miejsca (zalecane 200 GB) dla serwera zarządzania i lokalnie instalowanej bazy danych. 1024 x 768 Windows XP (32-bitowy, SP2 lub nowszy; 64-bitowy, wszystkie dodatki SP, wszystkie wersje oprócz wersji Home) Windows 7 (32-bitowy, 64-bitowy, RTM i SP1, wszystkie wersje oprócz Home) Windows 8 (32-bitowy, 64-bitowy) Windows 8.1 (32-bitowy, 64-bitowy) Windows 8.1 Update 1 (32-bitowy, 64-bitowy) Windows 8.1 Update 2 (32-bitowy, 64-bitowy) Windows Server 2003 (32-bitowy, 64-bitowy, R2, SP1 lub nowszy) Windows Server 2008 (32-bitowy, 64-bitowy, R2, RTM, SP1 i SP2) Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 R2 Update 1 Windows Server 2012 R2 Update 2 Windows Small Business Server 2003 (32-bitowy) Windows Small Business Server 2008 (64-bitowy) Windows Small Business Server 2011 (64-bitowy) Windows Essential Business Server 2008 (64-bitowy) Microsoft Internet Explorer 8, 9, 10, 10.2, 11 Mozilla Firefox 3.6 do 31.0 Google Chrome do wersji 37.0.2062.94 Uwaga: Klientami starszymi niż wersja 12.1 można zarządzać za pomocą tej wersji programu Symantec Endpoint Protection Manager, bez względu na system operacyjny klienta. Program Symantec Endpoint Protection Manager zawiera wbudowaną bazę danych. Można również używać jednej z następujących wersji programu Microsoft SQL Server: SQL Server 2005, SP4 SQL Server 2008 do wersji z dodatkiem SP3 SQL Server 2008 R2 do wersji z dodatkiem SP2

Wymagania systemowe programu Symantec Network Access Control 9 SQL Server 2012 do wersji z dodatkiem SP1 SQL Server 2014 Wymagania systemowe klienta programu Symantec Network Access Control dla systemu Windows Tabela 1-3 przedstawia wymagania minimalne klienta Symantec Network Access Control dla systemu Windows. Tabela 1-3 Składnik Procesor Wymagania systemowe dotyczące klienta programu Symantec Network Access Control dla systemu Windows Wymaganie Procesor 32-bitowy: co najmniej Intel Pentium III o szybkości 1 GHz lub równoważny (zalecany Intel Pentium 4 lub równoważny) Procesor 64-bitowy: co najmniej Pentium 4 o szybkości 2 GHz z obsługą architektury x86-64 lub równoważny Uwaga: Procesory Itanium nie są obsługiwane. System operacyjny Fizyczna pamięć RAM Dysk twardy Wyświetlacz Windows XP (32-bitowy, SP2 lub nowszy; 64-bitowy, wszystkie dodatki SP) Windows XP Embedded Windows Vista (32-bitowy, 64-bitowy) Windows 7 (32-bitowy, 64-bitowy) Windows 8 (32-bitowy, 64-bitowy) Windows 8.1 (32-bitowy, 64-bitowy) Windows 8.1 Update 1 (32-bitowy, 64-bitowy) Windows Server 2003 (32-bitowy, 64-bitowy, R2, SP1 lub nowszy) Windows Server 2008 (32-bitowy, 64-bitowy) Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 R2 Update 1 Windows Small Business Server 2008 (64-bitowy) Windows Essential Business Server 2008 (64-bitowy) 512 MB pamięci RAM lub więcej, jeśli wymaga tego system operacyjny 32-bitowy: 300 MB; 64-bitowy: 400 MB 800 x 600

Wymagania systemowe programu Symantec Network Access Control 10 Wymagania systemowe klienta On-Demand Symantec Network Access Control dla systemu Windows Tabela 1-4 zawiera minimalne wymagania dla komputerów, na których wymagana jest instalacja klienta On-Demand Symantec Network Access Control. Tabela 1-4 Składnik Procesor System operacyjny Wymagania systemowe klienta On-Demand Symantec Network Access Control dla systemu Windows Opis Intel Pentium II 550 MHz (1 GHz w systemie Windows Vista) lub szybszy Obsługiwane są następujące systemy operacyjne: Windows XP Home lub Professional (32-bitowy, z dodatkiem SP 2 i SP3) Windows Vista (32-bitowy, 64-bitowy) Windows 7 (32-bitowy, 64-bitowy) Windows 8 (32-bitowy, 64-bitowy) Windows 8.1 (32-bitowy, 64-bitowy) Windows Server 2003 (32-bitowy, 64-bitowy, R2, SP1 lub nowszy) Windows Server 2008 (32-bitowy, 64-bitowy, R2) Windows Server 2012 Windows Server 2012 R2 Windows Small Business Server 2008 (64-bitowy) Windows Essential Business Server 2008 (64-bitowy) Pamięć Dysk twardy 512 MB pamięci RAM Rozmiar pobierania: 9 MB Ilość wolnego miejsca na dysku niezbędna do uruchamiania klienta: 100 MB Wyświetlane informacje Przeglądarka karta graficzna i monitor o rozdzielczości Super VGA (1024x768) lub wyższej Można korzystać z jednej z następujących przeglądarek: Microsoft Internet Explorer 6.0 lub nowszy Mozilla Firefox 3.0 lub nowszy

Typy egzekwowania w programie Symantec Network Access Control informacje 11 Wymagania systemowe klienta On-Demand Symantec Network Access Control dla systemu Mac Przed nawiązaniem połączenia z chronioną siecią organizacji warto sprawdzić wymagania systemowe. Tabela 1-5 zawiera minimalne wymagania dla komputerów, na których instalowany jest klienta On-Demand Symantec Network Access Control. Tabela 1-5 Składnik Procesor System operacyjny Pamięć Dysk twardy Wymagania systemowe dla narzędzia do pobierania Symantec Network Access Control On-Demand Downloader i klienta On-Demand Symantec Network Access Control dla systemu Mac Opis Komputer Mac z procesorem firmy Intel Mac OS X 10.6 lub 10.7 512 MB pamięci RAM Rozmiar pobierania: 9 MB Ilość wolnego miejsca na dysku niezbędna do uruchamiania klienta: 100 MB Wyświetlanie obrazu i połączenia karta graficzna i monitor o rozdzielczości Super VGA (1024x768) lub wyższej Co najmniej jedna karta Ethernet (z zainstalowanym protokołem TCP/IP) Przeglądarka Apple Safari 4.0 i 5.0; Mozilla Firefox 3.0 lub nowsza. Typy egzekwowania w programie Symantec Network Access Control informacje Program Symantec Network Access Control obsługuje różne metody egzekwowania w celu kontrolowania dostępu do chronionej sieci. Tabela 1-6 przedstawia różnice między egzekwowaniem opartym na hoście a egzekwowaniem opartym na sieci.

Składniki programu Symantec Network Access Control 12 Tabela 1-6 Typy egzekwowania Typ egzekwowania Wymuszanie oparte na hoście Opis Umożliwia komputerom klienckim uzyskanie i uruchomienie oprogramowania niezbędnego do automatycznego wyeliminowania niezgodności. Zwykle odbywa się to poprzez przypisanie komputera klienckiego do serwera kwarantanny, z którego klient może pobierać potrzebne pliki naprawcze. Po przywróceniu zgodności komputer kliencki może bezpiecznie uzyskać dostęp do chronionych zasobów sieciowych. Wymuszanie oparte na hoście może selektywnie zezwalać na dostęp do chronionej sieci i blokować go albo użyć do tego celu zapory firmy Symantec. Zapora jest częścią produktu Symantec Endpoint Protection. Egzekwowanie oparte na hoście obejmuje następujące metody: Funkcja integralności hosta stosuje zasadę integralności hosta w celu sterowania dostępem sieciowym, zapewniając najprostszą i najszybszą opcję instalacji wymuszania. Sprawdzanie integralności hosta jest prostsze do wdrożenia w organizacji, która już zainstalowała produkt Symantec Endpoint Protection. Wymuszanie typu peer-to-peer zapewnia, że komunikacja klient-klient zachodzi tylko między komputerami firmy i komputerami spoza firmy, które są zgodne z wymogami integralności hosta. Komputery zgodne pomyślnie kończą sprawdzenie integralności hosta. Program Symantec Endpoint Protection musi być zainstalowany z modułem Symantec Network Access Control, aby korzystać z wymuszenia typu peer-to-peer. Egzekwowanie oparte na sieci Egzekwowanie przy użyciu urządzeń Symantec Enforcer i zintegrowanych programowych modułów Enforcer, umożliwiające kontrolę dostępu do sieci. Egzekwowanie oparte na sieci umożliwia uwierzytelnianie klientów w celu zezwalania na dostęp tylko tym klientom, którzy spełniają wymagania integralności hosta. Egzekwowanie oparte na sieci zapewnia również sprawdzanie aktualności zasady. Dodatkowo, jeśli instalacja obejmuje urządzenie Gateway Enforcer, można zezwalać gościom bez zgodnego oprogramowania na tymczasowy dostęp do sieci. Te moduły Enforcer umożliwiają dostęp gościom, instalując klientów On Demand na komputerach-gościach i usuwając klienta po wylogowaniu gościa. Dostęp gościa działa zarówno w przypadków klientów systemu Windows, jak i klientów systemu Mac. Wymuszanie tego typu wymaga zastosowania urządzenia Enforcer. Patrz Instalowanie programu Symantec Network Access Control na stronie 14 Patrz Składniki programu Symantec Network Access Control na stronie 12 Składniki programu Symantec Network Access Control Tabela 1-7 przedstawia składniki produktu i opisy ich funkcji.

Składniki programu Symantec Network Access Control 13 Tabela 1-7 Składniki produktu Symantec Network Access Control Składnik Symantec Endpoint Protection Manager Opis Program Symantec Endpoint Protection Manager to serwer zarządzania, który zarządza komputerami klienckimi łączącymi się z siecią firmy. Program Symantec Endpoint Protection Manager zawiera następujące oprogramowanie: Oprogramowanie serwera zarządzania zapewnia bezpieczną komunikację między komputerami klienckimi a konsolą. Konsola to interfejs serwera zarządzania. Oprogramowanie konsoli koordynuje i zarządza zasadami zabezpieczeń, komputerami klienckimi, raportami i dziennikami, rolami i dostępem, funkcjami administracyjnymi oraz zabezpieczeniami. Można również zainstalować konsolę zdalną i używać jej do logowania się na serwerze zarządzania z każdego komputera mającego połączenie sieciowe. Baza danych przechowuje zasady zabezpieczeń i zdarzenia. Wbudowana baza danych jest instalowana na komputerze hosta programu Symantec Endpoint Protection Manager. Można również oddzielnie zainstalować bazę danych programu Microsoft SQL Server, zamiast wbudowanej bazy danych. Patrz Instalowanie programu Symantec Endpoint Protection Manager na stronie 21 Klient Symantec Network Access Control dla systemu Windows Zasada integralności hosta wymusza zgodność z zasadami zabezpieczeń na komputerach klienckich, sprawdzając integralność hosta i stosując funkcje samodzielnego wymuszania. Klient przekazuje raporty o swoim stanie zgodności z wymogami integralności hosta do serwera zarządzania i modułu Symantec Enforcer. Więcej informacji na temat używania klienta zawiera Podręcznik klienta Symantec Endpoint Protection i Symantec Network Access Control. Patrz Co to jest Symantec Network Access Control? na stronie 4 Więcej informacji na ten temat zawiera Podręcznik instalacji i podręcznik administratora programu Symantec Network Access Control. Patrz Opcjonalne składniki programu Symantec Network Access Control na stronie 13 Opcjonalne składniki programu Symantec Network Access Control Tabela 1-8 przedstawia listę dodatkowych składników do pobrania, których można używać z programem Symantec Network Access Control.

Instalowanie programu Symantec Network Access Control 14 Tabela 1-8 Podskładniki produktu Symantec Network Access Control Składnik Symantec Enforcer Opis Moduł Enforcer sprawdza, czy klienci próbujący nawiązać połączenie z siecią są zgodni ze skonfigurowanymi zasadami zabezpieczeń. Dostęp niezgodnych komputerów do sieci można całkowicie zablokować lub ograniczyć do jej określonych segmentów, w których mogą wobec nich zostać podjęte działania naprawcze. Program Symantec Network Access Control zawiera następujące typy modułów Enforcer: Urządzenie Gateway Enforcer zapewnia egzekwowanie w punktach bramy sieci. Urządzenie LAN 802.1X Enforcer zapewnia pozapasmowe uwierzytelnianie dla sieci LAN i bezprzewodowych. Moduł DHCP Integrated Enforcer zapewnia obsługę usługi DHCP w sieciach LAN i bezprzewodowych o dowolnej infrastrukturze. Moduł Microsoft Network Access Protection Integrated Enforcer zapewnia obsługę usługi Microsoft NAP w sieciach LAN i bezprzewodowych. Klienci On-Demand Symantec Network Access Control dla systemu Windows i Mac Klienci On-Demand to tymczasowi klienci udostępniani użytkownikom nie mającym upoważnienia dostępu do chronionej sieci. Nieautoryzowane komputery klienckie nie mają oprogramowania zgodnego z zasadą zabezpieczeń. Gdy moduł Enforcer zainstaluje klienta On-Demand, klient łączy się tymczasowo z siecią przedsiębiorstwa jako gość. Serwer IT Analytics Narzędzie IT Analytics zwiększa możliwości wbudowanych funkcji raportów programu Symantec Endpoint Protection Manager, umożliwiając generowanie niestandardowych raportów i kwerend. Narzędzie to umożliwia również przeniesienie zadań związanych z obsługą raportów z serwera zarządzania na inny serwer. Narzędzie IT Analytics przechowuje informacje przez dłuższy okres, egzekwuje zgodność z zasadami, dostarcza podsumowania, a także ułatwia ograniczenie kosztów. Narzędzie IT Analytics i dokumentacja znajdują się w folderze Tools\ITAnalytics. Instalowanie programu Symantec Network Access Control Zalecaną metodą jest stopniowa instalacja programu Symantec Network Access Control. To podejście umożliwia organizacji wypracowanie implementacji odpowiedniej do potrzeb. Zmiany i udoskonalenia stosuje się stopniowo, zamiast kompletnie zmieniać całą infrastrukturę zabezpieczeń.

Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy 15 Tabela 1-9 Fazy instalacji programu Symantec Network Access Control Faza Działanie Opis Faza 1 Instalacja klientów Symantec Endpoint Protection Manager i Symantec Network Access Control oraz skonfigurowanie zasad integralności hosta Można kontrolować dostęp do komputerów przenośnych, komputerów stacjonarnych i serwerów organizacji przy użyciu sprawdzania integralności hosta i wymuszania samodzielnego. W przypadku wymuszenia samodzielnego komputery mogą uzyskiwać oprogramowanie niezbędne do uzyskania zgodności z obowiązującą zasadą zabezpieczeń. Skonfigurowanie zasad integralności hosta za pomocą programu Symantec Endpoint Protection Manager. Patrz Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy na stronie 15 Faza 2 Instalacja i konfiguracja urządzenia Gateway Enforcer Celem jest częściowa ochrona sieci, kontrolowanie dostępu przewodowego i bezprzewodowego do sieci klientów zarządzanych i komputerów-gości. Klienci zarządzani to komputery z uruchomionym klientem Symantec Network Access Control. Klienci-goście to komputery przenośne, komputery stacjonarne i serwery, które nie spełniają wymagań zabezpieczeń takich, jak wymagane zainstalowane oprogramowanie i bezpieczne hasła. Są to urządzenia należące do gości takich, jak podwykonawcy, konsultanci i współpracownicy. Klientom-gościom można zezwolić na bezpieczne tymczasowe połączenie z chronioną siecią za pomocą klientów On-Demand. Patrz Instalowanie urządzenia Enforcer na stronie 30 Faza 3 Instalacja i konfiguracja urządzenia LAN Enforcer W celu pełnej ochrony sieci można kontrolować dostęp komputerów klienckich i komputerów-gości przez sieć LAN. Patrz Instalowanie urządzenia Enforcer na stronie 30 Patrz Typy egzekwowania w programie Symantec Network Access Control informacje na stronie 11 Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy Tabela 1-10 przedstawia zadania, które należy wykonać, aby chronić komputery w sieci natychmiast po instalacji.

Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy 16 Tabela 1-10 Zadania instalacji i konfiguracji programu Symantec Endpoint Protection Manager Działanie Zaplanuj architekturę instalacji Opis Przed zainstalowaniem produktu należy określić architekturę instalacji, uwzględniając rozmiar i geograficzne rozproszenie sieci. Aby uzyskać dobrą wydajność sieci i bazy danych, należy wziąć pod uwagę kilka kwestii. Te kwestie to między innymi liczba komputerów wymagających ochrony, czy łączą się one przez sieć rozległą, oraz częstotliwość zaplanowanych aktualizacji składników oprogramowania. Jeżeli sieć jest mała, znajduje się w jednej lokalizacji geograficznej i zawiera mniej niż 500 klientów, wystarczy zainstalować tylko jeden program Symantec Endpoint Protection Manager. W bardzo dużych sieciach można zainstalować dodatkowe lokacje z dodatkowymi bazami danych i skonfigurować je do replikowania danych. Aby zapewnić dodatkową niezawodność, można zainstalować dodatkowe lokacje w celu obsługi przełączania awaryjnego lub równoważenia obciążenia. Funkcji przełączania awaryjnego i równoważenia obciążenia można używać jedynie z bazami danych programu Microsoft SQL Server. Jeśli sieć jest geograficznie rozproszona, może być konieczne zainstalowanie dodatkowych serwerów zarządzania w celu obsługi równoważenia obciążenia i zwiększenia przepustowości. Informacje ułatwiające planowanie średnich i dużych instalacji zawiera Opracowanie techniczne programu Symantec Endpoint Protection dotyczące sprawdzonych metod wymiarowania i skalowalności.

Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy 17 Działanie Przygotowanie do instalacji i instalacja programu Symantec Endpoint Protection Manager Opis 1 Upewnić się, że komputer, na którym ma być zainstalowany serwer zarządzania, spełnia minimalne wymagania systemowe. Patrz: Uwagi o wersji i wymagania systemowe wszystkich wersji programów Symantec Endpoint Protection i Symantec Network Access Control 2 Należy zdecydować, czy ma zostać zainstalowana wbudowana baza danych, czy będzie używana baza danych programu Microsoft SQL Server. W przypadku używania bazy danych programu Microsoft SQL Server instalacja wymaga wykonania dodatkowych czynności. Są to między innymi kroki konfigurowania lub tworzenia wystąpienia bazy danych skonfigurowanej do używania trybu mieszanego lub trybu uwierzytelniania systemu Windows. Konieczne będzie również podanie poświadczeń administratora serwera bazy danych w celu utworzenia bazy danych i użytkownika bazy danych. Trzeba będzie ich używać na serwerze zarządzania. 3 Najpierw należy zainstalować program Symantec Endpoint Protection Manager. Po instalacji należy ją natychmiast skonfigurować za pomocą Kreatora konfiguracji serwera zarządzania. Podczas konfigurowania serwera zarządzania należy określić następujące elementy: Hasło logowania do konsoli zarządzania. Adres e-mail, na który wysyłane będą ważne powiadomienia i raporty. Hasło szyfrowania, które może być potrzebne w zależności od opcji wybranych podczas instalacji. Patrz Instalowanie programu Symantec Endpoint Protection Manager na stronie 21 Patrz Konfigurowanie programu Symantec Endpoint Protection Manager podczas instalacji na stronie 22

Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy 18 Działanie Dodaj grupy, lokalizacje i zasady Opis 1 Do organizowania komputerów klienckich służą grupy, do których można przypisywać różne poziomy zabezpieczeń. Można użyć grup domyślnych, zaimportować grupy, jeśli sieć używa serwera LDAP lub usługi Active Directory, lub dodać nowe grupy. Podczas dodawania nowych grup jako podstawy można użyć następującej struktury grup: Komputery stacjonarne Komputery przenośne Serwery 2 Lokalizacje służą do stosowania różnych zasad i ustawień na komputerach na podstawie konkretnych kryteriów. Można na przykład stosować do komputerów różne poziomy zabezpieczeń, w zależności od tego, czy znajdują się w sieci firmy, czy poza nią. Zwykle komputery łączące się z siecią firmy zza zapory muszą mieć większe zabezpieczenia niż komputery za zaporą. Można skonfigurować lokalizację zezwalającą komputerom przenośnym znajdującym się poza biurem na automatyczne aktualizowanie definicji za pomocą serwerów LiveUpdate firmy Symantec. Patrz Sprawdzone metody dotyczące rozpoznawania lokalizacji programu Symantec Endpoint Protection. 3 W przypadku grup i lokalizacji, wobec których mają być stosowane inne zasady lub ustawienia, należy wyłączyć funkcję dziedziczenia. Domyślnie grupy dziedziczą zasady i ustawienia z domyślnej grupy nadrzędnej Moja firma. W przypadku zamiaru przypisania innej zasady do grup podrzędnych lub dodania lokalizacji należy najpierw wyłączyć dziedziczenie. Następnie można zmienić zasady dla grup podrzędnych lub dodać lokalizację. 4 Należy dodać wymagania do domyślnych zasad Sprawdzenia integralności hosta, aby miały one wpływ na komputer kliencki. Przed zainstalowaniem zasady na komputerach klienckich należy sprawdzić, czy zasada działa w oczekiwany sposób.

Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy 19 Działanie Zmiana ustawień komunikacji w celu zwiększenia wydajności Aktywowanie licencji produktu Opis Wydajność sieciową można zwiększyć, modyfikując w każdej grupie następujące ustawienia komunikacji klient-serwer: Można użyć trybu ściągania zamiast trybu wypychania, aby kontrolować, kiedy klienty używają zasobów sieciowych w celu pobierania zasad i aktualizacji składników oprogramowania. Należy zwiększyć interwał pulsu. W przypadku mniej niż 100 klientów na serwer puls należy zwiększyć do 15 30 minut. W przypadku od 100 do 1000 klientów puls należy zwiększyć do 30 60 minut. Większe środowiska mogą wymagać większego interwału pulsu. Firma Symantec zaleca pozostawienie zaznaczonego pola wyboru Pozwól klientom natychmiast przekazywać zdarzenia krytyczne. Interwał losowego czasu pobierania można zwiększyć maksymalnie do trzykrotności interwału pulsu. Licencję należy kupić i aktywować w ciągu 60 dni od instalacji produktu. Patrz Aktywowanie lub importowanie licencji produktu Symantec Network Access Control 12.1.x na stronie 23 Decydowanie o metodzie instalacji klienta Należy określić metody instalacji klienta, które zostaną zastosowane w danym środowisku do zainstalowania oprogramowania klienckiego na komputerach. Patrz Instalowanie klientów za pomocą łącza internetowego i wiadomości e-mail na stronie 25 Patrz Instalowanie klientów za pomocą funkcji zdalnego wypychania na stronie 28 Patrz Instalowanie klientów przy użyciu funkcji Zapisz pakiet na stronie 26 W przypadku używania funkcji zdalnego wypychania może być konieczne wykonanie następującego zadania: Jeśli komputery klienckie są częścią domeny Active Directory, użytkownik musi być zalogowany na komputerze z programem Symantec Endpoint Protection Manager przy użyciu konta, które przyznaje lokalnemu administratorowi dostęp do komputerów klienckich. Poświadczenia administratora powinny być dostępne dla każdego komputera klienckiego, który nie jest częścią domeny Active Directory.

Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy 20 Działanie Przygotowanie do instalacji i instalowanie oprogramowania klienckiego Opis 1 Należy się upewnić, że komputer, na którym ma być zainstalowane oprogramowanie klienckie, spełnia minimalne wymagania systemowe. Patrz: Uwagi o wersji i wymagania systemowe wszystkich wersji programów Symantec Endpoint Protection i Symantec Network Access Control 2 Wykonaj następujące zadania: Upewnić się, że jest aktywny tryb komputera, a nie tryb użytkownika. Zaktualizować niestandardowe ustawienia instalacji klienta, aby określić opcje instalacji na komputerze klienckim. Te opcje to między innymi docelowy folder instalacji oraz tryb ponownego uruchomienia po dokończeniu instalacji. Można również użyć domyślnych ustawień instalacji klienta. 3 Za pomocą Kreatora instalacji klientów należy utworzyć pakiet instalacyjny klienta z wybranymi odpowiednimi opcjami, a następnie zainstalować go na komputerach klienckich. Sprawdzenie, czy komputery są wyświetlane w oczekiwanych grupach, a klienci komunikują się z serwerem zarządzania W konsoli zarządzania, na stronie Klienci > Klienci : 1 Należy zmienić widok na Stan klienta, aby upewnić się, że komputery klienckie w każdej grupie komunikują się z serwerem zarządzania. Informacje zawierają następujące kolumny: W kolumnie Nazwa wyświetlana jest zielona kropka wskazująca klientów połączonych z serwerem zarządzania. W kolumnie Czas ostatniej zmiany stanu wyświetlany jest czas ostatniej komunikacji każdego klienta z serwerem zarządzania. W kolumnie Wymagane ponowne uruchomienie wyświetlane są komputery klienckie, które wymagają ponownego uruchomienia w celu włączenia ochrony. W kolumnie Numer seryjny zasady wyświetlany jest najnowszy numer seryjny zasady. Zasada może nie być aktualizowana przez jeden lub dwa interwały pulsu. Jeśli zasada nie zostanie natychmiast zaktualizowana, można ją ręcznie zaktualizować na kliencie. 2 Na kliencie należy sprawdzić, czy klient jest połączony z serwerem oraz sprawdzić, czy zasada ma najnowszy numer seryjny. Więcej informacji na temat wykonywania tych zadań zawiera Podręcznik instalacji i podręcznik administratora programu Symantec Network Access Control.