Podręcznik wprowadzający programu Symantec Network Access Control Dotyczy programów Symantec Network Access Control i Symantec Network Access Control Starter Edition
Podręcznik wprowadzający programu Symantec Network Access Control Oprogramowanie opisane w niniejszym podręczniku jest dostarczane w ramach umowy licencyjnej i może być używane jedynie zgodnie z postanowieniami tej umowy. Wersja dokumentacji: 12.01.00.00 Informacje prawne Copyright 2011 Symantec Corporation. Wszystkie prawa zastrzeżone. Nazwa i logo Symantec oraz nazwy Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Norton 360, Sygate i TruScan są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Symantec Corporation lub jej filii w USA i innych krajach. Inne nazwy mogą być znakami towarowymi odpowiednich właścicieli. Produkt opisywany w niniejszym dokumencie jest dystrybuowany zgodnie z licencjami ograniczającymi jego użycie, kopiowanie, dystrybucję i dekompilację/odtwarzanie kodu źródłowego. Żadna część tego dokumentu nie może być powielana w jakiejkolwiek formie i w jakikolwiek sposób bez uprzedniej pisemnej zgody Symantec Corporation i jego licencjodawców, jeśli tacy istnieją. NINIEJSZA DOKUMENTACJA JEST DOSTARCZANA W TAKIM STANIE, W JAKIM SIĘ ZNAJDUJE W CHWILI UDOSTĘPNIENIA. WYŁĄCZA SIĘ WSZELKIE GWARANCJE WYRAŹNE LUB DOROZUMIANE, OŚWIADCZENIA I ZAPEWNIENIA, W TYM DOROZUMIANE GWARANCJE DOTYCZĄCE PRZYDATNOŚCI HANDLOWEJ I UŻYTECZNOŚCI DO OKREŚLONEGO CELU, Z WYJĄTKIEM ZAKRESU, W KTÓRYM TAKIE WYŁĄCZENIA SĄ UZNAWANE ZA PRAWNIE NIEWAŻNE. W ŻADNYM WYPADKU FIRMA SYMANTEC CORPORATION NIE PONOSI ODPOWIEDZIALNOŚCI ZA JAKIEKOLWIEK SZKODY UBOCZNE LUB WTÓRNE ZWIĄZANE Z DOSTARCZENIEM LUB WYKORZYSTANIEM NINIEJSZEJ DOKUMENTACJI. INFORMACJE ZAWARTE W NINIEJSZEJ DOKUMENTACJI MOGĄ ZOSTAĆ ZMIENIONE BEZ UPRZEDZENIA. Licencjonowane oprogramowanie i dokumentacja są uznawane za komercyjne oprogramowanie komputerowe zgodnie z przepisami FAR 12.212 i podlegają prawom ograniczonym, zgodnie z FAR, sekcja 52.227-19 Commercial Computer Software Restricted Rights i DFARS 227.7202 Rights in Commercial Computer Software or Commercial Computer Software Documentation, oraz wszelkim późniejszym przepisom. Jakiekolwiek wykorzystywanie, modyfikowanie, dystrybuowanie kopii, prezentowanie, wyświetlanie lub ujawnianie oprogramowania i dokumentacji objętych licencją przez rząd USA musi się odbywać zgodnie z postanowieniami niniejszej umowy. Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.pl Wydrukowano w Irlandii.
10 9 8 7 6 5 4 3 2 1
Wprowadzenie do programu Symantec Network Access Control Ten dokument obejmuje następujące zagadnienia: Program Symantec Network Access Control informacje Typy egzekwowania w programie Symantec Network Access Control informacje Składniki programu Symantec Network Access Control Co nowego w wersji 12.1 Wymagania systemowe Instalowanie programu Symantec Network Access Control Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy Instalowanie serwera zarządzania i konsoli Aktywacja licencji produktu Instalowanie klientów przy użyciu łącza internetowego i wiadomości e-mail Instalowanie urządzenia Enforcer Wskaźniki i elementy sterujące urządzenia Enforcer Instalacja urządzenia Enforcer Logowanie się do urządzenia Enforcer
6 Wprowadzenie do programu Symantec Network Access Control Program Symantec Network Access Control informacje Konfiguracja urządzenia Enforcer Dodatkowe źródła informacji w programie Symantec Network Access Control Program Symantec Network Access Control informacje Program Symantec Network Access Control zapewnia zgodność komputerów klienckich firmy z zasadami zabezpieczeń firmy przed zezwoleniem komputerom na dostęp do sieci. Gdy środki egzekwowania nie są stosowane, dane organizacji są narażone na utratę w wyniku celowego działania lub przypadku. Przywracanie danych może skutkować przestojem i stratami finansowymi związanymi z utratą wydajności. Aby zapobiec takim stratom, program Symantec Network Access Control kontroluje dostęp miejscowy i zdalny do zasobów sieci firmy. Program Symantec Network Access Control zapewnia kompletne rozwiązanie kontroli dostępu do sieci. Program Symantec Network Access Control stosuje zasadę integralności hosta i opcjonalnie moduł Symantec Enforcer w celu wykrywania i oceniania zgodności komputerów. Niezgodni klienci są kierowani do serwera naprawczego. Serwer naprawczy pobiera niezbędne oprogramowanie, poprawki, aktualizacje definicji wirusów itd., aby przywrócić zgodność komputera klienckiego. Program Symantec Network Access Control ponadto nieustannie monitoruje systemy końcowe w poszukiwaniu zmian ich stanu zgodności. Program Symantec Network Access Control jest produktem towarzyszącym programu Symantec Endpoint Protection. Oba produkty zawierają program Symantec Endpoint Protection Manager, który zapewnia infrastrukturę niezbędną do instalowania klientów Symantec Network Access Control oraz Symantec Endpoint Protection i zarządzania nimi. Patrz Typy egzekwowania w programie Symantec Network Access Control informacje na stronie 6 Typy egzekwowania w programie Symantec Network Access Control informacje Program Symantec Network Access Control obsługuje różne metody egzekwowania w celu kontrolowania dostępu do chronionej sieci. Tabela 1-1 przedstawia różnice między egzekwowaniem opartym na hoście a egzekwowaniem opartym na sieci.
Wprowadzenie do programu Symantec Network Access Control Składniki programu Symantec Network Access Control 7 Tabela 1-1 Typ egzekwowania Typy egzekwowania Opis Egzekwowanie samodzielne oparte na hoście Umożliwia komputerom klienckim uzyskanie i uruchomienie oprogramowania niezbędnego do automatycznego wyeliminowania niezgodności. Po przywróceniu zgodności komputer kliencki może bezpiecznie uzyskać dostęp do sieci. Egzekwowanie oparte na hoście używa zapory firmy Symantec na komputerze w celu zezwalania na dostęp lub blokowania dostępu. Zapora jest częścią produktu Symantec Endpoint Protection. Egzekwowanie oparte na hoście obejmuje następujące metody: Egzekwowanie samodzielne stosuje zaporę firmy Symantec w celu sterowania dostępem sieciowym, zapewniając najprostszą i najszybszą opcję wdrożenia egzekwowania. Samodzielne egzekwowanie jest prostsze do wdrożenia w organizacji, która już wdrożyła produkt Symantec Endpoint Protection. Egzekwowanie peer-to-peer zapewnia, że komunikacja klient-klient zachodzi tylko między komputerami firmy i zgodnymi komputerami spoza firmy. Zgodne komputery mają najnowszą zasadę zabezpieczeń firmy. Egzekwowanie oparte na sieci Egzekwowanie przy użyciu urządzeń Symantec Enforcer i zintegrowanych programowych modułów Enforcer, umożliwiające kontrolę dostępu do sieci. Egzekwowanie oparte na sieci umożliwia uwierzytelnianie klientów w celu zezwalania na dostęp tylko tym klientom, którzy spełniają wymagania integralności hosta. Egzekwowanie oparte na sieci zapewnia również sprawdzanie aktualności zasady. Dodatkowo, jeśli instalacja obejmuje urządzenie Gateway Enforcer, można zezwalać gościom bez zgodnego oprogramowania na tymczasowy dostęp do sieci. Te moduły Enforcer umożliwiają dostęp gościom, instalując klientów On-Demand na komputerach-gościach i usuwając klienta po wylogowaniu gościa. Dostęp gości działa zarówno na klientach z systemem Windows i Mac. Wymaga urządzenia Enforcer. Patrz Składniki programu Symantec Network Access Control na stronie 7 Patrz Instalowanie programu Symantec Network Access Control na stronie 15 Składniki programu Symantec Network Access Control Tabela 1-2 przedstawia składniki produktu i opisy ich funkcji.
8 Wprowadzenie do programu Symantec Network Access Control Składniki programu Symantec Network Access Control Tabela 1-2 Składnik Składniki produktu Symantec Network Access Control Opis Symantec Endpoint Protection Manager Program Symantec Endpoint Protection Manager to serwer zarządzania, który zarządza komputerami klienckimi łączącymi się z siecią firmy. Program Symantec Endpoint Protection Manager zawiera następujące oprogramowanie: Oprogramowanie konsoli koordynuje i zarządza zasadami zabezpieczeń, komputerami klienckimi, raportami i dziennikami. Konsola to interfejs serwera zarządzania. Może zostać również zainstalowana i używana zdalnie na każdym komputerze mającym połączenie sieciowe z serwerem zarządzania. Oprogramowanie serwera zarządzania zapewnia bezpieczną komunikację między komputerami klienckimi a konsolą. Baza danych Klient Symantec Network Access Control Baza danych przechowuje zasady zabezpieczeń i zdarzenia. Baza danych jest instalowana na komputerze hosta programu Symantec Endpoint Protection Manager. Klient Symantec Network Access Control egzekwuje zgodność z zasadami zabezpieczeń na komputerach klienckich, sprawdzając integralność hosta i stosując funkcje samodzielnego egzekwowania. Klient przekazuje raporty o swoim stanie integralności hosta do modułu Symantec Enforcer. Więcej informacji na ten temat zawiera Podręcznik klienta Symantec Endpoint Protection i Symantec Network Access Control. Patrz Program Symantec Network Access Control informacje na stronie 6 Symantec Protection Center Program Symantec Protection Center jest instalowany wraz z programem Symantec Endpoint Protection Manager. Konsola Symantec Protection Center umożliwia zintegrowanie konsoli zarządzania wielu obsługiwanych produktów zabezpieczających firmy Symantec w jedno środowisko zarządzania.
Wprowadzenie do programu Symantec Network Access Control Co nowego w wersji 12.1 9 Składnik Opis Narzędzie LiveUpdate Administrator (opcjonalnie) Narzędzie LiveUpdate Administrator pobiera aktualizacje definicji, sygnatur i produktów z serwera Symantec LiveUpdate i przekazuje aktualizacje do komputerów klienckich. Więcej informacji zawiera Podręcznik administratora usługi LiveUpdate (w języku angielskim). Symantec Enforcer (opcjonalnie) Moduł Enforcer sprawdza, czy klienci próbujący nawiązać połączenie z siecią są zgodni ze skonfigurowanymi zasadami zabezpieczeń. Dostęp niezgodnych komputerów do sieci można całkowicie zablokować lub ograniczyć do jej określonych segmentów, w których mogą wobec nich zostać podjęte działania naprawcze. Program Symantec Network Access Control zawiera następujące typy modułów Enforcer: Urządzenie Gateway Enforcer zapewnia egzekwowanie w punktach bramy sieci. Urządzenie LAN 802.1X Enforcer zapewnia pozapasmowe uwierzytelnianie dla sieci LAN i bezprzewodowych. Moduł DHCP Integrated Enforcer zapewnia obsługę usługi DHCP w sieciach LAN i bezprzewodowych o dowolnej infrastrukturze. Moduł Microsoft Network Access Protection Integrated Enforcer zapewnia obsługę usługi Microsoft NAP w sieciach LAN i bezprzewodowych. Klienci Symantec Network Access Control On-Demand dla systemu Windows i komputerów Macintosh (opcjonalnie) Klienci On-Demand to klienci tymczasowi zapewniani użytkownikom nie mającym upoważnienia dostępu do chronionej sieci. Nieautoryzowane komputery klienckie nie mają oprogramowania zgodnego z zasadą zabezpieczeń. Gdy moduł Enforcer zainstaluje klienta On-Demand, klient łączy się tymczasowo z siecią przedsiębiorstwa jako gość. Co nowego w wersji 12.1 Bieżąca wersja zawiera następujące udoskonalenia ułatwiające korzystanie z produktu oraz zwiększające jego wydajność. Tabela 1-3 przedstawia nowe funkcje wersji 12.1.
10 Wprowadzenie do programu Symantec Network Access Control Co nowego w wersji 12.1 Tabela 1-3 Nowe funkcje wersji 12.1 Funkcja Szybsze i elastyczniejsze zarządzanie Większa wydajność serwera i klienta Opis Program Symantec Endpoint Protection Manager zwiększa łatwość zarządzania komputerami klienckimi za pomocą następujących nowych funkcji: Scentralizowana obsługa licencji umożliwia kupno i aktywację licencji produktu oraz zarządzanie nimi za pomocą konsoli zarządzania. Ekran logowania programu Symantec Endpoint Protection Manager umożliwia wysłanie zapomnianego hasła w wiadomości e-mail. Strona Monitory oferuje zestaw wstępnie skonfigurowanych powiadomień wysyłanych pocztą elektroniczną, informujących o najczęściej używanych zdarzeniach. Są to zdarzenia takie jak dostępność nowego oprogramowania klienckiego, zmiany zasad, komunikaty o odnowieniu licencji i informacje o znalezieniu niechronionych komputerów przez serwer zarządzania. Powiadomienia są domyślnie włączone i obsługują urządzenia BlackBerry i iphone oraz system Android. Aby zwiększyć szybkość komunikacji między serwerem zarządzania a konsolą zarządzania, bazą danych i komputerami klienckimi: Aby używać mniej pamięci, usługę LiveUpdate można uruchamiać, gdy komputer kliencki jest bezczynny, ma przestarzałe składniki oprogramowania lub był odłączony. Udoskonalony proces instalacji Szybszą i prostszą niż kiedykolwiek dotąd instalację produktu umożliwiają nowe funkcje instalacji: Można uaktualnić produkt do bieżącej wersji, a starsi klienci pozostają połączeni i chronieni. Nowy szybki raport dotyczący instalacji pokazuje, na których komputerach zainstalowane zostało oprogramowanie klienckie. Obsługa dodatkowych systemów operacyjnych Program Symantec Endpoint Protection Manager obsługuje teraz następujące dodatkowe systemy operacyjne: VMware Workstation 7.0 lub nowszy VMware ESXi 4.0.x lub nowszy VMware ESX 4.0.x lub nowszy VMware Server 2.0.1 Citrix XenServer 5.1 lub nowszy Program Symantec Endpoint Protection Manager obsługuje następujące przeglądarki internetowe: Internet Explorer 7.0, 8.0, 9.0 Firefox 3.6, 4.0 Patrz Wymagania systemowe na stronie 12
Wprowadzenie do programu Symantec Network Access Control Co nowego w wersji 12.1 11 Funkcja Ulepszone zarządzanie modułami Enforcer w programie Symantec Endpoint Protection Manager Opis Modułami Enforcer można łatwiej zarządzać, konfigurując następujące ustawienia modułów Enforcer w programie Symantec Endpoint Protection Manager: Możliwość nieustannego synchronizowania czasu systemowego klientów w grupie modułów Enforcer przy użyciu serwera Network Time Protocol. Aktualizowanie listy adresów MAC jest prostsze dzięki następującym udoskonaleniom: W przypadku modułu DHCP Integrated Enforcer można zaimportować plik tekstowy zawierający wyjątki adresów MAC określające hosty zaufane. W przypadku modułu LAN Enforcer można dodawać, edytować i usuwać adresy MAC ignorowane przez sprawdzanie integralności hosta przy użyciu następujących funkcji. Opcja Pomijanie uwierzytelniania adresów MAC(MAB) powoduje pomijanie sprawdzania integralności hosta w przypadku klientów innych niż klienci 802.1x lub urządzeń, na których nie jest zainstalowany klient Symantec Network Access Control. Opcja IgnorujsprawdzanieklientaSymantecNAC powoduje pomijanie sprawdzania integralności hosta w przypadku suplikantów protokołu 802.1x, na których nie jest zainstalowany klient Symantec Network Access Control. Można dodać poszczególne adresy MAC lub użyć symboli wieloznacznych reprezentujących ciągi MAC producentów. Można także zaimportować adresy MAC z pliku tekstowego. Można dodać adresy MAC ze skojarzoną siecią VLAN lub bez niej, co umożliwia obsługę wielu sieci VLAN. Nowe funkcje kontroli dostępu do sieci w programie Symantec Endpoint Protection Manager Do programu Symantec Endpoint Protection Manager dołączono następujące dodatkowe funkcje programu Symantec Network Access Control: Listy serwerów zarządzania modułów Enforcer mogą zawierać serwery zarządzania partnerów replikacji. Moduły Enforcer mogą łączyć się z dowolnym serwerem zarządzania w dowolnej lokacji partnerskiej lub u dowolnego partnera replikacji. Dzienniki zgodności klienta Symantec Network Access Control zawierają dodatkowe informacje o zdarzeniach dziennika i wynikach sprawdzania integralności hosta. Można teraz sprawdzić, który wymóg spowodował nieprawidłowy wynik sprawdzania integralności hosta na komputerze klienckim. Usługa LiveUpdate pobiera szablony integralności hosta na serwery zarządzania. Dzięki temu komputery klienckie mogą pobrać zasady integralności hosta zawierające zaktualizowane szablony integralności hosta. Grupy modułów Enforcer obsługują konta administratorów z ograniczeniami oraz konta administratorów, a także konta administratorów systemu. W dużej firmie, z wieloma lokacjami i domenami, potrzebnych jest zazwyczaj wielu administratorów, a niektórzy z nich powinni mieć większe prawa dostępu niż inni.
12 Wprowadzenie do programu Symantec Network Access Control Wymagania systemowe Funkcja Nowe funkcje modułów Enforcer Opis Program Symantec Network Access Control obsługuje następujące nowe funkcje: Obsługa systemów 64-bitowych dla modułów Integrated Enforcer. Obsługa serwera Network Policy Server (NPS) przy użyciu implementacji serwera RADIUS i serwera proxy w systemie Microsoft Windows Server 2008 (Longhorn). Moduł Enforcer może teraz uwierzytelniać klientów z systemem Windows Vista lub nowszym, używających uwierzytelniania 802.1x. W przypadku modułu DHCP Integrated Enforcer można wybiórczo włączyć oparte na zakresach egzekwowanie dla samodzielnie określonych zakresów. Urządzenie Gateway Enforcer obsługuje funkcję łączenia kanałów 802.1q i jednocześnie klientów On-Demand. Dla klientów On-Demand można wyznaczyć jedną sieć VLAN w wielokanałowej sieci VLAN. Obsługa trybu egzekwowania dla gości, co umożliwia stosowanie modułu Gateway Enforcer jako serwera pobierania dla klientów On-Demand. Moduł Gateway Enforcer pobiera klientów On-Demand na komputery-gości, umożliwiając klientom komunikację z modułem Enforcer przy użyciu przeglądarek internetowych komputerów-gości. W trybie egzekwowania dla gości moduł Gateway Enforcer nie przekazuje ruchu sieci inline. Obsługa trwałości klienta On-Demand: możliwość wyznaczania czasu działania. Rozmiar lokalnej bazy danych został zwiększony do 32 MB w celu zwiększenia liczby obsługiwanych adresów MAC. Wymagania systemowe Zasadnicze wymagania systemowe serwera Symantec Endpoint Protection Manager i klientów są takie same, jak obsługiwanych systemów operacyjnych. Dodatkowe szczegóły zawierają poniższe tabele. Tabela 1-4 przedstawia wymagania minimalne programu Symantec Endpoint Protection Manager. Tabela 1-5 przedstawia wymagania minimalne klienta Symantec Network Access Control. Tabela 1-6 przedstawia wymagania minimalne klienta Symantec Network Access Control On-Demand.
Wprowadzenie do programu Symantec Network Access Control Wymagania systemowe 13 Tabela 1-4 Składnik Procesor Wymagania systemowe programu Symantec Endpoint Protection Manager Wymagania Procesor 32-bitowy: co najmniej Intel Pentium III o szybkości 1 GHz lub równoważny (zalecany Intel Pentium 4 lub równoważny) Procesor 64-bitowy: co najmniej Pentium 4 o szybkości 2 GHz z obsługą architektury x86-64 lub równoważny Uwaga: Procesory Intel Itanium IA-64 i PowerPC nie są obsługiwane. Fizyczna pamięć RAM Dysk twardy Wyświetlacz System operacyjny Przeglądarka internetowa 1 GB pamięci RAM w 32-bitowych systemach operacyjnych, 2 GB pamięci RAM w 64-bitowych systemach operacyjnych lub więcej, jeśli wymaga tego system operacyjny Co najmniej 4 GB wolnego miejsca 800 x 600 Windows 7 Windows XP (32-bitowy, SP3 lub nowszy; 64-bitowy, wszystkie dodatki SP) Windows Server 2003 (32-bitowy, 64-bitowy, R2, SP1 lub nowszy) Windows Server 2008 (32-bitowy, 64-bitowy) Windows Small Business Server 2008 (64-bitowy) Windows Small Business Server 2011 (64-bitowy) Windows Essential Business Server 2008 (64-bitowy) Microsoft Internet Explorer 7, 8 lub 9 Mozilla Firefox 3.6 lub 4.0 Uwaga: Klientami starszymi niż wersja 12.1 można zarządzać za pomocą tej wersji programu Symantec Endpoint Protection Manager, bez względu na system operacyjny klienta. Tabela 1-5 Składnik Wymagania systemowe klienta Symantec Network Access Control Wymaganie Procesor Procesor 32-bitowy dla systemu Windows: co najmniej Intel Pentium III o szybkości 1 GHz lub równoważny (zalecany Intel Pentium 4 lub równoważny) Procesor 64-bitowy dla systemu Windows: co najmniej Pentium 4 o szybkości 2 GHz z obsługą architektury x86-64 lub równoważny. Procesory Itanium nie są obsługiwane.
14 Wprowadzenie do programu Symantec Network Access Control Wymagania systemowe Składnik Wymaganie System operacyjny Windows XP (32-bitowy, SP2 lub nowszy; 64-bitowy, wszystkie dodatki SP) Windows XP Embedded Windows Vista (32-bitowy, 64-bitowy) Windows 7 (32-bitowy, 64-bitowy) Windows Server 2003 (32-bitowy, 64-bitowy, R2, SP1 lub nowszy) Windows Server 2008 (32-bitowy, 64-bitowy) Windows Small Business Server 2008 (64-bitowy) Windows Essential Business Server 2008 (64-bitowy) Fizyczna pamięć RAM Dysk twardy Wyświetlacz 512 MB pamięci RAM lub więcej, jeśli wymaga tego system operacyjny 32-bitowy: 300 MB; 64-bitowy: 400 MB 800 x 600 Tabela 1-6 Składnik Wymagania systemowe klienta Symantec Network Access Control On-Demand Wymaganie Procesor System Windows: Intel Pentium II 550 MHz(1 GHz w systemie Windows Vista) lub szybszy System Mac: Intel, PowerPC G5 albo PowerPC G4 867 MHz lub szybszy System operacyjny Windows XP Home lub Professional (32-bitowy, z dodatkiem SP 2 i SP3) Windows Vista (32-bitowy, 64-bitowy) Windows 7 (32-bitowy, 64-bitowy) Windows Server 2003 (32-bitowy, 64-bitowy, R2, SP1 lub nowszy) Windows Server 2008 (32-bitowy, 64-bitowy) Windows Small Business Server 2008 (64-bitowy) Windows Essential Business Server 2008 (64-bitowy) Mac OS X 10.4, 10.5 lub 10.6 Miejsce na dysku i fizyczna pamięć RAM Rozmiar pobierania: 9 MB. Ilość wolnego miejsca na dysku niezbędna do uruchamiania klienta: 100 MB. Fizyczna pamięć RAM dla klienta On-Demand dla systemu Windows lub Mac: 512 MB
Wprowadzenie do programu Symantec Network Access Control Instalowanie programu Symantec Network Access Control 15 Składnik Wymaganie Przeglądarka internetowa W przypadku klienta On-Demand dla systemu Windows: Microsoft Internet Explorer 6.0 lub nowsza; Mozilla Firefox 2.0, 3.0, 3.5, 3.6.3 Uwaga: Klienci w wersji 11.0 RU6 i starszych nie obsługują programu Firefox 3.6.3. W przypadku klienta On-Demand dla systemu Mac: Apple Safari 4.0 i 5.0; Mozilla Firefox 2.0, 3.0, 3.5, 3.6.3 Uwaga: Klienci w wersji 11.0 RU6 i starszych nie obsługują programu Firefox 3.6.3. Inne Wyświetlanie obrazu: rozdzielczość Super VGA (1024x768) lub wyższa Co najmniej jedna karta Ethernet (z zainstalowanym protokołem TCP/IP) Instalowanie programu Symantec Network Access Control Zalecaną metodą jest stopniowa instalacja programu Symantec Network Access Control. To podejście umożliwia organizacji wypracowanie implementacji odpowiedniej do potrzeb. Zmiany i udoskonalenia stosuje się stopniowo, zamiast kompletnie zmieniać całą infrastrukturę zabezpieczeń. Tabela 1-7 Fazy instalacji programu Symantec Network Access Control Faza Działanie Opis Faza 1 Instalacja klientów Symantec Endpoint Protection Manager i Symantec Network Access Control. Skonfigurowanie zasad integralności hosta za pomocą programu Symantec Endpoint Protection Manager. Możliwe jest kontrolowanie dostępu komputerów przenośnych, komputerów stacjonarnych i serwerów organizacji przy użyciu egzekwowania samodzielnego. W przypadku egzekwowania samodzielnego komputery mogą uzyskiwać oprogramowanie niezbędne do uzyskania zgodności z obowiązującą zasadą zabezpieczeń. Patrz Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy na stronie 16
16 Wprowadzenie do programu Symantec Network Access Control Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy Faza Faza 2 Działanie Instalacja i konfiguracja urządzenia Gateway Enforcer. Opis Celem jest częściowa ochrona sieci, kontrolowanie dostępu przewodowego i bezprzewodowego do sieci zarówno klientów zarządzanych, jak i niezarządzanych oraz komputerów-gości. Klienci zarządzani to klienci z uruchomionym klientem Symantec Network Access Control. Klienci niezarządzani to klienci, na których: Nie jest uruchomione oprogramowanie klienckie Symantec Network Access Control. Jest uruchomione oprogramowanie klienckie Symantec Network Access Control, ale nie są zainstalowane najnowsze aktualizacje zasad. Klienci-goście to komputery przenośne, komputery stacjonarne i serwery, które nie spełniają wymagań zabezpieczeń takich, jak wymagane zainstalowane oprogramowanie i bezpieczne hasła. Są to urządzenia należące do gości takich, jak podwykonawcy, konsultanci i współpracownicy. Klientom-gościom można zezwolić na bezpieczne tymczasowe połączenie z chronioną siecią za pomocą klientów On-Demand. Patrz Instalowanie urządzenia Enforcer na stronie 23 Faza 3 Instalacja i konfiguracja urządzenia LAN Enforcer W celu pełnej ochrony sieci można kontrolować dostęp komputerów klienckich i komputerów-gości przez sieć WAN. Dla klientów zarządzanych należy użyć urządzenia LAN Enforcer. Dla klientów niezarządzanych należy użyć urządzeń LAN Enforcer lub Gateway Enforcer. Patrz Instalowanie urządzenia Enforcer na stronie 23 Patrz Typy egzekwowania w programie Symantec Network Access Control informacje na stronie 6 Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy Należy ocenić wymagania dotyczące zabezpieczeń i zadecydować, czy ustawienia domyślne zapewniają żądaną równowagę wydajności i zabezpieczeń. Niektóre sposoby zwiększania wydajności można zastosować natychmiast po zainstalowaniu programu Symantec Endpoint Protection Manager.
Wprowadzenie do programu Symantec Network Access Control Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy 17 przedstawia zadania, które należy wykonać, aby chronić komputery w sieci natychmiast po instalacji. Tabela 1-8 Zadania instalacji i konfiguracji programu Symantec Endpoint Protection Manager Działanie Planowanie architektury sieci Instalacja lub migracja serwera zarządzania Opis Przed zainstalowaniem produktu należy wykonać następujące zadania: Upewnić się, że komputer, na którym zainstalowany ma być serwer zarządzania, spełnia minimalne wymagania systemowe. Patrz Wymagania systemowe na stronie 12 W przypadku instalowania bazy danych programu Microsoft SQL Server lub migracji do niej należy mieć informacje o nazwie użytkownika i haśle. W sieciach z więcej niż 500 klientami należy określić wymagania związane z wymiarowaniem. Informacje ułatwiające planowanie średnich i wielkich instalacji zawiera dokumentacja techniczna firmy Symantec Sizing and Scalability Recommendations for Symantec Endpoint Protection (Zalecenia dotyczące wymiarowania i skalowalności dotyczące programu Symantec Endpoint Protection). Zarówno w przypadku instalowania produktu po raz pierwszy, jak i uaktualnienia z poprzedniej wersji lub migracji z innego produktu, najpierw należy zainstalować program Symantec Endpoint Protection Manager. Patrz Instalowanie serwera zarządzania i konsoli na stronie 20 Wydłużanie czasu zalogowania do konsoli Wylogowanie z konsoli następuje po jednej godzinie. Można wydłużyć ten czas.
18 Wprowadzenie do programu Symantec Network Access Control Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy Działanie Utworzenie grup i lokalizacji Opis Można dodać grupy zawierające komputery wybrane na podstawie poziomu zabezpieczeń lub wykonywanej funkcji. Można na przykład umieścić komputery o wyższym poziomie zabezpieczeń w jednej grupie, a komputery z systemem Mac w innej grupie. Jako podstawy należy użyć następującej struktury grup: Komputery stacjonarne Komputery przenośne Serwery Wyłączenie dziedziczenia w grupach specjalnych Zmiana ustawień komunikacji w celu zwiększenia wydajności Podczas instalowania programu Symantec Endpoint Protection Manager można migrować istniejące grupy z usługi Active Directory. Ewentualnie należy przeprowadzić uaktualnienie ustawień zasad i grup ze starszego oprogramowania zabezpieczającego firmy Symantec. Do komputerów można stosować różne poziomy zabezpieczeń, w zależności od tego, czy znajdują się w sieci firmy, czy też poza nią. W celu użycia tej metody należy utworzyć oddzielne lokalizacje i zastosować różne zasady zabezpieczeń do poszczególnych lokalizacji. Zazwyczaj komputery łączące się z siecią firmy zza zapory muszą mieć większe zabezpieczenia niż komputery za zaporą. Można skonfigurować lokalizację zezwalającą komputerom przenośnym znajdującym się poza biurem na automatyczne aktualizowanie definicji za pomocą serwerów firmy Symantec. Grupy domyślnie dziedziczą zabezpieczenia i ustawienia zasad z domyślnej grupy nadrzędnej Moja firma. Aby móc zmienić zabezpieczenia i ustawienia zasad nowo tworzonych grup, należy wyłączyć dziedziczenie. Wydajność sieciową można zwiększyć, zmieniając ustawienia komunikacji klient-serwer w grupach poprzez modyfikację następujących ustawień: Można użyć trybu wypychania zamiast trybu ściągania, aby kontrolować, kiedy klienci używają zasobów sieciowych w celu pobierania zasad i aktualizacji składników oprogramowania. Można zwiększyć interwał pulsu i interwał działań losowych. W przypadku mniej niż 100 klientów na serwer puls należy zwiększyć do 15-30 minut. W przypadku od 100 do 1000 klientów puls należy zwiększyć do 30-60 minut. Większe środowiska mogą wymagać większego interwału pulsu. Interwał losowego czasu pobierania można zwiększyć maksymalnie do trzykrotności interwału pulsu. Zmodyfikowanie i przetestowanie zasad integralności hosta Aktywowanie licencji produktu Należy dodać wymagania do zasady integralności hosta. Ostrzeżenie: Przed zainstalowaniem zasady na komputerach klienckich należy sprawdzić, czy zasada działa w oczekiwany sposób. Licencję należy kupić i aktywować w ciągu 60 dni od instalacji produktu. Patrz Aktywacja licencji produktu na stronie 21
Wprowadzenie do programu Symantec Network Access Control Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy 19 Działanie Przygotowanie komputerów do instalacji klienta (opcjonalnie) Opis Jeśli planowane jest zdalne instalowanie oprogramowania klienckiego, należy zmodyfikować lub wyłączyć ustawienia zapory na komputerach klienckich w celu zezwolenia na komunikację między komputerami a serwerem zarządzania. Należy użyć narzędzia ClientRemote.exe, znajdującego się w folderze /Tools/PushDeploymentWizard na dysku z produktem. Zainstalowanie oprogramowania klienckiego przy użyciu Kreatora instalacji klienta Należy utworzyć pakiet instalacji klienta i zainstalować go na komputerach klienckich. Sprawdzona metoda: należy zmienić nazwę domyślną eksportowanego pakietu na nazwę identyfikującą pakiet w systemie. Patrz Instalowanie klientów przy użyciu łącza internetowego i wiadomości e-mail na stronie 22 W większości środowisk należy stosować tryb komputera, a nie tryb użytkownika. Sprawdzenie, czy komputery są wyświetlane w oczekiwanych grupach, a klienci komunikują się z serwerem zarządzania W konsoli zarządzania, na stronie Klienci > Klienci : 1 Należy zmienić widok na Stan klienta, aby upewnić się, że komputery klienckie w każdej grupie komunikują się z serwerem zarządzania. Informacje zawierają następujące kolumny: W kolumnie Nazwa wyświetlana jest zielona kropka wskazująca klientów połączonych z serwerem zarządzania. W kolumnie Czas ostatniej zmiany stanu wyświetlany jest czas ostatniej komunikacji klienta z serwerem zarządzania. W kolumnie Wymagane ponowne uruchomienie wyświetlane są komputery klienckie, które wymagają ponownego uruchomienia w celu włączenia ochrony. W kolumnie Numer seryjny zasady wyświetlany jest najnowszy numer seryjny zasady. Zasada może nie być aktualizowana przez jeden lub dwa interwały pulsu. 2 Na kliencie należy sprawdzić, czy klient jest połączony z serwerem oraz sprawdzić, czy zasada ma najnowszy numer seryjny. Sprawdzenie i ewentualne dostosowanie harmonogramu usługi LiveUpdate Skonfigurowanie programu Symantec Endpoint Protection Manager do wysyłania alertów w wiadomościach e-mail Należy się upewnić, że aktualizacje składników oprogramowania są pobierane na komputery klienckie w czasie najmniej zakłócającym pracę użytkowników. Należy się upewnić, że skonfigurowane zostały powiadomienia ostrzegające o żądanym zdarzeniu. Alerty i powiadomienia są niezbędne do zachowania bezpieczeństwa środowiska i oszczędzają czas.
20 Wprowadzenie do programu Symantec Network Access Control Instalowanie serwera zarządzania i konsoli Informacje na temat wykonywania tych zadań zawiera Podręcznik wdrażania programu Symantec Endpoint Protection i Symantec Network Access Control. Instalowanie serwera zarządzania i konsoli W celu zainstalowania serwera i konsoli należy wykonać kilka zadań. W kreatorze instalacji obok każdego ukończonego zadania wyświetlany jest zielony znacznik wyboru. Patrz Wymagania systemowe na stronie 12 Aby zainstalować serwer i konsolę zarządzania: 1 Włóż i wyświetl dysk produktu. Instalacja powinna rozpocząć się automatycznie. Jeśli się nie rozpocznie, kliknij dwukrotnie plik Setup.exe. Jeśli produkt został pobrany, rozpakuj folder i wyodrębnij cały obraz dysku produktu na dysk fizyczny, na przykład dysk twardy. Uruchom program Setup.exe z dysku fizycznego. 2 W oknie dialogowym Symantec Endpoint Protection kliknij pozycję Zainstaluj program Symantec Endpoint Protection. 3 Kliknij pozycję ZainstalujprogramSymantecEndpointProtectionManager. 4 Na ekranie powitalnym kliknij przycisk Dalej. 5 Sprawdź kolejność zdarzeń instalacji, a następnie kliknij przycisk Dalej. 6 Na ekranie Umowa Licencyjna kliknij opcję Akceptuję warunki i postanowienia Umowy Licencyjnej, a następnie kliknij przycisk Dalej. 7 Na ekranie Folder docelowy zaakceptuj domyślny folder docelowy lub określ inny folder docelowy, a następnie kliknij przycisk Dalej. 8 Kliknij pozycję Zainstaluj. Proces instalacji rozpocznie się od instalacji programu Symantec Endpoint Protection Manager i konsoli. 9 Wykonaj instrukcje wyświetlane w kreatorze instalacji.
Wprowadzenie do programu Symantec Network Access Control Aktywacja licencji produktu 21 10 Po ukończeniu instalacji początkowej należy skonfigurować serwer i bazę danych. Uruchomiony zostanie automatycznie Kreator konfiguracji serwera zarządzania. Patrz Konfigurowanie serwera zarządzania podczas instalacji na stronie 21 11 Po skonfigurowaniu serwera i bazy danych można migrować instalację starszego oprogramowania antywirusowego firmy Symantec do nowej wersji. Patrz Instalowanie klientów przy użyciu łącza internetowego i wiadomości e-mail na stronie 22 Konfigurowanie serwera zarządzania podczas instalacji Kreator konfiguracji serwera zarządzania jest uruchamiany automatycznie po instalacji programu Symantec Endpoint Protection Manager. Patrz Instalowanie serwera zarządzania i konsoli na stronie 20 Kreatora konfiguracji serwera zarządzania można również uruchomić w dowolnej chwili po instalacji klikając przycisk Start > Wszystkie programy > Symantec Endpoint Protection Manager > Narzędzia programu Symantec Endpoint Protection Manager. W celu skonfigurowania serwera należy określić następujące informacje: Czy ma zostać użyty plik przywracania. Uwaga: Jeśli jest to pierwsza instalacja programu Symantec Endpoint Protection Manager, plik przywracania nie jest dostępny. Hasło domyślnego konta administratora. Adres e-mail, na który wysyłane będą ważne powiadomienia i raporty. Nazwa i numer portu serwera pocztowego. Można też dodać informacje o partnerze handlowym firmy Symantec zarządzającym licencjami na produkty firmy Symantec. Aktywacja licencji produktu Licencję należy aktywować, aby zapisać plik licencji w bazie danych programu Symantec Endpoint Protection Manager. Można aktywować następujące typy licencji:
22 Wprowadzenie do programu Symantec Network Access Control Instalowanie klientów przy użyciu łącza internetowego i wiadomości e-mail Licencje na wersję płatną Odnowienie licencji Licencja dla klientów przekraczających dozwoloną liczbę instalacji Można aktywować plik licencji otrzymany z następujących źródeł: Portal Symantec Licensing Partner handlowy firmy Symantec lub preferowany sprzedawca Dział sprzedaży firmy Symantec Witryna Symantec Business Store Aby aktywować licencję: 1 W konsoli kliknij pozycję Administrator, a następnie kliknij pozycję Licencje. 2 W obszarze Zadania kliknij pozycję Aktywuj licencję. 3 Wykonaj instrukcje w Kreatorze aktywacji licencji, aby ukończyć proces aktywacji. Patrz Konfigurowanie i uruchamianie serwera Symantec Endpoint Protection Manager po raz pierwszy na stronie 16 Instalowanie klientów przy użyciu łącza internetowego i wiadomości e-mail Metoda instalacji Łącze internetowe i wiadomość e-mail tworzy adres URL dla każdego pakietu instalacji klienta. Administrator wysyła łącze użytkownikom w wiadomości e-mail lub udostępnia je w lokalizacji sieciowej. Procedurę tę należy wykonać w dwóch fazach: Wybrać i skonfigurować pakiety instalacji klienta. Tworzone są pakiety instalacji klienta dla komputerów z 32-bitowymi i 64-bitowymi systemami Windows. Pakiety instalacyjne są przechowywane na komputerze z programem Symantec Endpoint Protection Manager. Powiadomić użytkowników o pakietach instalacji klienta. Do wybranych użytkowników komputerów wysyłana jest wiadomość e-mail. Wiadomość e-mail zawiera instrukcje pobrania i instalacji pakietów instalacji klienta. Użytkownicy wykonują instrukcje w celu zainstalowania oprogramowania klienckiego.
Wprowadzenie do programu Symantec Network Access Control Instalowanie urządzenia Enforcer 23 Aby zainstalować klientów przy użyciu łącza internetowego i wiadomości e-mail: 1 Na stronie głównej, w menu Typowe zadania wybierz polecenie Zainstaluj klienta systemu ochrony na komputerach. 2 Wybierz żądany typ instalacji, a następnie kliknij przycisk Dalej. Opcja Instalacjanowegopakietu powoduje użycie pakietów przechowywanych na serwerze Symantec Endpoint Protection Manager. Domyślnie dostępne są dwa typy pakietów. Można utworzyć nowe pakiety z niestandardowymi ustawieniami i funkcjami. Opcja Instalacja istniejącego pakietu umożliwia użycie wcześniej wyeksportowanych pakietów. 3 W przypadku nowego pakietu wybierz pakiet, grupę, zestaw funkcji instalacji i opcje składników oprogramowania, a następnie kliknij przycisk Dalej. Serwer zarządzania zawiera prekonfigurowane pakiety. 4 Kliknij pozycję Łącze internetowe i wiadomość e-mail, a następnie kliknij przycisk Dalej. 5 Na ekranie Treść i adresaci wiadomości e-mail określ adresatów i temat wiadomości e-mail, a następnie kliknij przycisk Dalej. Można określić adresatów wiadomości e-mail z adresem URL albo skopiować adres URL i opublikować go w wygodnej lokalizacji online. Aby określić wielu adresatów wiadomości e-mail, wpisuj przecinek po każdym adresie e-mail. 6 Aby dostarczyć łącze w wiadomości e-mail, zaakceptuj domyślny temat i tekst wiadomości albo edytuj je, a następnie kliknij przycisk Dalej. 7 Kliknij przycisk Zakończ. 8 Komputery klienckie muszą zostać ponownie uruchomione po instalacji przez administratora lub użytkowników. 9 Sprawdź, czy użytkownicy komputerów otrzymali wiadomość e-mail i zainstalowali oprogramowanie klienckie. Instalowanie urządzenia Enforcer Tabela 1-9 przedstawia kroki instalacji wszystkich typów urządzeń Enforcer.
24 Wprowadzenie do programu Symantec Network Access Control Wskaźniki i elementy sterujące urządzenia Enforcer Tabela 1-9 Zestawienie instalacji urządzenia Enforcer Krok Krok 1 Działanie Wyznaczenie umiejscowienia modułów Enforcer w sieci. Opis Urządzenia Enforcer należy rozmieścić w określonych lokalizacjach w sieci, aby zapewnić zgodność wszystkich systemów końcowych z obowiązującą zasadą zabezpieczeń. Krok 2 Krok 3 Skonfigurowanie urządzenia. Skonfigurowanie urządzenia. Urządzenie Enforcer należy podłączyć do sieci. Patrz Wskaźniki i elementy sterujące urządzenia Enforcer na stronie 24 Patrz Instalacja urządzenia Enforcer na stronie 26 Należy zalogować się i skonfigurować urządzenie Enforcer za pomocą wiersza polecenia modułu Enforcer. Patrz Logowanie się do urządzenia Enforcer na stronie 27 Patrz Konfiguracja urządzenia Enforcer na stronie 28 Wskaźniki i elementy sterujące urządzenia Enforcer Urządzenie Enforcer jest instalowane w obudowie o wysokości 1U montowanej w szafie rack ze statycznymi prowadnicami. Ilustracja 1-1 przedstawia elementy sterujące, wskaźniki i złącza znajdujące się za opcjonalnym panelem maskującym na przednim panelu. Ilustracja 1-1 Panel przedni urządzenia Enforcer 1 2 3 4 5 Napęd DVD-ROM Wyłącznik zasilania Przycisk resetowania Porty USB Dioda dysku twardego