Lösungshandbuch für Symantec Endpoint Protection und Symantec Network Access Control

Transkript

1 Lösungshandbuch für Symantec Endpoint Protection und Symantec Network Access Control

2 Lösungshandbuch für Symantec Endpoint Protection und Symantec Network Access Control Die im vorliegenden Handbuch beschriebene Software wird im Rahmen einer Lizenzvereinbarung zur Verfügung gestellt und darf nur im Einklang mit den Bestimmungen dieser Vereinbarung verwendet werden. Dokumentation - Version Rechtlicher Hinweis Copyright 2008 Symantec Corporation. Alle Rechte vorbehalten. Symantec, das Symantec-Logo, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton und TruScan sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer verbundenen Unternehmen in den USA und anderen Ländern. Andere Bezeichnungen können Marken anderer Rechteinhaber sein. Dieses Symantec-Produkt kann Software anderer Hersteller enthalten, wodurch Symantec einen Beitrag für andere Hersteller liefert ("Nicht-Symantec-Programme"). Einige Nicht-Symantec-Programme stehen als Open Source- oder freie Software-Lizenzen zur Verfügung. Die Lizenzvereinbarung zur Software ändert keine Rechte oder Verpflichtungen, die Sie unter jenen Open Source- oder freien Software-Lizenzen haben können. Weitere Informationen zu Nicht-Symantec-Programmen finden Sie im Anhang zu dieser Dokumentation mit den rechtlichen Hinweisen zu Nicht-Symantec-Programmen oder in der ReadMe-Datei TPIP zu diesem Symantec-Produkt. Das in diesem Dokument beschriebene Produkt wird lizenziert vertrieben. Die Lizenzen beschränken die Verwendung, Vervielfältigung, Verteilung und Dekompilierung bzw. Rückentwicklung des Produkts. Kein Teil dieses Dokuments darf ohne vorherige schriftliche Zustimmung von Symantec Corporation und ihrer Lizenzgeber, sofern vorhanden, in irgendeiner Form reproduziert werden. DIE DOKUMENTATION WIRD OHNE MÄNGELGEWÄHR BEREITGESTELLT. ALLE AUSDRÜCKLICHEN UND STILLSCHWEIGENDEN VORAUSSETZUNGEN, DARSTELLUNGEN UND GEWÄHRLEISTUNGEN, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER NICHT-BEEINTRÄCHTIGUNG, SIND AUSGESCHLOSSEN, AUSSER IN DEM UMFANG, IN DEM SOLCHE HAFTUNGSAUSSCHLÜSSE ALS NICHT RECHTSGÜLTIG ANGESEHEN WERDEN. SYMANTEC CORPORATION IST NICHT FÜR BEILÄUFIG ENTSTANDENE SCHÄDEN ODER FÜR FOLGESCHÄDEN VERANTWORTLICH, DIE IN VERBINDUNG MIT DER ERWORBENEN LEISTUNG ODER DER VERWENDUNG DIESER DOKUMENTATION STEHEN. DIE IN DIESER DOKUMENTATION ENTHALTENEN INFORMATIONEN KÖNNEN JEDERZEIT OHNE ANKÜNDIGUNG GEÄNDERT WERDEN. Die lizenzierte Software und die Dokumentation gelten als kommerzielle Computer-Software gemäß FAR und unterliegen eingeschränkten Rechten, definiert in FAR Abschnitt "Commercial Computer Software - Restricted Rights" bzw. DFARS ,

3 "Rights in Commercial Computer Software or Commercial Computer Software Documentation" und deren Nachfolgevorschriften. Jegliche Nutzung, Änderung, Reproduktion, Vorführung, Vorstellung oder Offenbarung der lizenzierten Software und Dokumentation durch die US-amerikanische Regierung darf ausschließlich in Übereinstimmung mit den Bedingungen dieser Vereinbarung erfolgen. Symantec Corporation Stevens Creek Blvd. Cupertino, CA USA

4 Lösungen für Service und Unterstützung Registrierung und Lizenzierung Sicherheits-Updates Symantec bemüht sich weltweit um ausgezeichnete Serviceleistungen. Unser Ziel ist, Ihnen professionelle Hilfestellung bei der Anwendung unserer Software zu leisten und professionelle Dienste anzubieten ganz gleich, in welchem Land. Die Angebote für Service und Unterstützung sind von Land zu Land unterschiedlich. Wenn Sie Fragen zu den unten beschriebenen Dienstleistungen haben, lesen Sie bitte den Abschnitt "Alle Kontaktinformationen auf einen Blick". Falls für das von Ihnen installierte Produkt eine Registrierung und/oder ein Lizenzschlüssel erforderlich sind, bietet unsere Lizenz- und Registrierungssite unter (auf Englisch) eine schnelle und einfache Methode zur Registrierung Ihres Dienstes. Sie können aber auch auf der Site das Produkt auswählen, das Sie registrieren möchten, und auf der Produkt-Homepage den Link "Lizenzierung und Registrierung" wählen. Wenn Sie ein Unterstützungsabonnement erworben haben, können Sie technische Unterstützung über Telefon und Internet in Anspruch nehmen. Halten Sie bei der ersten Kontaktaufnahme entweder die Lizenznummer aus Ihrem Lizenzzertifikat oder die bei der Unterstützungsregistrierung erzeugte Kontakt-ID bereit, so dass ein Mitarbeiter der technischen Unterstützung ihre Berechtigung überprüfen kann. Wenn Sie kein Unterstützungsabonnement erworben haben, erfahren Sie Einzelheiten zum Erwerb technischer Unterstützung über Ihren Händler oder den Symantec-Kundenservice. Aktuelle Informationen zu Viren und Sicherheitsbedrohungen finden Sie auf der Symantec Security Response-Website (vormals Antivirus Research Centre) unter folgender Adresse: Diese Site enthält umfassende Online-Informationen zu Sicherheits- und Virenbedrohungen sowie die neuesten Virendefinitionen. Virendefinitionen können außerdem mithilfe der LiveUpdate-Funktion Ihres jeweiligen Produkts heruntergeladen werden. Erneuern des Abonnements für Virendefinitions-Updates Wenn Sie zusammen mit Ihrem Produkt einen Wartungsvertrag erwerben, sind Sie ein Jahr lang zum Bezug kostenloser Virendefinitionen über das Internet

5 Symantec-Websites: berechtigt. Nach Ablauf Ihres Wartungsvertrags erhalten Sie Informationen zur Erneuerung des Vertrags über Ihren Händler oder den Symantec-Kundenservice. Symantec-Homepage (nach Sprache): Deutsch: Englisch: Französisch: Italienisch: Niederländisch: Portugiesisch: Spanisch: Symantec Security Response: Service und Unterstützung für Symantec Enterprise: Produktspezifisches Newsbulletin: USA, Asien - Pazifik/Englisch: Europa, Nahost und Afrika/Englisch: Deutsch: Französisch: Italienisch:

6 Lateinamerika/Englisch: Technische Unterstützung Als Teil von Symantec Security Response verfügt unser globales Team für die technische Unterstützung weltweit über Support-Zentren. Vorrangige Aufgabe ist die Beantwortung von Fragen zu Produktfunktionen, zur Installation und zur Konfiguration sowie die Bereitstellung von aktuellen Informationen in unserer webbasierten Unterstützungsdatenbank. Dabei arbeiten wir eng mit anderen Unternehmensbereichen von Symantec zusammen, um Ihre Fragen schnellstmöglich zu beantworten. In enger Kooperation mit den Product Engineering- und Security Research Center-Experten bieten wir Ihnen umfassende Warndienste und Virendefinitions-Updates für Virenausbrüche und Sicherheitswarnungen. Unser Angebot umfasst u. a.: Zahlreiche Unterstützungsoptionen, mit denen Sie den Umfang des für Ihre Unternehmensgröße benötigten Supports flexibel wählen können. Telefon- und Internetunterstützung, über die Sie schnelle Hilfe und aktuelle Informationen erhalten. Produkt-Updates gewährleisten automatischen Schutz durch Software-Upgrades. Inhalts-Updates für Virendefinitionen und Sicherheits-Signaturen sorgen für optimalen Schutz. Der globale Support durch die Experten von Symantec Security Response steht Ihnen weltweit rund um die Uhr (24x7) in zahlreichen Sprachen zur Verfügung. Erweiterte Funktionen wie beispielsweise der Symantec Alerting Service und der persönliche Technical Account Manager gewährleisten verbesserte Reaktionszeiten und proaktiven Sicherheits-Support. Aktuelle Informationen über unsere Unterstützungsprogramme finden Sie auf unserer Website. Kontakt Kunden mit einem gültigen Unterstützungsvertrag können sich telefonisch oder über das Internet an die technische Unterstützung wenden, entweder unter der nachstehenden URL oder über die weiter hinten in diesem Dokument aufgeführten regionalen Unterstützungssites. Halten Sie dabei die folgenden Informationen bereit: Nummer des Produkt-Release

7 Hardware-Informationen Verfügbarer Arbeitsspeicher, freier Festplattenspeicher, installierte Netzwerkkarte Betriebssystem Versions- und Patch-Nummer Netzwerktopologie Router, Gateway und IP-Adressinformationen Beschreibung des Problems Fehlermeldungen/Protokolldateien Die vor der Kontaktaufnahme mit Symantec durchgeführten Schritte zur Problemlösung Kürzlich durchgeführte Änderungen der Software- und/oder Netzwerkkonfiguration Kundenservice Das Symantec-Kundenservice-Center hilft Ihnen bei nicht-technischen Anfragen, beispielsweise: Allgemeine Produktinformationen (z. B. Leistungsmerkmale, Preise, Sprachverfügbarkeit, Händler in Ihrer Nähe usw.) Hilfe bei einfachen Problemen, z. B. wie Sie Ihre Versionsnummer überprüfen können Neueste Informationen zu Produkt-Updates und -Upgrades Wie Sie Ihr Produkt aktualisieren oder eine neue Version (Upgrade) installieren können Wie Sie Ihr Produkt und/oder Lizenzen registrieren können Informationen zu den Lizenzprogrammen von Symantec Informationen zu Upgrade-Versicherung und Wartungsverträgen Ersatz fehlender CDs und Handbücher Aktualisierung Ihrer Registrierungsdaten bei Adress- und Namensänderungen Beratung zu den Optionen der technischen Unterstützung von Symantec Ausführliche Kundenservice-Informationen erhalten Sie auf der Symantec-Website für Service und Unterstützung oder durch einen Anruf beim Kundenservice-Center von Symantec. Die Webadressen und die Nummer Ihres lokalen

8 Kundenservice-Centers finden Sie unter "Alle Kontaktinformationen auf einen Blick". Alle Kontaktinformationen auf einen Blick Europa, Naher Osten und Lateinamerika Symantec-Websites für Service und Unterstützung Deutsch: Englisch: Französisch: Italienisch: Niederländisch: Portugiesisch: Spanisch: Symantec FTP: ftp.symantec.com (Herunterladen von technischen Hinweisen und neuesten Patches) Besuchen Sie "Symantec Service und Unterstützung" im Internet. Dort finden Sie technische und allgemeine Informationen zu Ihrem Produkt. Symantec Security Response: Produktspezifisches Newsbulletin: USA/Englisch: Europa, Nahost und Afrika/Englisch: Deutsch: Französisch:

9 Italienisch: Lateinamerika/Englisch: Symantec-Kundenservice Bietet allgemeine Produktinformationen und Beratung per Telefon in den folgenden Sprachen: Englisch, Deutsch, Französisch und Italienisch. Belgien: + (32) Dänemark: + (45) Deutschland: + (49) Finnland: + (358) Frankreich: + (33) Großbritannien: + (44) Irland: + (353) Italien: + (39) Luxemburg: + (352) Niederlande: + (31) Norwegen: + (47) Österreich: + (43) Schweden: + (46)

10 Schweiz: + (41) Spanien: + (34) Südafrika: + (27) Andere Länder: + (353) (Nur in englischer Sprache) Symantec-Kundenservice - Korrespondenzadresse Symantec Ltd Customer Service Centre Europe, Middle East and Africa (EMEA) PO Box 5689 Dublin 15 Irland Für Lateinamerika Symantec bietet weltweit technische Unterstützung und Kundenservice. Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen internationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhanden ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-Geschäftsstelle für Service und Unterstützung in Ihrer Region. ARGENTINIEN Pte. Roque Saenz Peña Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentinien Hauptrufnummer: +54 (11) WebSite: Gold Support: VENEZUELA Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanización el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela

11 Hauptrufnummer: +58 (212) Website: Gold Support: COLUMBIEN Carrera 18# 86A-14 Oficina 407, Bogota D.C. Columbien Hauptrufnummer: +57 (1) Website: Gold Support: BRASILIEN Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, andar São Paulo - SP CEP: Brasilien, SA Hauptrufnummer: +55 (11) Fax: +55 (11) Website: Gold Support: CHILE Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Hauptrufnummer: +56 (2) Website: Gold Support: MEXIKO Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mexiko Hauptrufnummer: +52 (55)

12 Website: Gold Support: ÜBRIGES LATEINAMERIKA 9155 South Dadeland Blvd. Suite 1100, Miami, FL U.S.A Website: Gold Support: Costa Rica: Panama: Puerto Rico: Für Asien-Pazifik Symantec bietet weltweit technische Unterstützung und Kundenservice. Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen internationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhanden ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-Geschäftsstelle für Service und Unterstützung in Ihrer Region. Geschäftsstellen für Service und Unterstützung AUSTRALIEN Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australien Hauptrufnummer: Fax: Website: Gold Support: gold.au@symantec.com Support Contracts Admin: contractsadmin@symantec.com CHINA Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing China P.R.C.

13 Hauptrufnummer: Technische Unterstützung: Fax: Website: HONGKONG Symantec Hong Kong Central Plaza Suite # th Floor, 18 Harbour Road Wanchai HongKong Hauptrufnummer: Technische Unterstützung: Fax: Website: INDIEN Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai , Indien Hauptrufnummer: Technische Unterstützung: Fax: Website: KOREA Symantec Korea 15,16th Floor Dukmyung B/D Samsung-Dong KangNam-Gu Seoul Südkorea Hauptrufnummer: Technische Unterstützung: Fax:

14 Website: MALAYSIA Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A Petaling Jaya Selangor Darul Ehsan Malaysia Hauptrufnummer: Technische Unterstützung: Enterprise Enterprise gebührenfrei: Website: NEUSEELAND Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Neuseeland Hauptrufnummer: Fax: Website für Unterstützung: Gold Support: gold.nz@symantec.com Support Contracts Admin: contractsadmin@symantec.com SINGAPUR Symantec Singapore 6 Battery Road #22-01/02/03 Singapur Hauptrufnummer: Fax: Technische Unterstützung: Website:

15 TAIWAN Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taiwan Hauptrufnummer: Corporate Support: Fax: Gold Support: gold.nz@symantec.com Website: Wir haben uns um größtmögliche Genauigkeit der Informationen in diesem Dokument bemüht. Die Informationen unterliegen jedoch gelegentlichen Änderungen. Symantec Corporation behält sich das Recht vor, solche Änderungen ohne vorherige Ankündigung vorzunehmen.

16

17 Inhalt Lösungen für Service und Unterstützung... 4 Kapitel 1 Lösungen Lösungen Abschnitt 1 Kapitel 2 Bewährte Methoden für das Verwalten der Clients Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Kommunikationsprobleme Überprüfen der Kommunikation zwischen Management-Server und Client Prüfen der Kommunikation zwischen dem Management-Server und der Konsole oder der Datenbank Anzeigen des Client-Status in der Management-Konsole Client-Statussymbol auf dem Client Anzeigen der Richtlinien-Seriennummer Ausführen einer manuellen Richtlinienaktualisierung zur Prüfung der Richtlinien-Seriennummer Prüfen der Verbindung zum Management-Server mithilfe des Ping-Befehls Verwenden eines Browsers zum Testen der Verbindung zum Management-Server Verwenden von Telnet zum Prüfen der Verbindung zum Management-Server Prüfen der Posteingangsprotokolle auf dem Management-Server Prüfen der IIS-Protokolle auf dem Management-Server Prüfen des Debug-Protokolls auf dem Client-Computer Überprüfen der Verbindung mit der Datenbank Konfigurieren der Rechte für IIS... 39

18 18 Inhalt Kapitel 3 Kapitel 4 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Beheben von Content-Update-Problemen auf Clients Content-Typen für Symantec Endpoint Protection Festlegen, wie ein Client zum Erhalten von Content konfiguriert wird Netzwerkverbindungen und Clients Aktivieren des Verbindungsstatus von Clients Absichern der Kommunikation zwischen Client und Content-Anbieter Festlegen von Content-Updates vom Management-Server für Clients Vergleichen des Contents auf dem Client mit dem Content auf dem Management-Server Vergleichen des Content-Cache Vergleichen von Content-Versionen mit der Management-Konsole Anzeigen der neuesten LiveUpdate-Downloads auf den Management-Server Überprüfen der LiveUpdate-Einstellungen auf dem Management-Server Überprüfen der Einstellungen der LiveUpdate-Content-Richtlinie Überprüfen der LiveUpdate-Einstellungsrichtlinie Ausführen einer manuellen LiveUpdate-Sitzung von der Management-Konsole aus Vorgehensweise bei Problemen, die auch nach dem Prüfen der Verbindung und der LiveUpdate-Einstellungen auftreten Anzeigen des LiveUpdate-Protokolls Anzeigen des Debug-Protokolls auf dem Client Erstellen von sylink-protokollen Verwenden des Tools DebugView Einrichten und Verwalten von Mobile Clients und Remote-Clients Mobile Clients und Remote-Clients Einrichten von Gruppen und Standorten Häufige Mobile Client- und Remote-Client-Szenarios Kriterien für die Standorterkennung Einrichten von Standorterkennungs-Bedingungen für Szenario eins... 64

19 Inhalt 19 Einrichten von Standorterkennungs-Bedingungen für Szenario zwei Verstärken von Sicherheitsrichtlinien für Remote-Clients Bewährte Einstellungen für Firewall-Richtlinien Bewährte Einstellungen für Virenschutz- und Antispyware-Richtlinien Bewährte Einstellungen für LiveUpdate-Richtlinien Bewährte Einstellungen für Richtlinien zur Anwendungssteuerung Client-Benachrichtigungen Anpassen der Verwaltungseinstellungen von Client-Protokollen Verwalten von Lastverteilung und Roaming Überwachen von Remote-Clients Kapitel 5 Abschnitt 2 Kapitel 6 Symantec Endpoint Protection-Verwaltung: Server, Standorte und Group Update Provider Symantec Endpoint Protection-Verwaltungstopologie Organisatorische Faktoren Entscheiden zwischen einem oder mehreren Standorten Aktualisieren von Content Hochverfügbarkeit und Failover Lastverteilung und Roaming Bewährte Methoden für Gesamtsicherheit Verwalten der proaktiven TruScan-Bedrohungsprüfungen Verwalten der proaktiven TruScan-Bedrohungsprüfungen Verwalten von Ausnahmen Überwachen der Prüfereignisse Erstellen von Ausnahmen für erkannte Prozesse Anpassen der Prüfungseinstellungen Index... 97

20 20 Inhalt

21 Kapitel 1 Lösungen In diesem Kapitel werden folgende Themen behandelt: Lösungen Lösungen Symantec Endpoint Protection und Symantec Network Access Control sind komplette Softwarelösungen, die zur Lösung von Problemen mit der Netzwerksicherheit entwickelt wurden. Sie bieten Bedrohungsschutz für Unternehmen aller Größen. Sie wurden so entwickelt, dass sie flexibel und einfach in der Handhabung sind und eine große Zahl an Konfigurationsmöglichkeiten bieten. Es gibt dementsprechend viele Faktoren, die sich darauf auswirken, wie die Software am besten eingerichtet und verwendet wird. Sie können Lösungen verwenden, um für Ihr Unternehmensnetzwerk eine sichere Umgebung zu gewährleisten. Jede Lösung bietet entweder verschiedene Szenarios oder eine Beschreibung von bewährten Methoden, die Sie verwenden können. Die Lösung hängt von verschiedenen Faktoren ab, wie etwa den Typen und der Anzahl der Endpunkte, den verfügbaren Mitarbeitern im technischen Support und der Anzahl der Standorte. Beispielsweise können Lösungen Sie dabei unterstützen, Probleme zu lösen, die sich auf die Kommunikation mit den Client-Computern und deren Sicherheit auswirken. Weitere Informationen über die in den Support-Datenbank-Artikeln und den häufig gestellten Fragen verfügbaren Lösungen finden Sie auf der Symantec-Website für den technischen Support: Bevor Sie eine Lösung implementieren, müssen Sie die Installationsanleitung für Symantec Endpoint Protection und Symantec Network Access Control und das Administratorhandbuch für Symantec Endpoint Protection und Symantec Network Access Control lesen und die Software in einer Testumgebung installieren. Die

22 22 Lösungen Lösungen Lösungen wurden für den Systemadministrator entwickelt, der die Produkte installiert und pflegt.

23 Abschnitt 1 Bewährte Methoden für das Verwalten der Clients Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Einrichten und Verwalten von Mobile Clients und Remote-Clients Symantec Endpoint Protection-Verwaltung: Server, Standorte und Group Update Provider

24 24

25 Kapitel 2 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server In diesem Kapitel werden folgende Themen behandelt: Kommunikationsprobleme Anzeigen des Client-Status in der Management-Konsole Client-Statussymbol auf dem Client Anzeigen der Richtlinien-Seriennummer Ausführen einer manuellen Richtlinienaktualisierung zur Prüfung der Richtlinien-Seriennummer Prüfen der Verbindung zum Management-Server mithilfe des Ping-Befehls Verwenden eines Browsers zum Testen der Verbindung zum Management-Server Verwenden von Telnet zum Prüfen der Verbindung zum Management-Server Prüfen der Posteingangsprotokolle auf dem Management-Server Prüfen der IIS-Protokolle auf dem Management-Server Prüfen des Debug-Protokolls auf dem Client-Computer Überprüfen der Verbindung mit der Datenbank

26 26 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Kommunikationsprobleme Konfigurieren der Rechte für IIS Kommunikationsprobleme Sie müssen gelegentlich aus verschiedenen Gründen die Kommunikation zwischen dem Client und dem Server überprüfen. Beispielsweise empfängt der Client möglicherweise keine Richtlinien- oder Content-Updates oder die entsprechenden Rechte sind unter Umständen nicht für IIS konfiguriert. Diese Komponenten enthalten den Client, die Konsole und die Datenbank. Überprüfen der Kommunikation zwischen Management-Server und Client Wenn Sie Probleme mit der Kommunikation zwischen Client und Server haben, sollten Sie zuerst sicherstellen, dass keine Netzwerkprobleme vorliegen. Sie sollten auch die Netzwerkverbindungen prüfen, bevor Sie sich mit dem technischen Support von Symantec in Verbindung setzen. Sie können die Kommunikation zwischen dem Client und dem Management-Server auf verschiedene Arten prüfen. Tabelle 2-1 beschreibt die Schritte zum Prüfen der Kommunikation zwischen dem Client-Computer und dem Management-Server. Tabelle 2-1 Überprüfen der Kommunikation zwischen Management-Server und Client Zu prüfende Elemente Prüfen Sie das Client-Statussymbol. Beschreibung Sie können das Statussymbol im Client und in der Management-Konsole prüfen. Prüfen Sie die Seriennummer der Richtlinie im Client und in der Management-Konsole. Die Seriennummer stimmt überein, wenn der Client mit dem Server kommunizieren kann und regelmäßige Richtlinien-Updates erhält. Sie können ein manuelles Richtlinien-Update durchführen und die Seriennummern der Richtlinie anschließend miteinander vergleichen.

27 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Kommunikationsprobleme 27 Zu prüfende Elemente Testen Sie die Verbindung zwischen dem Client und dem Management-Server. Beschreibung Sie können Befehle auf dem Client ausführen, um die Verbindung zum Management-Server zu prüfen. Sie können folgende Tests ausführen: Senden Sie einen Ping-Befehl vom Client-Computer an den Management-Server. Senden Sie einen Telnet-Befehl vom Client-Computer an den Management-Server. Verwenden Sie einen Web-Browser auf dem Client-Computer, um eine Verbindung zum Management-Server herzustellen. Prüfen Sie Ihre Verbindung auf mögliche Netzwerkprobleme. Prüfen Sie folgende Elemente, um sicherzustellen, dass es keine Netzwerkprobleme gibt: Testen Sie zuerst die Verbindung zwischen dem Client und dem Management-Server. Wenn der Client-Computer keinen Ping- oder Telnet-Befehl an den Management-Server senden kann, sollten Sie den DNS-Dienst für den Client überprüfen. Prüfen Sie den Routing-Pfad des Clients. Prüfen Sie, dass beim Management-Server kein Netzwerkproblem vorliegt. Prüfen Sie, dass die Symantec Endpoint Protection-Firewall (oder die Firewall eines anderen Herstellers) keine Netzwerkprobleme verursacht. Prüfen Sie die IIS-Protokolle auf dem Management-Server. Sie können die IIS-Protokolle auf dem Management-Server prüfen. Mithilfe der Protokolle können Sie feststellen, ob der Client mit dem IIS-Server auf dem Management-Server-Computer kommunizieren kann. Prüfen Sie die Debug-Protokolle auf dem Client. Mithilfe des Debug-Protokolls auf dem Client können Sie feststellen, ob der Client Kommunikationsprobleme hat. Prüfen der Kommunikation zwischen dem Management-Server und der Konsole oder der Datenbank Wenn Sie ein Verbindungsproblem mit der Konsole oder der Datenbank haben, kann es sich um eines der folgenden Symptome handeln: Der Management-Server-Dienst (semsrv) wird beendet. Der Management-Server-Dienst bleibt nicht im gestarteten Status.

28 28 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Kommunikationsprobleme Auf der Startseite sowie auf den Seiten "Überwachung" und "Berichte" wird ein HTTP-Fehler angezeigt. Die Startseite sowie die Seiten "Überwachung" und "Berichte" sind leer. Auf der Startseite sowie auf den Seiten "Überwachung" und "Berichte" wird eine kontinuierlich ladende Fortschrittsleiste angezeigt, ohne dass Inhalt angezeigt wird. Eine Meldung wird angezeigt und gibt an, dass zu viele Benutzer eine Verbindung hergestellt haben. Bei all diesen Problemen wird der Fehler "Java -1" im Windows-Ereignisprotokoll angezeigt. Um die spezifische Ursache für den Fehler "Java -1" zu finden, prüfen Sie das Scm-Server-Protokoll. Das Scm-Server-Protokoll befindet sich im Allgemeinen im folgenden Verzeichnis: C:\Programme\Symantec\Symantec Endpoint Protection Manager\tomcat\logs\scm-server-0.log Tabelle 2-2 beschreibt die Aktionen, die Sie als Reaktion auf die Kommunikationsfehler mit der Konsole oder der Datenbank ergreifen können. Tabelle 2-2 Prüfen der Kommunikation mit der Konsole oder der Datenbank Zu prüfende Elemente Testen Sie die Verbindung zwischen der Datenbank und dem Management-Server. Prüfen Sie, ob die Heap-Größe des Management-Servers korrekt ist. Beschreibung Sie können überprüfen, ob der Management-Server und die Datenbank ordnungsgemäß kommunizieren. Siehe "Überprüfen der Verbindung mit der Datenbank" auf Seite 37. Sie müssen unter Umständen die Heap-Größe für das Betriebssystem des Management-Servers entsprechend anpassen. Wenn Sie nicht an der Remote-Konsole des Management-Servers anmelden können oder wenn eine "Out-of-memory"-Meldung im Smc-Server-Protokoll angezeigt wird, müssen Sie unter Umständen die Heap-Größe erhöhen. Die Standard-Heap-Größe für Symantec Endpoint Protection Manager ist 256 MB. Weitere Informationen zu den Systemanforderungen finden Sie im Installationshandbuch für Symantec Endpoint Protection und Symantec Network Access Control.

29 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Kommunikationsprobleme 29 Zu prüfende Elemente Stellen Sie sicher, dass auf dem Management-Server nicht mehrere Versionen von PHP ausgeführt werden. Überprüfen Sie die Anzahl der gleichzeitigen Verbindungen mit dem Client. Beschreibung Sie können überprüfen, ob auf dem Management-Server mehrere Software-Pakete ausgeführt werden, die verschiedene Versionen von PHP verwenden. PHP prüft auf eine globale Konfigurationsdatei (php.ini). Wenn es mehrere Konfigurationsdateien gibt, müssen Sie jedes Produkt dazu zwingen, seinen eigenen Interpreter zu verwenden. Wenn jedes Produkt die richtige Version des zugehörigen PHP verwendet, funktioniert der Management-Server ordnungsgemäß. Sie können sicherstellen, dass Sie nicht mehr als zehn gleichzeitige Verbindungen mit dem Client aufgebaut haben. Sie haben unter Umständen zu viele Verbindungen aufgebaut, wenn der Management-Server die folgenden Fehlermeldungen anzeigt: Zu viele Benutzer haben eine Verbindung hergestellt. Es können keine weiteren Verbindungen mehr zu diesem Remote-Computer hergestellt werden, da gegenwärtig bereits so viele Verbindungen hergestellt sind, wie der Computer akzeptieren kann. In Ihrer Endbenutzer-Lizenzvereinbarung (EULA) von Microsoft ist die Anzahl der zulässigen Verbindungen aufgeführt. Windows XP Professional Edition und Windows 2000 Professional Edition sind auf maximal zehn gleichzeitige Verbindungen begrenzt. Sie können die Anzahl der Verbindungen erhöhen, indem Sie eine der folgenden Aktionen ausführen: Installieren Sie den Management-Server auf einer anderen Windows-Version, wie z. B. Windows Server Wechseln Sie im Client zum Pull-Modus, und erhöhen Sie das Zeitintervall, in dem der Client die Sicherheitsrichtlinie herunterlädt. Im Pull-Modus hält der Management-Server die Verbindung mit dem Client aufrecht. Im Pull-Modus hält der Management-Server die Verbindung nicht aufrecht. Je länger das Pull-Modus-Intervall desto mehr gleichzeitige Verbindungen kann der Management-Server haben.

30 30 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Anzeigen des Client-Status in der Management-Konsole Zu prüfende Elemente Prüfen Sie die Systemanforderungen. Beschreibung Sie können prüfen, ob der Client und der Management-Server mit den minimalen oder empfohlenen Systemanforderungen ausgeführt werden. Überprüfen Sie, ob die entsprechenden Rechte für IIS konfiguriert sind. Weitere Informationen finden Sie im Installationshandbuch für Symantec Endpoint Protection und Symantec Network Access Control. Sie können überprüfen, ob Internet Information Services (IIS) mit den entsprechenden Rechten konfiguriert ist. Wenn IIS nicht ordnungsgemäß konfiguriert ist, zeigt der Management-Server einen HTTP-Fehler oder leeren Seiten auf der Startseite sowie auf den Seiten "Überwachung" oder "Berichte" an. Siehe "Konfigurieren der Rechte für IIS" auf Seite 39. Anzeigen des Client-Status in der Management-Konsole Sie können das Client-Status-Symbol in der Management-Konsole sowie auf dem Client direkt prüfen, um den Client-Status zu bestimmen. Tabelle 2-3 zeigt die verschiedenen Symbole an, die möglicherweise in der Management-Konsole für den Client-Status angezeigt werden. Tabelle 2-3 Symbol Client-Status-Symbole in der Management-Konsole Beschreibung Dieses Symbol zeigt folgenden Status an: Der Client kann mit Symantec Endpoint Protection Manager kommunizieren. Der Client ist im Computermodus. Dieses Symbol zeigt folgenden Status an: Der Client kann nicht mit Symantec Endpoint Protection Manager kommunizieren. Der Client ist im Computermodus. Der Client kann von der Konsole hinzugefügt worden sein und hat möglicherweise keine Symantec-Client-Software installiert.

31 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Anzeigen des Client-Status in der Management-Konsole 31 Symbol Beschreibung Dieses Symbol zeigt folgenden Status an: Der Client kann mit Symantec Endpoint Protection Manager kommunizieren. Der Client ist im Computermodus. Der Client ist ein Unmanaged Detector. Dieses Symbol zeigt folgenden Status an: Der Client kann nicht mit Symantec Endpoint Protection Manager kommunizieren. Der Client ist im Computermodus. Der Client ist ein Unmanaged Detector. Dieses Symbol zeigt folgenden Status an: Der Client kann mit Symantec Endpoint Protection Manager kommunizieren. Der Client ist im Benutzermodus. Dieses Symbol zeigt folgenden Status an: Der Client kann nicht mit Symantec Endpoint Protection Manager kommunizieren. Der Client ist im Benutzermodus. Der Client kann von der Konsole hinzugefügt worden sein und hat möglicherweise keine Symantec-Client-Software installiert. Dieses Symbol zeigt folgenden Status an: Der Client kann mit Symantec Endpoint Protection Manager an einem anderen Standort kommunizieren. Der Client ist im Computermodus. Dieses Symbol zeigt folgenden Status an: Der Client kann mit Symantec Endpoint Protection Manager an einem anderen Standort kommunizieren. Der Client ist im Computermodus. Der Client ist ein Unmanaged Detector. Dieses Symbol zeigt folgenden Status an: Der Client kann mit Symantec Endpoint Protection Manager an einem anderen Standort kommunizieren. Der Client ist im Computermodus.

32 32 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Client-Statussymbol auf dem Client So zeigen Sie den Client-Status in der Management-Konsole an 1 Wählen Sie in der Management-Konsole auf der Seite "Clients" unter "Clients anzeigen" die Gruppe aus, zu der der Client gehört. 2 Klicken Sie auf die Registerkarte "Clients". Der Client-Name sollte in der Liste neben einem Symbol angezeigt werden, das den Client-Status anzeigt. Client-Statussymbol auf dem Client Das Client-Statussymbol befindet sich im Benachrichtigungsbereich auf dem Client-Computer. Das Symbol erscheint als gelbes Schildsymbol mit einem grünen Punkt, wenn der Client mit dem Management-Server kommunizieren kann. Für den Symantec Network Access Control-Client erscheint das Symbol als gelber Schlüssel. Weitere Informationen zu Client-Statussymbolen finden Sie im Client-Handbuch für Symantec Endpoint Protection und Symantec Network Access Control. Anzeigen der Richtlinien-Seriennummer Sie sollten die Richtlinien-Seriennummer auf dem Client prüfen, um zu sehen, ob sie der Seriennummer entspricht, die in der Management-Konsole angezeigt wird. Wenn der Client mit dem Management-Server kommuniziert und normale Richtlinienaktualisierungen erhält, sollten die Seriennummern übereinstimmen. Wenn die Richtlinien-Seriennummern nicht übereinstimmen, können Sie versuchen, die Richtlinien auf dem Client-Computer manuell zu aktualisieren und die Fehlerbehebungsprotokolle zu aktivieren. So zeigen Sie die Richtlinien-Seriennummer in der Management-Konsole an 1 Klicken Sie auf dem Management-Server in der Konsole auf "Clients". 2 Wählen Sie unter "Clients anzeigen" die entsprechende Gruppe aus, und klicken Sie anschließend auf "Details". Die Richtlinien-Seriennummer und das Richtliniendatum erscheinen an der Unterseite der Detailliste.

33 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Ausführen einer manuellen Richtlinienaktualisierung zur Prüfung der Richtlinien-Seriennummer 33 So zeigen Sie die Richtlinien-Seriennummer auf dem Client an 1 Klicken Sie auf dem Client-Computer im Client im Menü "Hilfe und Support" auf "Fehlerbehebung". 2 Prüfen Sie auf der Registerkarte "Management" die Richtlinien-Seriennummer. Die Seriennummer sollte der Seriennummer der Richtlinie entsprechen, die der Management-Server an den Client weitergibt. Ausführen einer manuellen Richtlinienaktualisierung zur Prüfung der Richtlinien-Seriennummer Sie können eine manuelle Richtlinienaktualisierung durchführen, um zu prüfen, ob der Client die neueste Richtlinienaktualisierung erhält. Wenn der Client das Update nicht erhält, gibt es möglicherweise ein Problem mit der Client- und Server-Kommunikation. Sie können eine manuelle Richtlinienaktualisierung mithilfe folgender Aktionen versuchen: Sie können am Client im Menü "Hilfe und Support" im Dialogfeld "Fehlerbehebung" unter "Richtlinienprofil" auf "Aktualisieren" klicken. Sie können diese Methode verwenden, wenn Sie eine manuelle Aktualisierung auf einem bestimmten Client durchführen möchten. Für die Clients, die für den Pull-Modus konfiguriert sind, lädt der Management-Server Richtlinien in regelmäßigen Abständen (Heartbeat) auf den Client herunter. Sie können das Heartbeat-Intervall ändern, damit Richtlinien schneller auf die Client-Gruppe heruntergeladen werden. Nach dem Heartbeat-Intervall können Sie prüfen, ob die Richtlinien-Seriennummern übereinstimmen. (Die Clients, die für den Push-Modus konfiguriert sind, erhalten Richtlinienaktualisierungen sofort.) Stellen Sie nach dem Ausführen einer manuellen Richtlinienaktualisierung sicher, dass die Richtlinien-Seriennummer, die im Client erscheint, der in der Management-Konsole angezeigten Seriennummer entspricht. Prüfen der Verbindung zum Management-Server mithilfe des Ping-Befehls Sie können dem Management-Server vom Client-Computer aus einen Ping-Befehl senden, um die Verbindung zu testen.

34 34 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Verwenden eines Browsers zum Testen der Verbindung zum Management-Server So prüfen Sie die Verbindung zum Management-Server mithilfe des Ping-Befehls 1 Öffnen Sie auf dem Client eine Eingabeaufforderung. 2 Geben Sie den Ping-Befehl ein. Beispiel: ping Name wobei Name für den Computernamen des Management-Servers steht. Sie können die IP-Adresse des Server anstatt des Computernamens verwenden. Der Befehl sollte in jedem Fall die richtige IP-Adresse des Servers zurückgeben. Wenn der Ping-Befehl nicht die richtige Adresse zurückgibt, überprüfen Sie den DNS-Dienst für den Client und seinen Routing-Pfad. Verwenden eines Browsers zum Testen der Verbindung zum Management-Server Sie können einen Web-Browser verwenden, um die Verbindung zum Management-Server zu testen. So verwenden Sie einen Browser zum Testen der Verbindung zum Management-Server 1 Öffnen Sie auf dem Client-Computer einen Web-Browser, wie z. B. Internet Explorer. 2 Geben Sie in die Befehlszeile des Browsers einen Befehl ein, der einem der folgenden Befehle ähnelt: IP-Adresse/reporting/index.php Wenn die Webseite mit der erfolgten Anmeldung angezeigt wird, kann der Client mit dem Management-Server kommunizieren Wenn die Seite "Symantec Endpoint Protection Manager-Konsole" angezeigt wird, kann der Client mit dem Management-Server kommunizieren. 3 Wenn eine Webseite nicht angezeigt wird, prüfen Sie Ihre Verbindung auf mögliche Netzwerkprobleme. Überprüfen Sie den DNS-Dienst für den Client und aktivieren Sie seinen Routing-Pfad.

35 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Verwenden von Telnet zum Prüfen der Verbindung zum Management-Server 35 Verwenden von Telnet zum Prüfen der Verbindung zum Management-Server Sie können Telnet verwenden, um die Verbindung zum IIS-Server auf dem Management-Server zu prüfen. Wenn der Client einen Telnet-Befehl an den HTTPoder HTTPS-Port des Management-Servers senden kann, können Client und Server kommunizieren. Der Standard-HTTP-Port ist 80; der Standards-HTTPS-Port ist 443. Hinweis: Möglicherweise müssen Sie Ihre Firewall-Regeln anpassen, damit der Client-Computer einen Telnet-Befehl an den Management-Server senden kann. Weitere Informationen zur Firewall finden Sie im Administratorhandbuch für Symantec Endpoint Protection und Symantec Network Access Control. So verwenden Sie Telnet zum Prüfen der Verbindung zum Management-Server 1 Stellen Sie sicher, dass der Telnet-Dienst auf dem Client-Computer aktiviert und gestartet wurde. 2 Öffnen Sie eine Eingabeaufforderung und geben Sie den Telnet-Befehl ein. Beispiel: telnet IP-Adresse:80 wobei IP-Adresse für die IP-Adresse des Management-Servers steht. Wenn die Telnet-Verbindung fehlschlägt, überprüfen Sie den DNS-Dienst des Clients und seinen Routing-Pfad. Prüfen der Posteingangsprotokolle auf dem Management-Server Sie können einen Registrierungsschlüssel verwenden, um Protokolle über Aktivität im Management-Server-Posteingang zu generieren. Wenn Sie den Registrierungsschlüssel ändern, generiert der Management-Server die Protokolle ("ersecreg.log" und "exsecars.log"). Sie können diese Protokolle anzeigen, um Fehler bei der Client-Server-Kommunikation zu beheben. Sie finden die Protokolle im Protokollverzeichnis des Posteingangs auf dem Management-Server.

36 36 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Prüfen der IIS-Protokolle auf dem Management-Server So prüfen Sie die Posteingangsprotokolle auf dem Management-Server Setzen Sie auf dem Management-Server unter HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM den DebugLevel-Wert auf 3. Normalerweise befindet sich der Posteingang am folgenden Speicherort auf dem Management-Server-Computer: \\Programme\Symantec\Symantec Endpoint Protection Manager\Daten\ Posteingang\Protokoll Sie können die Protokolle mit einer Textverarbeitungsanwendung wie Notepad öffnen. Prüfen der IIS-Protokolle auf dem Management-Server Sie können die IIS-Protokolle auf dem Management-Server prüfen. Die Protokolle zeigen die Befehle GET und POST an, wenn Client und Server miteinander kommunizieren. So prüfen Sie die IIS-Protokolle auf dem Management-Server 1 Wechseln Sie auf dem Management-Server zu dem Verzeichnis mit den IIS-Protokolldateien. Üblicher Pfad: \WINDOWS\system32\LogFiles\W3SVC1 2 Öffnen Sie die aktuellste Protokolldatei mit einer Textanwendung (z. B. Notepad). Der Name der Protokolldatei könnte beispielsweise "ex log" lauten. 3 Überprüfen Sie die Protokollmeldungen. Die Datei sollte sowohl GET- als auch POST-Meldungen enthalten. Prüfen des Debug-Protokolls auf dem Client-Computer Sie können das Debug-Protokoll auf dem Client prüfen. Wenn der Client Probleme bei der Kommunikation mit dem Management-Server aufweist, werden Statusmeldungen über das Verbindungsproblem im Protokoll angezeigt. Sie können das Debug-Protokoll mithilfe der folgenden Methoden prüfen: Auf dem Client im Menü "Hilfe und Support", im Dialogfeld "Fehlerbehebung" können Sie auf "Einstellungen für Debug-Protokoll bearbeiten" klicken und

37 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Überprüfen der Verbindung mit der Datenbank 37 einen Namen für das Protokoll eingeben. Sie können dann auf "Protokoll anzeigen" klicken. Sie können die Registrierung verwenden, um das Debugging auf dem Client zu aktivieren. Sie finden den Registrierungsschlüssel am folgenden Speicherort: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\smc_debuglog_on Überprüfen der Verbindung mit der Datenbank Der Management-Server und die Datenbank kommunizieren möglicherweise nicht richtig. Sie sollten überprüfen, ob die Datenbank ausgeführt wird, und anschließend die Verbindung zwischen dem Server und der Datenbank testen. Wenn der Management-Server die integrierte Sybase-Datenbank ausführt, führen Sie die folgenden Schritte durch: Überprüfen Sie, ob der Dienst "Integrierte Symantec-Datenbank" ausgeführt wird und der Prozess "dbsrv9.exe" den TCP-Port 2638 überwacht. Testen Sie die ODBC-Verbindung. Wenn der Management-Server die Remote-SQL-Datenbank ausführt, führen Sie die folgenden Aktionen durch: Überprüfen Sie, ob Sie bei der Installation und Konfiguration von Symantec Endpoint Protection Manager eine benannte Instanz angegeben haben. Überprüfen Sie, ob SQL Server ausgeführt wird und korrekt konfiguriert ist. Überprüfen Sie, ob die Netzwerkverbindung zwischen Symantec Endpoint Protection Manager und der SQL-Datenbank ordnungsgemäß ist. Testen Sie die ODBC-Verbindung. So überprüfen Sie Kommunikation mit der integrierten Datenbank 1 Klicken Sie auf dem Management-Server auf "Start" > "Systemsteuerung" > "Verwaltung". 2 Doppelklicken Sie im Dialogfeld "Verwaltung" auf "Datenquellen (ODBC)". 3 Klicken Sie im Dialogfeld "ODBC-Datenquellen-Administrator" auf "System-DSN". 4 Doppelklicken Sie auf der Registerkarte "System-DSN" auf "SymantecEndpointSecurityDSN".

38 38 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Überprüfen der Verbindung mit der Datenbank 5 Überprüfen Sie auf der Registerkarte "ODBC", ob die Datenquellennamen-Dropdown-Liste "SymantecEndpointSecurityDSN" ist, und geben Sie eine optionale Beschreibung ein. 6 Klicken Sie auf "Anmeldung". 7 Geben Sie auf der Registerkarte "Anmeldung" in das Textfeld "Benutzer-ID" den Befehl "dba" ein. 8 Geben Sie in das Textfeld "Kennwort" das Kennwort für die Datenbank ein. Bei diesem Kennwort handelt es sich um jenes, das Sie bei der Installation des Management-Servers für die Datenbank eingegeben haben. 9 Klicken Sie auf "Datenbank". 10 Geben Sie auf der Registerkarte "Datenbank" in das Textfeld "Server-Name" <\\Name des Servers\Name der Instanz> ein. Wenn Sie die englische Version von Symantec Endpoint Protection Manager verwenden, geben Sie den Standardwert "sem5" ein. Andernfalls lassen Sie das Textfeld "Server-Name" leer. 11 Klicken Sie auf der Registerkarte "ODBC" auf "Testverbindung", und überprüfen Sie, ob diese erfolgreich war. 12 Klicken Sie auf "OK". 13 Klicken Sie auf "OK". So überprüfen Sie die Kommunikation mit der SQL-Datenbank 1 Klicken Sie auf dem Management-Server auf "Start" > "Systemsteuerung" > "Verwaltung". 2 Doppelklicken Sie im Dialogfeld "Verwaltung" auf "Datenquellen (ODBC)". 3 Klicken Sie im Dialogfeld "ODBC-Datenquellen-Administrator" auf "System-DSN". 4 Doppelklicken Sie auf der Registerkarte "System-DSN" auf "SymantecEndpointSecurityDSN". 5 Überprüfen Sie in der Dropdown-Liste "Server", ob der richtige Server und die richtige Instanz ausgewählt sind. 6 Klicken Sie auf "Weiter". 7 Geben Sie als Anmeldungs-ID den Befehl "sa" ein. 8 Geben Sie in das Textfeld "Kennwort" das Kennwort für die Datenbank ein. Bei diesem Kennwort handelt es sich um jenes, das Sie bei der Installation des Management-Servers für die Datenbank eingegeben haben.

39 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Konfigurieren der Rechte für IIS 39 9 Klicken Sie auf "Weiter", und stellen Sie sicher, dass "sem5" für die Standard-Datenbank ausgewählt wird. 10 Klicken Sie auf "Weiter". 11 Klicken Sie auf "Fertig stellen". 12 Klicken Sie auf "Datenquelle testen", und suchen Sie das Ergebnis mit der Angabe: TESTS ERFOLGREICH ABGESCHLOSSEN! Konfigurieren der Rechte für IIS Die HTTP-Fehlermeldungen weisen im Allgemeinen auf ein Problem mit der Konfiguration von Internet Information Services (IIS) hin. Um das Problem zu diagnostizieren, prüfen Sie die IIS-Protokolle, um den vollständigen Fehlercode zu erhalten. Siehe "Prüfen der IIS-Protokolle auf dem Management-Server" auf Seite 36. Sie können folgende Elemente prüfen, um festzustellen, ob IIS korrekt konfiguriert ist: Überprüfen Sie, ob die DefaultAppPool-Identität auf "Netzwerkdienst" festgelegt wird. Überprüfen Sie, ob die Benutzerrechte korrekt sind. Überprüfen Sie, ob die Einstellungen für Authentifizierung und Zugriffssteuerung korrekt sind. Überprüfen Sie, ob die Einstellung für sichere Kommunikation nicht ausgewählt wird. Überprüfen Sie diese Einstellung nur, wenn SSL nicht implementiert wird. Wenn Sie Änderungen an folgenden Einstellungen vornehmen, starten Sie IIS neu, wenn Sie eine der folgenden Aufgaben abgeschlossen haben. So überprüfen Sie, ob die DefaultAppPool-Identität auf "Netzwerkdienst" festgelegt wird 1 Klicken Sie auf dem Management-Server auf "Start" > "Programme" > "Verwaltung" > "Internet Information Services (IIS)-Manager". 2 Erweitern Sie "Server-Name" und anschließend Anwendungs-Pools. 3 Klicken Sie mit der rechten Maustaste auf "DefaultAppPool" und klicken anschließend auf "Eigenschaften".

40 40 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Konfigurieren der Rechte für IIS 4 Überprüfen Sie auf der Registerkarte "Identität", ob die Option "Vordefiniert" ausgewählt und "Netzwerkdienst" angezeigt wird. 5 Klicken Sie auf "OK". So überprüfen Sie, ob die Benutzerrechte korrekt sind 1 Öffnen Sie auf dem Management-Server eine Befehlszeile und geben Sie Folgendes ein: gpedit.msc 2 In "Gruppenrichtlinienobjekt-Editor" erweitern Sie "Computerkonfiguration" > "Windows-Einstellungen" > "Sicherheitseinstellungen" > "Lokale Richtlinien". 3 Klicken Sie auf "Zuweisung von Benutzerrechten". 4 Doppelklicken Sie im rechten Teilfenster auf "Arbeitsspeicherquoten für einen Prozess anpassen". 5 Überprüfen Sie auf der Registerkarte "Lokale Sicherheitseinstellung", ob NETZWERKDIENST aufgelistet wird. Wenn die Schaltfläche "Benutzer oder Gruppe hinzufügen" deaktiviert wird, kann eine Domänen-GPO (Gruppenrichtlinienobjekt) diese Richtlinie gesperrt haben. Sie müssen unter Umständen die Domänen-GPOs festlegen, um diese zu entsperren. 6 Klicken Sie auf "OK". So überprüfen Sie, ob die Einstellungen für Authentifizierung und Zugriffssteuerung korrekt sind 1 Klicken Sie auf dem Management-Server auf "Start" > "Verwaltung" > "Internet Information Services (IIS)-Manager". 2 Erweitern Sie "Server-Name" und anschließend "Websites". 3 Klicken Sie mit der rechten Maustaste auf "Standard-Website", und klicken Sie auf "Eigenschaften". 4 Klicken Sie auf der Registerkarte "Verzeichnissicherheit" unter "Authentifizierung und Zugriffssteuerung" auf "Bearbeiten". 5 Überprüfen Sie, ob "Anonymen Zugriff aktivieren" aktiviert ist. 6 Überprüfen Sie, dass der Benutzername und das Kennwort korrekt sind. 7 Überprüfen Sie unter "Authentifizierter Zugriff", ob die entsprechenden Einstellungen korrekt sind. 8 Klicken Sie auf "OK". 9 Klicken Sie auf "OK".

41 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Konfigurieren der Rechte für IIS 41 So überprüfen Sie, ob die Einstellung für sichere Kommunikation nicht ausgewählt ist 1 Klicken Sie auf dem Management-Server auf "Start" > "Verwaltung" > "Internet Information Services (IIS)-Manager". 2 Klicken Sie mit der rechten Maustaste auf "Standard-Website", und klicken Sie auf "Eigenschaften". 3 Klicken Sie auf der Registerkarte "Verzeichnissicherheit" unter "Sichere Kommunikation" auf "Bearbeiten". 4 Überprüfen Sie, ob "Sicheren Kanal (SSL) erfordern" deaktiviert ist. 5 Klicken Sie auf "OK". 6 Klicken Sie auf "OK".

42 42 Fehlerbehebung bei Kommunikationsproblemen mit dem Management-Server Konfigurieren der Rechte für IIS

43 Kapitel 3 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird In diesem Kapitel werden folgende Themen behandelt: Beheben von Content-Update-Problemen auf Clients Content-Typen für Symantec Endpoint Protection Festlegen, wie ein Client zum Erhalten von Content konfiguriert wird Netzwerkverbindungen und Clients Aktivieren des Verbindungsstatus von Clients Absichern der Kommunikation zwischen Client und Content-Anbieter Festlegen von Content-Updates vom Management-Server für Clients Vergleichen des Contents auf dem Client mit dem Content auf dem Management-Server Vergleichen des Content-Cache Vergleichen von Content-Versionen mit der Management-Konsole Anzeigen der neuesten LiveUpdate-Downloads auf den Management-Server Überprüfen der LiveUpdate-Einstellungen auf dem Management-Server Überprüfen der Einstellungen der LiveUpdate-Content-Richtlinie Überprüfen der LiveUpdate-Einstellungsrichtlinie

44 44 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Beheben von Content-Update-Problemen auf Clients Ausführen einer manuellen LiveUpdate-Sitzung von der Management-Konsole aus Vorgehensweise bei Problemen, die auch nach dem Prüfen der Verbindung und der LiveUpdate-Einstellungen auftreten Beheben von Content-Update-Problemen auf Clients LiveUpdate ist der Name der Technologie, die Definitions- und Content-Updates sucht und diese an Symantec Endpoint Protection-Client-Computer verteilt. Der Client kann Content-Updates über verschiedene LiveUpdate-Content-Anbieter erhalten. Zu diesen Anbietern gehören Management-Server, Group Update Provider, interne LiveUpdate-Server, Symantec LiveUpdate und Verwaltungs-Tools anderer Hersteller. Wenn Sie vermuten, dass ein Client keine Content-Updates erhält, können Sie verschiedene Schritte zur Problembehebung durchführen. Tabelle 3-1 beschreibt die Schritte zur Problembehebung und enthält Informationen zur Durchführung dieser Schritte. Tabelle 3-1 Aktion Schritte zur Problembehebung Informationen unter Bestimmen, wie der Client zum Erhalten von Content konfiguriert ist. Prüfen des Verbindungsstatus des Clients. Siehe "Festlegen, wie ein Client zum Erhalten von Content konfiguriert wird" auf Seite 46. Siehe "Aktivieren des Verbindungsstatus von Clients" auf Seite 48. Sicherstellen, dass der Client seinem Content-Anbieter Ping-Befehle senden kann oder mit dem Internet verbunden ist. Siehe "Absichern der Kommunikation zwischen Client und Content-Anbieter" auf Seite 49. Festlegen, ob ein Client Updates vom Management-Server erhält. Siehe "Festlegen von Content-Updates vom Management-Server für Clients" auf Seite 49. Prüfen der LiveUpdate-Einstellungen, die auf dem Management-Server konfiguriert sind. Siehe "Überprüfen der LiveUpdate-Einstellungen auf dem Management-Server" auf Seite 53. Prüfen der Einstellungen der LiveUpdate-Richtlinie des Clients. Siehe "Überprüfen der LiveUpdate-Einstellungsrichtlinie " auf Seite 54. Siehe "Überprüfen der Einstellungen der LiveUpdate-Content-Richtlinie" auf Seite 53.

45 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Content-Typen für Symantec Endpoint Protection 45 Aktion Informationen unter Ausführen einer manuellen LiveUpdate-Sitzung von der Management-Konsole aus, um zu sehen, ob der Client aktualisierten Content erhält. Siehe "Ausführen einer manuellen LiveUpdate-Sitzung von der Management-Konsole aus" auf Seite 55. Wenn immer noch Probleme auftreten, prüfen Sie die LiveUpdate-Protokolle auf dem Client und dem Management-Server. Sie können auch ein Tool zur Fehlerbehebung verwenden. Siehe "Vorgehensweise bei Problemen, die auch nach dem Prüfen der Verbindung und der LiveUpdate-Einstellungen auftreten" auf Seite 56. Content-Typen für Symantec Endpoint Protection Symantec Endpoint Protection verwendet verschiedene Content-Typen. Tabelle 3-2 beschreibt die Content-Typen. Tabelle 3-2 Content-Typ Content-Typen Beschreibung Virenschutz- und Antispyware-Definitionen Decomposer-Signaturen Heuristische Signaturen der proaktiven TruScan -Bedrohungsprüfung Diese Definitionen schützen vor Virus- und Spyware-Angriffen. Diese Signaturen unterstützen die Engine für Virenschutz und Antispyware-Schutz und werden verwendet, um die Daten, die in verschiedenen Formaten gespeichert sind, zu analysieren und zu lesen. Diese Signaturen schützen vor neuartigen Bedrohungen. Liste kommerzieller Anwendungen der proaktiven TruScan-Bedrohungsprüfung Diese Anwendungslisten sind legitime kommerzielle Anwendungen, die in der Vergangenheit Falscherkennungen generiert haben. Intrusion Prevention-Signaturen Signaturen für die Übertragungskontrolle Diese Signaturen schützen vor Netzwerkbedrohungen und unterstützen die Engines für Intrusion Prevention und Erkennung. Diese Signaturen kontrollieren den Übertragungsfluss an Symantec Security Response.

46 46 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Festlegen, wie ein Client zum Erhalten von Content konfiguriert wird Festlegen, wie ein Client zum Erhalten von Content konfiguriert wird Clients können Content über verschiedene Methoden erhalten. So können Sie festlegen, wie ein Client zum Erhalten von Content konfiguriert wird: Zeigen Sie die Server-Einstellungen in der LiveUpdate-Richtlinie des Clients in der Management-Konsole an. Überprüfen Sie die LiveUpdate-Registrierungsschlüssel auf dem Client. Hinweis: Weitere Informationen zum Anzeigen der Server-Einstellungen in der LiveUpdate-Richtlinie des Clients finden Sie im Administratorhandbuch für Symantec Endpoint Protection und Symantec Network Access Control. Prüfen Sie auf dem Client in der Registrierung den Pfad HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\LiveUpdate. Prüfen Sie die Einstellungen der folgenden Schlüssel: UseLiveUpdateServer Wenn dieser Schlüssel auf 1 eingestellt ist, verwendet der Client einen internen LiveUpdate-Server oder direkt Symantec LiveUpdate. UseManagementServer Wenn dieser Schlüssel auf 1 eingestellt ist, verwendet der Client den Management-Server. UseMasterClient Wenn dieser Schlüssel auf 1 eingestellt ist, verwendet der Client einen Group Update Provider. Wenn Sie noch keine Clients zum Erhalten von Content eingerichtet haben, sollten Sie die Anforderungen Ihres Sicherheitsnetzwerkes prüfen. Siehe "Aktualisieren von Content" auf Seite 78. Netzwerkverbindungen und Clients Wenn ein Client keine Content-Updates erhält, sollten Sie zuerst prüfen, ob es ein Verbindungsproblem gibt. Clients können Content über verschiedene Methoden erhalten. Sie sollten sicherstellen, dass der Client keine Verbindungsprobleme hat und Content-Updates empfangen kann.

47 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Netzwerkverbindungen und Clients 47 Siehe "Überprüfen der Kommunikation zwischen Management-Server und Client" auf Seite 26. Tabelle 3-3 Fehlerbehebung bei Verbindungen Art des Content-Abrufs Symantec Endpoint Protection Manager Zu prüfende Elemente Überprüfen Sie Folgendes: Verbindung zwischen dem Client und dem Management-Server. Group Update Provider Überprüfen Sie Folgendes: Verbindung zwischen dem Client und dem Group Update Provider. Verbindung zwischen dem Group Update Provider und dem Management-Server. Interner LiveUpdate-Server Überprüfen Sie Folgendes: Verbindung zwischen dem Client und dem internen LiveUpdate-Server. Verbindung zwischen dem internen LiveUpdate-Server und Symantec LiveUpdate. Direkt von Symantec LiveUpdate Überprüfen Sie Folgendes: Stellen Sie sicher, dass der Client auf das Internet zugreifen kann. Überprüfen Sie den LiveUpdate-Zeitplan in der Richtlinie des Clients. Verwaltungs-Tools anderer Hersteller wie Microsoft SMS oder IBM Tivoli Weitere Informationen finden Sie in der Benutzerdokumentation des Drittherstellers und in der Installationsanleitung für Symantec Endpoint Protection und Symantec Network Access Control. Um das Verwaltungs-Tool eines Drittherstellers verwenden zu können, müssen bestimmte Verzeichnisstrukturen vorhanden sein. Setzen Sie sich mit dem Technischen Support von Symantec in Verbindung, wenn Sie Probleme haben.

48 48 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Aktivieren des Verbindungsstatus von Clients Aktivieren des Verbindungsstatus von Clients Um Updates zu erhalten, muss der Client mit seinem Content-Anbieter verbunden sein. Sie sollten überprüfen, dass der Client mit seinem Management-Server verbunden ist. Wählen Sie in der Management-Konsole auf der Seite "Clients" unter "Clients anzeigen" die Gruppe aus, zu der der Client gehört. Klicken Sie auf die Registerkarte "Clients". Die zwei folgenden Angaben sollten zutreffend sein: Der Client wird in der Liste angezeigt. Das Symbol neben dem Client-Namen zeigt einen grünen Punkt an. In einigen Fällen erscheint das Client-Symbol möglicherweise nicht mit einem grünen Punkt, aber der Client ist trotzdem noch mit dem Management-Server verbunden. Siehe "Überprüfen der Kommunikation zwischen Management-Server und Client" auf Seite 26. In der Regel kann ein Client keine Updates erhalten, wenn er die Verbindung zu seinem Management-Server verliert. Bei bestimmten Konfigurationen ist es möglich, dass der Client Updates von Symantec LiveUpdate oder von einem internen LiveUpdate-Server erhält. Auf dem Client-Computer können Sie auch die Verbindung und aktuelle Content-Definitionsdaten überprüfen. Sie können folgende Elemente auf dem Client-Computer prüfen: Im Benachrichtigungsbereich auf dem Client-Computer wird ein gelbes Schutzschild-Symbol mit einem grünen Punkt angezeigt. Im Client-Hauptfenster werden die aktuellen Content-Definitionsdaten aufgelistet. Neben den Verbindungsproblemen gibt es auch andere Situationen, in denen der Client möglicherweise keine Updates erhalten kann. Dazu zählen die folgenden Situationen: Auf dem Server oder Client-Computer ist das Wurzelzertifikat der Server-Gruppe nicht vorhanden. Die Einstellungen der Windows-Firewall behindern die Kommunikation. Die Einstellungen der Client Firewall behindern die Kommunikation. Weitere Informationen zu dem Wurzelzertifikat der Server-Gruppe oder den Firewall-Einstellungen finden Sie im Administratorhandbuch für Symantec Endpoint Protection und Symantec Network Access Control.

49 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Absichern der Kommunikation zwischen Client und Content-Anbieter 49 Absichern der Kommunikation zwischen Client und Content-Anbieter Sie sollten sicherstellen, dass der Client mit seinem Content-Anbieter kommunizieren kann. Wenn der Client einen Group Update Provider verwendet, sollten Sie sicherstellen, dass der Group Update Provider mit dem Management-Server kommunizieren kann. Wenn der Client Content direkt von Symantec LiveUpdate erhält, vergewissern Sie sich, dass der Client auf das Internet zugreifen kann. Wenn Sie einen internen LiveUpdate-Server verwenden, stellen Sie Folgendes sicher: Der Management-Server ist mit dem internen LiveUpdate-Server verbunden. Der interne LiveUpdate-Server ist mit Symantec LiveUpdate verbunden. Weitere Informationen zu internen LiveUpdate-Servern finden Sie im LiveUpdate Administratorhandbuch. Wenn der Client dem Management-Server keinen Ping-Befehl senden kann, prüfen Sie Ihre Verbindung auf mögliche Netzwerkprobleme. Überprüfen Sie den DNS-Dienst für den Client und aktivieren Sie seinen Routing-Pfad. Siehe "Überprüfen der Kommunikation zwischen Management-Server und Client" auf Seite 26. So stellen Sie sicher, dass der Client mit einem Management-Server oder Group Update Provider kommunizieren kann Öffnen Sie auf dem Client eine Eingabeaufforderung und senden Sie einen Ping-Befehl an den Management-Server oder Group Update Provider. Schreiben Sie beispielsweise: ping Name wobei Name der Computername des Management-Servers oder des Group Update Provider ist. Der Befehl sollte die richtige IP-Adresse des Servers oder des Group Update Provider zurückgeben. Festlegen von Content-Updates vom Management-Server für Clients Sie können prüfen, welche Computer derzeit keine Updates vom Management-Server erhalten.

50 50 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Vergleichen des Contents auf dem Client mit dem Content auf dem Management-Server Sie können die folgenden Überprüfungen durchführen: Führen Sie den Computerstatus-Schnellbericht "Nicht am Server angemeldete Computer" aus, um den Online-Status anzuzeigen. Sie können eine benutzerdefinierte Version dieses Berichts konfigurieren und ausführen, um die Computer in einer bestimmten Gruppe oder Site zu untersuchen. Clients können keinen Content erhalten, wenn sie die Verbindung zum Management-Server verlieren (es sei denn, die Clients sind zum Abrufen von Updates von Symantec LiveUpdate konfiguriert). Zeigen Sie das Protokoll "Computerstatus" an, das die IP-Adresse und die letzte Anmeldezeit des Client-Computers enthält. Außerdem wird das letzte Definitionsdatum angezeigt. Um mit Sicherheit festzustellen, ob Clients Updates erhalten, müssen Sie die Content-Version auf dem Management-Server überprüfen. Sie sollten diese anschließend mit der Version auf dem Client vergleichen. Siehe "Vergleichen des Contents auf dem Client mit dem Content auf dem Management-Server" auf Seite 50. Vergleichen des Contents auf dem Client mit dem Content auf dem Management-Server Sie können die Version des Contents auf dem Client auf die folgenden Arten mit der Version auf dem Management-Server vergleichen: Überprüfen Sie den Content-Cache auf dem Client-Computer und vergleichen Sie ihn mit dem Content-Cache auf dem Management-Server. Sie können diese Methode verwenden, wenn Sie den Content auf mehreren Clients überprüfen möchten. Siehe "Vergleichen des Content-Cache" auf Seite 51. Führen Sie in der Management-Konsole Berichte aus, um die Content-Versionen auf den Clients zu überprüfen. In "Berichte" können Sie unter "Schnellberichte" den Berichtstyp "Computerstatus" auswählen. Führen Sie dann die Berichte "Verteilung der Virendefinitionen" und "Schutz - Content-Versionen" aus. Überprüfen Sie anschließend den LiveUpdate-Download-Status auf dem Management-Server. Verwenden Sie diese Methode, wenn Sie den Content auf mehreren Clients überprüfen möchten. Siehe "Vergleichen von Content-Versionen mit der Management-Konsole" auf Seite 51. Wenn der Content auf dem Client nicht dem Content auf dem Management-Server entspricht, sollten Sie die Netzwerkverbindung des Clients überprüfen. Überprüfen Sie außerdem die Verbindung des Clients mit dem Management-Server.

51 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Vergleichen des Content-Cache 51 Vergleichen des Content-Cache Sie können den Content-Cache auf dem Client-Computer überprüfen und mit dem Content-Cache auf dem Management-Server vergleichen. Wenn der Client Content-Updates vom Management-Server erhält, werden auf dem Client Unterordner im Produktordner erstellt. Die Unterordner haben Daten wie Die Namen der Unterordner auf dem Client und dem Server müssen übereinstimmen, wenn der Client Updates vom Management-Server erhält. Hinweis: Wenn der Client Content direkt von LiveUpdate erhält, wird der Content nicht am Speicherort des Produktordners zwischengespeichert. So vergleichen Sie den Content-Cache 1 Navigieren Sie auf dem Client-Computer zu folgendem Ordner: \Programme\Symantec\Symantec Endpoint Protection\ContentCache 2 Navigieren Sie auf dem Management-Server zum Content-Ordner. Normalerweise befindet sich dieser Ordner in dem folgenden Verzeichnis: \Programme\Symantec\Symantec Endpoint Protection Manager\Inetpub\content 3 Vergleichen Sie die Ordner im Content-Cache des Clients mit den Ordnern auf dem Management-Server. Vergleichen Sie dann die Unterordner. Die Ordner stimmen überein, wenn der Client Content vom Management-Server erhält. Im Content-Verzeichnis des Management-Servers können Sie die Datei "ContentInfo.txt" anzeigen, in der die Namen der Content-Typen und -Ordner aufgelistet werden. Vergleichen von Content-Versionen mit der Management-Konsole Sie können Informationen über den neuesten Content auf dem Client anzeigen, indem Sie in der Management-Konsole Berichte ausführen. Sie können den Computerstatus-Bericht "Verteilung der Virendefinitionen" ausführen, um die Virendefinitions-Versionen auf den Clients anzuzeigen. Für anderen Content können Sie den Computerstatus-Bericht "Schutz - Content-Versionen" ausführen. Diese Berichte zeigen die neuesten Content-Versionen auf Ihren Clients an. Weitere Informationen zu Berichten finden Sie im Administratorhandbuch für Symantec Endpoint Protection und Symantec Network Access Control.

52 52 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Anzeigen der neuesten LiveUpdate-Downloads auf den Management-Server In der Management-Konsole wird der neueste Content angezeigt, indem die neuesten LiveUpdate-Downloads überprüft werden. Sie können die Version, die im Dialogfeld "LiveUpdate-Downloads anzeigen" aufgelistet wird, mit den Content-Versionen im Bericht vergleichen. Siehe "Anzeigen der neuesten LiveUpdate-Downloads auf den Management-Server" auf Seite 52. So vergleichen Sie Content-Versionen mit der Management-Konsole 1 Klicken Sie in der Management-Konsole auf der Seite "Berichte" auf "Schnellberichte". 2 Klicken Sie auf der Registerkarte "Schnellberichte" in der Dropdown-Liste "Berichtstyp" auf "Computerstatus". 3 Klicken Sie in der Dropdown-Liste "Bericht auswählen" auf "Verteilung der Virendefinitionen". 4 Wählen Sie die gewünschten Filtereinstellungen und klicken Sie anschließend auf Bericht erstellen. Schließen Sie den Bericht nicht. 5 Wechseln Sie in der Management-Konsole zur Seite "Admin" und wählen Sie den Standort aus. 6 Klicken Sie unter "Aufgaben" auf "LiveUpdate-Downloads anzeigen". 7 Vergleichen Sie die Virenschutz- und Antispyware-Definitionsversionen mit der Version im Bericht. Wenn der Client Updates erhält, sollten die Versionen übereinstimmen. Anzeigen der neuesten LiveUpdate-Downloads auf den Management-Server Clients empfangen möglicherweise keinen LiveUpdate-Content, wenn der Management-Server keine Updates erhält. Der Management-Server erhält Updates direkt von Symantec LiveUpdate (Standardmethode) oder von einem internen LiveUpdate-Server, der Content von Symantec LiveUpdate abruft. In der Management-Konsole können Sie die aktuellsten LiveUpdate-Downloads auf den Management-Server anzeigen. Der Server erhält in bestimmten Abständen Updates von Symantec LiveUpdate. Die Standardeinstellung ist alle vier Stunden. Sie können den Download-Plan in der Management-Konsole über das Dialogfeld "Standorteigenschaften" auf der Registerkarte "Admin" konfigurieren.

53 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Überprüfen der LiveUpdate-Einstellungen auf dem Management-Server 53 Wenn der Content, der in der Liste auf dem Server angezeigt wird, älter ist als erwartet, prüfen Sie das LiveUpdate-Protokoll. Siehe "Anzeigen des LiveUpdate-Protokolls" auf Seite 56. Sie sollten außerdem die Verbindung zu Symantec LiveUpdate oder zum internen LiveUpdate-Server überprüfen. Nachdem Sie die neuesten LiveUpdate-Downloads angezeigt haben, können Sie den Content mit dem Content auf den Clients vergleichen. Siehe "Vergleichen von Content-Versionen mit der Management-Konsole" auf Seite 51. So zeigen Sie die neuesten LiveUpdate-Downloads auf den Management-Server an 1 Klicken Sie in der Management-Konsole auf der Seite "Admin" auf Server. 2 Wählen Sie unter "Server anzeigen" den Standort, zu dem der Client gehört. 3 Klicken Sie unter "Aufgaben" auf LiveUpdate-Downloads anzeigen. Überprüfen der LiveUpdate-Einstellungen auf dem Management-Server Die LiveUpdate-Einstellungen für den Standort, zu dem der Client gehört, müssen mit den Einstellungen in der LiveUpdate-Content-Richtlinie des Clients übereinstimmen. So überprüfen Sie die LiveUpdate-Einstellungen auf dem Management-Server 1 Klicken Sie in der Management-Konsole auf der Seite "Admin" auf Server. 2 Wählen Sie unter "Server anzeigen" den Standort, zu dem der Client gehört. 3 Klicken Sie unter "Aufgaben" auf Standorteigenschaften bearbeiten. 4 Vergewissern Sie sich, dass auf der Registerkarte "LiveUpdate" unter "Herunterzuladende Content-Typen" die Content-Liste mit der Liste in der LiveUpdate-Content-Richtlinie übereinstimmt. Überprüfen der Einstellungen der LiveUpdate-Content-Richtlinie Stellen Sie sicher, dass folgende Einstellungen übereinstimmen: Die Content-Typen, die Sie im Dialogfeld "Standorteigenschaften" in der Management-Konsole festlegen.

54 54 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Überprüfen der LiveUpdate-Einstellungsrichtlinie Die Content-Typen, die Sie in der vom Client verwendeten LiveUpdate-Richtlinie festlegen. Clients erhalten keine Content-Updates, wenn die folgenden Anweisungen zutreffend sind: Der Content-Typ ist nicht im Dialogfeld "Standorteigenschaften" ausgewählt. Der Content-Typ ist in der LiveUpdate-Richtlinie ausgewählt. Normalerweise sollte die LiveUpdate-Content-Richtlinie so konfiguriert sein, dass der neueste verfügbare Content verwendet wird. Wenn die Richtlinie zur Verwendung einer bestimmten Version konfiguriert ist, wird der Content mit keiner anderen Version aktualisiert. So überprüfen Sie die Einstellungen der LiveUpdate-Content-Richtlinie 1 Klicken Sie in der Management-Konsole auf Richtlinien. 2 Klicken Sie unter "Richtlinien anzeigen" auf "LiveUpdate". 3 Wählen Sie auf der Registerkarte "LiveUpdate-Content" die Richtlinie, die der Client verwendet. 4 Klicken Sie unter "Aufgaben" auf "Richtlinie bearbeiten". 5 Überprüfen Sie auf der Seite "Sicherheitsdefinitionen" Folgendes: Die ausgewählten Content-Typen sollten mit den Content-Typen, die Sie im Dialogfeld "Standorteigenschaften" angegeben haben, übereinstimmen. In der Regel sollten Sie die Option Zuletzt verfügbare verwenden für jeden Content-Typ auswählen. Wenn stattdessen eine Version ausgewählt wird, erhält der Client nur diese Version des Contents. Überprüfen der LiveUpdate-Einstellungsrichtlinie Sie sollten die Einstellungen der LiveUpdate-Einstellungsrichtlinie prüfen, um sicherzustellen, dass diese keine Probleme mit Updates verursachen. Tabelle 3-4 beschreibt die Einstellungen der LiveUpdate-Einstellungsrichtlinie.

55 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Ausführen einer manuellen LiveUpdate-Sitzung von der Management-Konsole aus 55 Tabelle 3-4 Einstellungen der LiveUpdate-Einstellungsrichtlinie Richtlinieneinstellung Standardmäßigen Management-Server verwenden LiveUpdate-Server verwenden Hinweise Diese Einstellung muss aktiviert sein, damit Clients den Management-Server zum Erhalten von Content-Updates verwenden können. Wenn Sie diese Einstellung deaktivieren, können die Clients keine Updates von Symantec Endpoint Protection Manager erhalten. Wenn Sie diese Option aktivieren, sollten Sie die LiveUpdate-Einstellungsrichtlinie zum Konfigurieren eines Zeitplans verwenden. Wenn Sie keinen Zeitplan konfigurieren, kann der Client nur über eine manuelle LiveUpdate-Sitzung Content erhalten. Ausführen einer manuellen LiveUpdate-Sitzung von der Management-Konsole aus Sie können eine manuelle LiveUpdate-Sitzung vom Management-Server ausführen. Sie können auf der Registerkarte "Clients" den Befehl "Content aktualisieren" oder die Protokolle auf der Seite "Überwachung" verwenden. Weitere Informationen zum Ausführen manueller LiveUpdate-Sitzungen finden Sie im Administratorhandbuch für Symantec Endpoint Protection und Symantec Network Access Control. Wenn Sie eine manuelle LiveUpdate-Sitzung ausführen, erhält der Client den Content nicht vom Management-Server sondern von Symantec LiveUpdate. Hinweis: Warten Sie nach dem Ausführen einer manuellen LiveUpdate-Sitzung etwa zwei Minuten. Der Symantec Endpoint Protection-Client führt Content-Validierungsprüfungen durch. Nach zwei Minuten können Sie prüfen, ob der Befehl den Client erfolgreich aktualisiert hat. Beachten Sie, dass die Management-Konsole automatisch aktualisiert wird. Sie können eine manuelle LiveUpdate-Sitzung auch direkt vom Client ausführen, wenn die LiveUpdate-Richtlinie dies zulässt. Weitere Informationen finden Sie im Client-Handbuch für Symantec Endpoint Protection und Symantec Network Access Control.

56 56 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Vorgehensweise bei Problemen, die auch nach dem Prüfen der Verbindung und der LiveUpdate-Einstellungen auftreten So führen Sie eine manuelle LiveUpdate-Sitzung von der Management-Konsole aus 1 Klicken Sie in der Management-Konsole auf der Seite "Clients" unter "Clients anzeigen" mit der rechten Maustaste auf den Client oder die Gruppe. 2 Führen Sie eine der folgenden Aktionen aus: Klicken Sie auf "Befehl auf Clients ausführen "> "Content aktualisieren". Klicken Sie auf "Befehl auf Gruppe ausführen" > "Content aktualisieren". 3 Klicken Sie im Meldungsfeld "Content aktualisieren" auf "Ja". 4 Klicken Sie im Meldungsfeld auf "OK". Vorgehensweise bei Problemen, die auch nach dem Prüfen der Verbindung und der LiveUpdate-Einstellungen auftreten Prüfen Sie das LiveUpdate-Protokoll auf dem Management-Server und dem Client. Sie können auch ein Protokoll zu den sylink-kommunikationen zwischen dem Client und dem Management-Server erstellen. Die Protokolldateien können mit einer Textanwendung (z. B. Notepad) geöffnet werden. Um die Debug-Ausgabemeldungen anzuzeigen, können Sie auch ein Shareware-Tool wie DebugView verwenden. Anzeigen des LiveUpdate-Protokolls Sie können das LiveUpdate-Protokoll auf dem Client und dem Management-Server anzeigen.

57 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Vorgehensweise bei Problemen, die auch nach dem Prüfen der Verbindung und der LiveUpdate-Einstellungen auftreten 57 So zeigen Sie das LiveUpdate-Protokoll an 1 Suchen Sie auf dem Client-Computer oder dem Management-Server das Protokoll im LiveUpdate-Verzeichnis. Navigieren Sie beispielsweise zu dem folgenden Speicherort: \Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\Symantec\LiveUpdate\Log.LiveUpdate 2 Suchen Sie im Protokoll nach der folgenden Meldung: Progress Update: DOWNLOAD_FILE_START: URL: <url>/zip Die URL sollte mit der erwarteten Adresse des LiveUpdate-Servers übereinstimmen. Wenn der Client oder der Management-Server keine Verbindung zum LiveUpdate-Server herstellen konnte, wird ein Fehler angezeigt, der dem folgenden ähnelt. Progress Update: HOST_SELECTION_ERROR: Es werden außerdem mögliche Gründe für den Fehler angezeigt. Anzeigen des Debug-Protokolls auf dem Client Prüfen Sie das Debug-Protokoll auf dem Client. Sie können das Debug-Protokoll wie folgt anzeigen: Erstellen von sylink-protokollen Auf dem Client im Menü "Hilfe und Support", im Dialogfeld "Fehlerbehebung" können Sie auf "Einstellungen für Debug-Protokoll bearbeiten" klicken und einen Namen für das Protokoll eingeben. Sie können dann auf "Protokoll anzeigen" klicken. Sie können die Fehlersuche im Client auch mit dem folgenden Registrierungsschlüssel aktivieren: HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\smc_debuglog_on Der Client und der Management-Server verwenden "Sylink.xml", um zu kommunizieren. Sie können alle sylink-kommunikationsmeldungen in einer Protokolldatei auf dem Client-Computer ausgeben.

58 58 Fehlerbehebung, wenn Client-Content nicht aktualisiert wird Vorgehensweise bei Problemen, die auch nach dem Prüfen der Verbindung und der LiveUpdate-Einstellungen auftreten So erstellen Sie ein sylink-protokoll 1 Fügen Sie auf dem Client-Computer in der Registrierung unter HKEY_LOCAL_MACHINE\"SOFTWARE"\Symantec\"Symantec Endpoint Protection"\SMC\SYLINK\SyLink einen Zeichenfolgenwert namens DumpSylink hinzu. 2 Geben Sie den Speicherort für die Sicherungsdatei an (z. B. c:\sylink.log). Verwenden des Tools DebugView Anschließend können Sie die Datei "Sylink.log" auf dem Client-Computer anzeigen. DebugView ist ein Shareware-Tool zum Anzeigen von Zeichenfolgen, die in einen Debug-Ausgabestrom auf dem Client geschrieben sind. Die binäre LiveUpdate-Datei "Sescu.exe" verwaltet die Content-Updates, schreibt jedoch nicht in die eigene Protokolldatei. Sie können Debug-Ausgabemeldungen mithilfe von DebugView anzeigen. Achten Sie beim Ausführen des Tools auf folgende Meldungen: QueryContentSeqData ApplyContent Wenn diese Meldungen in der Ausgabe erscheinen, erhält der Client Content von einem Management-Server, einem Group Update Provider oder dem Verwaltungs-Tool eines anderen Herstellers. Sie können das Tool über die folgende URL herunterladen:

59 Kapitel 4 Einrichten und Verwalten von Mobile Clients und Remote-Clients In diesem Kapitel werden folgende Themen behandelt: Mobile Clients und Remote-Clients Einrichten von Gruppen und Standorten Häufige Mobile Client- und Remote-Client-Szenarios Kriterien für die Standorterkennung Verstärken von Sicherheitsrichtlinien für Remote-Clients Client-Benachrichtigungen Anpassen der Verwaltungseinstellungen von Client-Protokollen Verwalten von Lastverteilung und Roaming Überwachen von Remote-Clients Mobile Clients und Remote-Clients Heutzutage sind Mitarbeiter nicht mehr an einen bestimmten Ort gebunden, sondern arbeiten in zunehmendem Maße remote oder von mehreren Orten aus. Dadurch ist ein Client-Typ entstanden, der sich von den anderen Clients in Ihrem Netzwerk unterscheidet. Ein Mobile Client ist ein Client, der seinen physischen Standort ändern kann. Mitarbeiter, die aufgrund ihres Jobs viel unterwegs sind, benutzen für gewöhnlich diese Client-Computer. Sie stellen temporäre

60 60 Einrichten und Verwalten von Mobile Clients und Remote-Clients Mobile Clients und Remote-Clients Verbindungen mit dem Netzwerk her und befinden sich häufig in einem unbekannten Zustand. Benutzer von Mobile Clients melden sich normalerweise über ein Virtual Private Network (VPN) an. Remote-Clients sind Clients, die immer vom selben Ort aus eine Verbindung herstellen, sich aber physisch nicht im Unternehmensnetzwerk befinden. Ein typisches Beispiel für Remote-Clients sind Angestellte, die von zu Hause aus arbeiten und sich über ein VPN anmelden. Beide Client-Typen unterliegen ähnlichen Risiken und sollten ähnlich behandelt werden. Mobile Clients und Remote-Clients sind einem höheren Risiko ausgesetzt als die Clients, die sich immer innerhalb Ihres Unternehmensnetzwerkes befinden. Sie befinden sich außerhalb der Sicherheit Ihres Unternehmens. Die Verwaltung dieser Clients erschwert es Administratoren, die Sicherheit des Netzwerkes und der dazugehörigen Daten beizubehalten. Es kann verschiedene Gründe für Mobile Clients und Remote-Clients in Ihrem Netzwerk geben und deren Verwendungsmuster unterscheidet sich möglicherweise stark. Beispielsweise können Sie über interne Computer verfügen, die sich regelmäßig außerhalb der Unternehmensumgebung befinden. Möglicherweise befinden sich die Computer Ihrer Vertriebsmitarbeiter nie innerhalb des Netzwerkes. Einige Client-Computer benötigen Zugriff auf das Netzwerk, befinden sich aber vollständig außerhalb Ihrer administrativen Kontrolle. Sie können zum Beispiel Kunden, Fremdfirmen, Händlern oder Geschäftspartnern eingeschränkten Zugriff auf das Netzwerk gewähren. Ihre Mitarbeiter stellen möglicherweise über ihre eigenen Computer eine Verbindung zum Unternehmensnetzwerk her. Einige mobile und Remote-Benutzer haben womöglich eine recht lockere Einstellung zum Browsen im Internet und stellen somit ein größeres Sicherheitsrisiko dar. Die mobilen Benutzer und Remote-Benutzer, die nicht direkt für Ihr Unternehmen arbeiten, wissen möglicherweise nicht so viel über Computersicherheit wie Ihre Angestellten. Beispielsweise öffnen Sie unter Umständen eher s oder Anhänge von unbekannten Quellen auf Ihrem Netzwerk. Sie verwenden wahrscheinlich schwache Kennwörter. Mobile und Remote-Benutzer tendieren im Allgemeinen eher dazu, nicht autorisierte Änderungen vorzunehmen oder ihre Computer anzupassen. Beispielsweise könnten sie Anwendungen herunterladen und verwenden, deren Verwendung im Unternehmen nicht genehmigt sind. Mobile und Remote-Benutzer konzentrieren sich möglicherweise so sehr auf ihre Arbeit, dass sie nicht an Computersicherheit denken. Da Remote-Clients und Mobile Clients ähnlich behandelt werden, sprechen wir hier von beiden Client-Typen als Remote-Clients.

61 Einrichten und Verwalten von Mobile Clients und Remote-Clients Einrichten von Gruppen und Standorten 61 Einrichten von Gruppen und Standorten Nachdem Sie die Typen der vorhandenen Remote-Clients festgelegt haben, sollten Sie erwägen, welche Sicherheits-Einschränkungen angewendet werden sollen. Sollen die gleichen Einschränkungen auf alle Ihre Remote-Clients angewendet werden? Die Antwort zu dieser Frage bestimmt, wie viele Gruppen und Standorte Sie erstellen müssen, um eine möglichst einfache Verwaltung zu ermöglichen. Einige Symantec Endpoint Protection-Sicherheitseinstellungen werden auf Gruppenbasis zugewiesen, während andere standortspezifisch sind. Eine gute Vorgehensweise ist, die Standorterkennung zu aktivieren, um Remote-Clients zu verwalten. Die hierarchische Organisationsstruktur von Symantec Endpoint Protection basiert auf Gruppen, Benutzern und Computern. Sie fügen Standorte innerhalb einer Gruppe hinzu, wenn Sie standortspezifische Einstellungen anpassen müssen. Die Bedingung, die Sie für die Definition eines Standorts verwenden, kann auf unterschiedlichen Kriterien beruhen. Dazu gehören: IP-Adressen WINS-Server-Adressen DHCP-Server-Adressen DNS-Server-Adressen Netzwerkverbindungen Vertrauenswürdige Plattformmodule Andere Kriterien Wenn Sie beabsichtigen, den Typ der Netzwerkverbindung zu verwenden, um einen Standort zu identifizieren, müssen Sie wissen, um welchen Typ es sich handelt. Beispielsweise kann die Netzwerkverbindung eine Verbindung zu Symantec Endpoint Protection Manager, zu einem DFÜ-Netzwerk oder zu einer bestimmten Sorte von VPN-Server sein. Wenn Sie einen Standort erstellen, gilt dieser für die Gruppe, für die Sie ihn erstellt haben, und für alle Untergruppen dieser Gruppe. Eine gute Vorgehensweise ist, die Standorte zu erstellen, die alle Clients auf globaler Gruppenebene verwenden können. Standorte, die für eine bestimmte Gruppe spezifisch sind, sollten auf Untergruppenebene erstellt werden. Je weniger Gruppen und Standorte Sie erstellen, desto einfacher ist die Verwaltung Ihrer Sicherheitsrichtlinien und Einstellungen. Die gewünschte Anzahl unterschiedlicher Sicherheitseinstellungen, Protokolleinstellungen, Kommunikationseinstellungen und Richtlinien bestimmt, wie viele Gruppen und Standorte Sie benötigen.

62 62 Einrichten und Verwalten von Mobile Clients und Remote-Clients Einrichten von Gruppen und Standorten Einige die Konfigurationsoptionen, die Sie möglicherweise für Ihre Remote-Clients anpassen möchten, sind standortunabhängig. Diese Optionen werden entweder von der übergeordneten Gruppe übernommen oder werden unabhängig für eine Gruppe eingestellt. Wenn Sie eine einzelne Gruppe erstellen, die alle Remote-Clients enthalten soll, sind diese standortunabhängigen Einstellungen für alle diese Clients identisch. Die folgenden Einstellungen sind standortunabhängig: Benutzerdefinierte Intrusion Prevention-Signaturen Systemsperre-Einstellungen Einstellungen zur Netzwerkanwendungsüberwachung LiveUpdate-Content-Richtlinien-Einstellungen Client-Protokolleinstellungen Client-Server-Kommunikationseinstellungen Allgemeine Sicherheitseinstellungen, einschließlich Standorterkennung und Manipulationsschutz Um standortunabhängige Einstellungen anzupassen, beispielsweise die Bearbeitung von Client-Protokollen, müssen Sie separate Gruppen erstellen. Informationen über die Einrichtung von Gruppen finden Sie im Administratorhandbuch für Symantec Endpoint Protection und Symantec Network Access Control. Informationen über die Optionen finden Sie in der kontextbezogenen Hilfe der Konsole. Hinweis: Wenn die Einstellungen einer Gruppe von denen der globalen Gruppe abweichen sollen, müssen Sie außerdem die Vererbung deaktivieren. Einige dieser Konfigurationsoptionen, die Sie möglicherweise für Ihre Remote-Clients anpassen möchten, sind standortspezifisch. Die folgenden Einstellungen sind standortspezifisch: Steuerungsmodus der Clients Management-Server-Liste, die die Clients verwenden Download-Modus der Clients Ob eine Liste aller Anwendungen, die auf Clients ausgeführt werden, gesammelt und an den Management-Server gesendet werden sollen Heartbeat-Intervall, das Clients für Downloads verwenden

63 Einrichten und Verwalten von Mobile Clients und Remote-Clients Häufige Mobile Client- und Remote-Client-Szenarios 63 Als gute Vorgehensweise sollten Sie Benutzern nicht ermöglichen, die folgenden Schutzfunktionen zu deaktivieren: Auto-Protect Proaktive TruScan-Bedrohungsprüfungen Manipulationsschutz Firewall-Regeln, die Sie erstellt haben Informationen über die Einrichtung von Standorten finden Sie im Administratorhandbuch für Symantec Endpoint Protection und Symantec Network Access Control. Informationen über die Optionen zum Einrichten von Standorten finden Sie in der kontextbezogenen Hilfe der Konsole. Häufige Mobile Client- und Remote-Client-Szenarios Bei Remote-Clients ist es im einfachsten Fall üblich, die Gruppe "Global" und drei Standorte zu verwenden. Dies ist Szenario eins. Um die Sicherheit der Clients in diesem Szenario zu verwalten, können Sie unter der Gruppe "Global" folgende Standorte erstellen: Büro-Clients, die sich im Büro anmelden. Remote-Clients, die sich remote über ein VPN beim Unternehmensnetzwerk anmelden. Remote-Clients, die sich remote aber nicht über ein VPN beim Internet anmelden. Da der Remote-Standort ohne VPN-Verbindung am unsichersten ist, sollten Sie diesen Standort immer als Standard festlegen. Hinweis: Wenn Sie die Vererbung für die Gruppe "Global" deaktivieren und dann Gruppen hinzufügen, übernehmen die hinzugefügten Gruppen nicht die Standorte, die Sie für die globale Gruppe festgelegt haben. In Szenario zwei verwenden Sie die gleichen Remote-Standorte wie oben, aber fügen zwei Bürostandorte hinzu, so dass es insgesamt vier Standorte gibt. In Szenario zwei gibt es also folgende Bürostandorte: Clients im Büro, die sich über eine Ethernet-Verbindung anmelden. Clients im Büro, die sich über eine drahtlose Verbindung anmelden.

64 64 Einrichten und Verwalten von Mobile Clients und Remote-Clients Kriterien für die Standorterkennung Die Verwaltung wird vereinfacht, wenn sich alle Clients im standardmäßigen Server-Steuerungsmodus befinden. Wenn Sie Benutzereingaben genau steuern möchten, kann ein erfahrener Administrator die gemischte Steuerung verwenden. Bei einer gemischten Steuerung haben die Endbenutzer eine gewisse Kontrolle über die Sicherheitseinstellungen, aber Sie können deren Änderungen bei Bedarf außer Kraft setzen. Die Client-Steuerung gewährt Benutzern mehr Freiheit bei ihrer Arbeit, birgt aber höhere Sicherheitsrisiken für Ihr Netzwerk. Es wird empfohlen, die Client-Steuerung nur in den folgenden Situationen zu verwenden: Wenn sich Ihre Benutzer mit Computersicherheit auskennen. Wenn Sie zwingende Gründe dazu haben. Kriterien für die Standorterkennung Standorterkennung hilft Ihnen beim Schutz Ihres Netzwerkes. Über die Standorterkennung können Sie Kriterien (Bedingungen) festlegen, die einen Switch zu einem neuen Standort mit anderen Sicherheitseinstellungen auslösen, wenn die Bedingungen erfüllt sind. Die anzuwendenden Sicherheitsrichtlinien hängen normalerweise davon ab, wo sich der Client befindet, wenn eine Verbindung zum Netzwerk hergestellt wird. Wenn die Standorterkennung aktiviert ist, werden einem Client die strengsten Sicherheitsrichtlinien zugewiesen, wenn dies erforderlich ist. Eine gute Vorgehensweise ist, die Standorterkennung beim Verwalten von Remote-Clients zu aktivieren. Fügen Sie in der Konsole dem Standort jeder Gruppe eine Reihe von Bedingungen zu, die automatisch die richtige Sicherheitsrichtlinie für die Umgebung eines Benutzers auswählen. Diese Bedingungen basieren auf Informationen wie den Netzwerkeinstellungen des Computers, von dem aus die Anforderung für den Netzwerkzugriff gestartet wurde. Eine IP-Adresse, eine MAC-Adresse oder die Adresse eines Verzeichnis-Servers können auch als Bedingung dienen. Weitere Informationen zum Aktivieren und Verwenden der Standorterkennung finden Sie im Administratorhandbuch für Symantec Endpoint Protection und Symantec Network Access Control. Einrichten von Standorterkennungs-Bedingungen für Szenario eins Die folgenden Vorschläge stellen die bewährten Methoden für Szenario eins dar.

65 Einrichten und Verwalten von Mobile Clients und Remote-Clients Kriterien für die Standorterkennung 65 So richten Sie den Bürostandort für die Clients im Büro ein 1 Wählen Sie auf der Seite "Clients" die Gruppe aus, für die Sie einen Standort hinzufügen möchten. 2 Klicken Sie unter "Aufgaben" auf "Standort hinzufügen". 3 Klicken Sie im Assistenten für das Hinzufügen von Speicherorten auf "Weiter". 4 Geben Sie einen Namen für den Standort ein und fügen Sie optional eine Beschreibung dafür hinzu. Klicken Sie auf "Weiter". 5 Wählen Sie im Listenfeld "Client kann Verbindung zum Management-Server aufnehmen", und klicken Sie dann auf "Weiter". 6 Klicken Sie auf "Fertig stellen". 7 Klicken Sie unter "Aufgaben" auf "Standorte verwalten" und wählen Sie dann den von Ihnen erstellten Standort aus. 8 Klicken Sie auf "Hinzufügen" und anschließend auf "Kriterien für UND-Beziehung". 9 Wählen Sie im Dialogfeld "Speicherortkriterien angeben" aus der Liste "Typ" die Option "Netzwerkverbindungstyp". 10 Klicken Sie auf "Falls der Client-Computer nicht den unten angegebenen Netzwerkverbindungstyp nutzt". 11 Wählen Sie im Listenfeld unten den Namen des VPN-Clients, den Ihr Unternehmen verwendet, und klicken Sie dann auf "OK". 12 Klicken Sie auf "OK", um das Dialogfeld "Standorte verwalten" zu schließen. So richten Sie den Remote-Standort für die Clients ein, die sich über ein VPN anmelden 1 Wählen Sie auf der Seite "Clients" die Gruppe aus, für die Sie einen Standort hinzufügen möchten. 2 Klicken Sie unter "Aufgaben" auf "Standort hinzufügen". 3 Klicken Sie im Assistenten für das Hinzufügen von Speicherorten auf "Weiter". 4 Geben Sie einen Namen für den Standort ein und fügen Sie optional eine Beschreibung dafür hinzu. Klicken Sie auf "Weiter". 5 Wählen Sie im Listenfeld "Netzwerkverbindungstyp". 6 Wählen Sie im Listenfeld "Verbindungstyp" den Namen des VPN-Clients, den Ihr Unternehmen verwendet, und klicken Sie dann auf "Weiter". 7 Klicken Sie auf "Fertig stellen". 8 Klicken Sie auf "OK".

66 66 Einrichten und Verwalten von Mobile Clients und Remote-Clients Kriterien für die Standorterkennung So richten Sie den Remote-Standort für die Clients ein, die sich nicht über ein VPN anmelden 1 Wählen Sie auf der Seite "Clients" die Gruppe aus, für die Sie einen Standort hinzufügen möchten. 2 Klicken Sie unter "Aufgaben" auf "Standort hinzufügen". 3 Klicken Sie im Assistenten für das Hinzufügen von Speicherorten auf "Weiter". 4 Geben Sie einen Namen für den Standort ein, und fügen Sie optional eine Beschreibung dafür hinzu. Klicken Sie anschließend auf "Weiter". 5 Behalten Sie Im Listenfeld die Einstellung "Keine bestimmte Bedingung" bei und klicken Sie auf "Weiter". Mithilfe dieser Einstellungen werden die Richtlinien dieses Standorts, die die strengsten und sichersten sein sollten, als Standardrichtlinien für Standorte verwendet. 6 Klicken Sie auf "Fertig stellen". Einrichten von Standorterkennungs-Bedingungen für Szenario zwei Im Szenario zwei können Sie dieselben beiden Remote-Standorte mit denselben Bedingungen wie für Szenario eins verwenden. Anstelle eines einzigen Bürostandorts verwenden Sie zwei Bürostandorte: einen für Ethernet-Clients und einen für Clients mit drahtloser Verbindung. Siehe "Einrichten von Standorterkennungs-Bedingungen für Szenario eins" auf Seite 64. Hinweis: Sie können einige Clients im Büro haben, die Ethernet-Verbindungen nutzen, während andere Clients drahtlose Verbindungen verwenden. Aus diesem Grund legen Sie die letzte Bedingung im Verfahren für drahtlose Clients im Büro fest. Mit dieser Bedingung können Sie eine Firewall-Richtlinien-Regel für einen Ethernet-Standort erstellen, um allen drahtlosen Datenverkehr zu blockieren, wenn beide Arten von Verbindungen gleichzeitig verwendet werden. So richten Sie den Bürostandort für die Clients ein, die über Ethernet angemeldet sind 1 Wählen Sie auf der Seite "Clients" die Gruppe aus, für die Sie einen Standort hinzufügen möchten. 2 Klicken Sie unter "Aufgaben" auf "Standort hinzufügen". 3 Klicken Sie im Assistenten für das Hinzufügen von Speicherorten auf "Weiter".

67 Einrichten und Verwalten von Mobile Clients und Remote-Clients Kriterien für die Standorterkennung 67 4 Geben Sie einen Namen für den Standort ein, und fügen Sie optional eine Beschreibung dafür hinzu. Klicken Sie anschließend auf "Weiter". 5 Wählen Sie im Listenfeld "Client kann Verbindung zum Management-Server aufnehmen" und klicken Sie dann auf "Weiter". 6 Klicken Sie auf "Fertig stellen". 7 Klicken Sie auf "OK". 8 Klicken Sie unter "Aufgaben" auf "Standorte verwalten" und wählen Sie dann den von Ihnen erstellten Standort aus. 9 Klicken Sie auf "Hinzufügen" und wählen Sie dann "Kriterien für UND-Beziehung" aus. 10 Wählen Sie im Dialogfeld "Speicherortkriterien angeben" aus der Liste "Typ" die Option "Netzwerkverbindungstyp". 11 Klicken Sie auf "Falls der Client-Computer nicht den unten angegebenen Netzwerkverbindungstyp nutzt". 12 Wählen Sie im Listenfeld unten den Namen des VPN-Clients, den Ihr Unternehmen verwendet, und klicken Sie dann auf "OK". 13 Klicken Sie auf "Hinzufügen" und anschließend auf "Kriterien für UND-Beziehung". 14 Wählen Sie im Dialogfeld "Speicherortkriterien angeben" aus der Liste "Typ" die Option "Netzwerkverbindungstyp". 15 Klicken Sie auf "Falls der Client-Computer den unten angegebenen Netzwerkverbindungstyp nutzt". 16 Wählen Sie im Listenfeld unten "Ethernet" und klicken Sie dann auf "OK". 17 Klicken Sie auf "OK", um das Dialogfeld "Standorte verwalten" zu schließen. So richten Sie den Bürostandort für die Clients ein, die über eine drahtlose Verbindung angemeldet sind 1 Wählen Sie auf der Seite "Clients" die Gruppe aus, für die Sie einen Standort hinzufügen möchten. 2 Klicken Sie unter "Aufgaben" auf "Standort hinzufügen". 3 Klicken Sie im Assistenten für das Hinzufügen von Speicherorten auf "Weiter". 4 Geben Sie einen Namen für den Standort ein, und fügen Sie optional eine Beschreibung dafür hinzu. Klicken Sie anschließend auf "Weiter". 5 Wählen Sie im Listenfeld "Client kann Verbindung zum Management-Server aufnehmen", und klicken Sie dann auf "Weiter". 6 Klicken Sie auf "Fertig stellen".

68 68 Einrichten und Verwalten von Mobile Clients und Remote-Clients Verstärken von Sicherheitsrichtlinien für Remote-Clients 7 Klicken Sie auf "OK". 8 Klicken Sie unter "Aufgaben" auf "Standorte verwalten" und wählen Sie dann den von Ihnen erstellten Standort aus. 9 Klicken Sie auf "Hinzufügen" und anschließend auf "Kriterien für UND-Beziehung". 10 Wählen Sie im Dialogfeld "Speicherortkriterien angeben" aus der Liste "Typ" die Option "Netzwerkverbindungstyp". 11 Klicken Sie auf "Falls der Client-Computer nicht den unten angegebenen Netzwerkverbindungstyp nutzt". 12 Wählen Sie im Listenfeld unten den Namen des VPN-Clients, den Ihr Unternehmen verwendet, und klicken Sie dann auf "OK". 13 Klicken Sie auf "Hinzufügen" und anschließend auf "Kriterien für UND-Beziehung". 14 Wählen Sie im Dialogfeld "Speicherortkriterien angeben" aus der Liste "Typ" die Option "Netzwerkverbindungstyp". 15 Klicken Sie auf "Falls der Client-Computer nicht den unten angegebenen Netzwerkverbindungstyp nutzt". 16 Wählen Sie im Listenfeld unten "Ethernet", und klicken Sie anschließend auf "OK". 17 Klicken Sie auf "Hinzufügen" und anschließend auf "Kriterien für UND-Beziehung". 18 Wählen Sie im Dialogfeld "Speicherortkriterien angeben" aus der Liste "Typ" die Option "Netzwerkverbindungstyp". 19 Klicken Sie auf "Falls der Client-Computer den unten angegebenen Netzwerkverbindungstyp nutzt". 20 Wählen Sie im Listenfeld unten "Wireless", und klicken Sie anschließend auf "OK". 21 Klicken Sie auf "OK", um das Dialogfeld "Standorte verwalten" zu schließen. Verstärken von Sicherheitsrichtlinien für Remote-Clients Wenn Sie Remote-Benutzer verwalten, haben Sie im Wesentlichen eine der folgenden Möglichkeiten: Sie können Ihre Standardrichtlinien beibehalten und Remote-Benutzer somit nicht bei der Verwendung ihrer Computer einschränken.

69 Einrichten und Verwalten von Mobile Clients und Remote-Clients Verstärken von Sicherheitsrichtlinien für Remote-Clients 69 Sie können Ihre Standard-Sicherheitsrichtlinien erhöhen, um Ihr Netzwerk besser zu schützen, auch wenn dies die Arbeitsweise der Remote-Benutzer einschränkt. In den meisten Fällen ist es ratsam, die Sicherheitsrichtlinien für Remote-Clients zu erhöhen. Richtlinien können gemeinsam oder nicht gemeinsam genutzt werden und entweder Gruppen oder Orten zugewiesen werden. Gemeinsam genutzte Richtlinien gelten für beliebige Gruppen und Orte und können übernommen werden. Eine nicht gemeinsam genutzte Richtlinie gilt nur für einen bestimmten Ort in einer Gruppe. Idealerweise sollten gemeinsam genutzte Richtlinien erstellt werden, da dies das Ändern von Richtlinien in mehreren Gruppen und Orten erleichtert. Wenn Sie jedoch eindeutige standortspezifische Richtlinien benötigen, müssen Sie nicht gemeinsam genutzte Richtlinien erstellen oder diese Richtlinien in nicht gemeinsam genutzte Richtlinien konvertieren. Bewährte Einstellungen für Firewall-Richtlinien Eine bewährte Methode für eine Firewall-Richtlinie besteht darin, die strengsten Sicherheitsrichtlinien denjenigen Clients zuzuweisen, die sich über Fernzugriff anmelden, ohne ein VPN zu verwenden. Die folgenden Einstellungen werden als optimales Verfahren für die Firewall-Richtlinie für den Remote-Standort empfohlen, an dem Benutzer sich nicht über ein VPN anmelden: Sie können den NetBIOS-Schutz in den "Einstellungen für Datenverkehr " der Richtlinie aktivieren. Hinweis: Aktivieren Sie den NetBIOS-Schutz nicht für Standorte, an denen ein Remote-Client beim Unternehmensnetzwerk über ein VPN angemeldet ist. Diese Regel ist nur dann geeignet, wenn Remote-Clients mit dem Internet, und nicht mit dem Unternehmensnetzwerk verbunden sind. Um die Sicherheit zu erhöhen, können Sie auch allen lokalen TCP-Datenverkehr an den NetBIOS-Ports 135, 139 und 445 blockieren. Die folgenden Einstellungen werden als optimales Verfahren für die Firewall-Richtlinie für den Remote-Standort empfohlen, an dem Benutzer sich über ein VPN anmelden: Belassen Sie alle Regeln zum Blockieren von Datenverkehr auf allen Adaptern unverändert. Ändern Sie diese Regeln nicht. Belassen Sie die Regel, die VPN-Datenverkehr auf allen Adaptern zulässt, unverändert. Ändern Sie diese Regel nicht.

70 70 Einrichten und Verwalten von Mobile Clients und Remote-Clients Verstärken von Sicherheitsrichtlinien für Remote-Clients Für alle Regeln, die die Aktion "Zulassen" verwenden, ändern Sie den Wert der Spalte "Adapter" von "Alle Adapter" in den Namen des VPN-Adapters, den Sie verwenden. Aktivieren Sie die Regel, die allen anderen Datenverkehr blockiert. Hinweis: Sie müssen die letzten drei Änderungen vornehmen, wenn Sie die Möglichkeit des Split Tunneling über das VPN vermeiden möchten. Es wird empfohlen, dass Sie für die Bürostandorte, in denen sich Benutzer über Ethernet oder drahtlose Verbindungen anmelden, Ihre Standard-Firewall-Richtlinie verwenden. Stellen Sie für die drahtlose Verbindung sicher, dass die Regel zum Zulassen des Drahtlos-EAPOL aktiviert ist x verwendet für die Verbindungsauthentifizierung das Extensible Authentication Protocol über LAN (EAPOL). Bewährte Einstellungen für Virenschutz- und Antispyware-Richtlinien Die folgenden Einstellungen der proaktiven TruScan-Bedrohungsprüfung werden als optimales Verfahren für Ihre Virenschutz- und Antispyware-Richtlinie für den Remote-Standort empfohlen, an dem sich Benutzer nicht über ein VPN anmelden: Stellen Sie die Empfindlichkeit der TruScan-Bedrohungsprüfung für Trojaner und Würmer auf "Hoch" ein. Stellen Sie die Aktion ein, die durchgeführt wird, wenn Trojaner oder Würmer erkannt werden: "Isolieren" oder "Beenden". Stellen Sie die Empfindlichkeitsstufe für Programme zum Aufzeichnen von Tastaturanschlägen auf "Hoch" ein. Stellen Sie die Aktion ein, die ausgeführt wird, wenn Programme zum Aufzeichnen von Tastatureingaben erkannt werden: "Isolieren" oder "Beenden". Wenn Sie für die Aktion "Beenden" wählen, ändern Sie die Einstellungen für Benachrichtigungen so, dass Benutzer eine Meldung erhalten, bevor Prozesse und Dienste beendet werden. Wenn Sie die proaktive Bedrohungsprüfung normalerweise nicht bei jedem Start einer neuen Anwendung ausführen, sollten Sie eine Prüfung für beide Remote-Standorte ausführen. Siehe "Verwalten der proaktiven TruScan-Bedrohungsprüfungen" auf Seite 85.

71 Einrichten und Verwalten von Mobile Clients und Remote-Clients Client-Benachrichtigungen 71 Bewährte Einstellungen für LiveUpdate-Richtlinien Wenn Sie Symantec-Content- und Produkt-Updates für Ihre Clients streng kontrollieren, sollten Sie in Erwägung ziehen, die LiveUpdate-Richtlinie für Remote-Clients zu ändern. Für Remote-Standorte, an denen sich Benutzer nicht über ein VPN anmelden, schlagen wir die folgenden bewährten Methoden vor: Ändern Sie die Einstellungen der LiveUpdate-Richtlinie entsprechend, sodass der standardmäßige Symantec LiveUpdate-Server verwendet wird. Dies ermöglicht den Remote-Clients, Aktualisierungen durchzuführen, sobald eine Verbindung zum Internet besteht. Legen Sie für die Häufigkeit der LiveUpdate-Planung eine Stunde fest. Dadurch erhöht sich die Wahrscheinlichkeit, dass Clients ihren Schutz aktualisieren, wenn sie mit dem Internet verbunden sind. Für alle anderen Orte wird empfohlen, Symantec Endpoint Protection Manager zur Verteilung von Software- und Content-Updates zu verwenden. Die Update-Pakete, die über die Management-Konsole verteilt werden, sind eher inkrementelle statt vollständige Pakete. Sie sind kleiner als die Pakete, die direkt vom Symantec LiveUpdate-Server heruntergeladen werden. Bewährte Einstellungen für Richtlinien zur Anwendungssteuerung Sie können auch Richtlinien zur Anwendungssteuerung erstellen, um bestimmte Anwendungen zu blockieren oder nur bestimmte Anwendungen zuzulassen. Wenn Sie eine Richtlinie zur Anwendungssteuerung zum Zulassen oder Blockieren von Anwendungen zuweisen, haben Sie bessere Kontrolle über Ihre Mobile Clients. Client-Benachrichtigungen Für Ihre Remote-Clients, die nicht über VPN angemeldet sind, ist es empfehlenswert, Client-Benachrichtigungen für die folgenden Situationen zu aktivieren: Intrusion Detection Sie können diese Benachrichtigungen mithilfe der standortspezifischen Option "Server" oder "Gemischte Steuerung" in "Steuereinstellungen für die Client-Benutzerschnittstelle" aktivieren. Virenschutz- und Antispyware-Risiken Sie können diese Benachrichtigungen in der Virenschutz- und Antispyware-Richtlinie aktivieren.

72 72 Einrichten und Verwalten von Mobile Clients und Remote-Clients Anpassen der Verwaltungseinstellungen von Client-Protokollen Das Einschalten von Benachrichtigungen hilft sicherzustellen, dass Remote-Benutzer informiert werden, wenn ein Sicherheitsproblem auftritt. Anpassen der Verwaltungseinstellungen von Client-Protokollen Sie können einige Einstellungen zur Protokollverwaltung für Remote-Clients anpassen, insbesondere, wenn die Clients mehrere Tage offline sind. Sie können eine oder mehrere der folgenden Änderungen vornehmen, um die Bandbreitennutzung zu reduzieren und die Management-Server zu entlasten. Ändern Sie die Client-Protokolleinstellungen, damit die Clients ihre Protokolle nicht auf den Management-Server hochladen. Ändern Sie die Client-Protokolleinstellungen, um nur Client-Sicherheitsprotokolle hochzuladen. Ändern Sie die Client-Protokolleinstellungen, um Protokolle länger aufzubewahren. Filtern Sie in Ihrer standortspezifischen Virenschutz- und Anti-Spyware-Richtlinie die Protokollereignisse, um nur einige wichtige Ereignisse hochzuladen. Dies empfiehlt sich beispielsweise, wenn Sie nur Informationen zu Definitionsaktualisierungen oder nur fehlgeschlagene Reparaturen von Nebeneffekten anzeigen möchten. Wenn Sie Virenschutz- und Anti-Spyware-Ereignisdaten aus den Protokollen dieser Clients anzeigen möchten, verlängern Sie die Aufbewahrungszeit für Protokolle. Hinweis: Einige Client-Protokolleinstellungen sind gruppenspezifisch, andere werden in der Virenschutz- und Anti-Spyware-Richtlinie festgelegt, die auf einen Ort angewendet werden kann. Wenn sich die Einstellungen für Remote-Client-Protokolle und Büro-Client-Protokolle unterscheiden sollen, müssen Sie Gruppen anstelle von Orten zur Verwaltung von Remote-Clients verwenden. Verwalten von Lastverteilung und Roaming Wenn Sie mehrere Standorte haben, können Sie DNS zusammen mit einer benutzerdefinierten Management-Server-Liste für Ihre Remote-Clients verwenden. Sie können die folgenden Schritte ausführen, um Ihr Netzwerk für Roaming-Clients einzurichten und die Belastung auf Ihren Servern zu verteilen:

73 Einrichten und Verwalten von Mobile Clients und Remote-Clients Überwachen von Remote-Clients 73 Konfigurieren Sie Ihre DNS-Server entsprechend den Standorten in Ihrem Unternehmen. Verwenden Sie denselben Domänennamen auf allen DNS-Servern. Jeder DNS-Server sollte mit der IP-Adresse des nächsten Management-Servers konfiguriert werden. Verwenden Sie Symantec Endpoint Protection Manager, um eine benutzerdefinierte Management-Server-Liste für Ihre Remote-Clients zu erstellen. Diese Liste sollte lediglich den vollständig qualifizierten Domänennamen Ihrer DNS-Server enthalten. Weisen Sie diese Liste der Gruppe zu, die Ihre Standorte enthält. Weitere Informationen zum Erstellen und Zuweisen von Management-Server-Listen finden Sie im Administratorhandbuch für Symantec Endpoint Protection und in Symantec Network Access Control. Überwachen von Remote-Clients Benachrichtigungen und Protokolle sind zur Erhaltung einer sicheren Umgebung äußerst wichtig. Im Allgemeinen sollten Sie Ihre Remote-Clients ebenso überwachen wie Ihre anderen Clients. Sie sollten jederzeit sicherstellen, dass Ihr Schutz auf dem neuesten Stand ist und Ihr Netzwerk nicht angegriffen wird. Wenn Sie einem Netzwerkangriff ausgesetzt sind, möchten Sie herausfinden, wer hinter dem Angriff steckt und wie der Angriff erfolgte. Auch wenn Sie die von Mobile Clients hochgeladenen Client-Protokolldaten einschränken, können Sie folgende Anzeigen überprüfen: Prüfen Sie auf der Startseite die Virendefinitionsverteilung und Intrusion Prevention-Signaturen, um zu sehen, ob der Content aktuell ist. Prüfen Sie auf der Startseite die Statuszusammenfassung, um zu sehen, auf welchen Computern der Schutz deaktiviert ist. Prüfen Sie auf der Startseite die Risiken, Angriffe und Infektionen pro Stunde, um zu sehen, ob Ihr Netzwerk angegriffen wird. Wenn ein Netzwerkangriff stattfindet, prüfen Sie auf der Registerkarte "Zusammenfassung" unter "Überwachung" die Zusammenfassung zum Netzwerkbedrohungsschutz. Dort werden die wichtigsten Angriffsziele und die Quelle der Angriffe anzeigt. Die Daten in den folgenden Anzeigen auf der Startseite stellen nur die Clients dar, die in den letzten 12 oder 24 Stunden eine Verbindung hergestellt haben: Verteilung der Virendefinitionen Intrusion Prevention-Signaturen Statuszusammenfassung

74 74 Einrichten und Verwalten von Mobile Clients und Remote-Clients Überwachen von Remote-Clients Über die Einstellungen der Startseite wird festgelegt, wie lange Symantec Endpoint Protection Manager Daten anzeigt. Wenn Ihre Clients häufig offline sind, überwachen Sie diese am besten mithilfe von Protokollen und Berichten. Filtern Sie die Daten in den Protokollen und Berichten, um Offline-Clients einzuschließen.

75 Kapitel 5 Symantec Endpoint Protection-Verwaltung: Server, Standorte und Group Update Provider In diesem Kapitel werden folgende Themen behandelt: Symantec Endpoint Protection-Verwaltungstopologie Organisatorische Faktoren Entscheiden zwischen einem oder mehreren Standorten Aktualisieren von Content Hochverfügbarkeit und Failover Lastverteilung und Roaming Symantec Endpoint Protection-Verwaltungstopologie Ein Standort ist die primäre Organisationseinheit in der Symantec Endpoint Protection-Verwaltungstopologie. Ein Standort besteht aus einer Datenbank und einem oder mehreren Management-Servern sowie Clients. Standort-Informationen können über mehrere Standorten mithilfe der Management-Server repliziert werden. Ein Management-Server führt die Symantec Endpoint Protection-Software aus, die zur Verwaltung von Clients, Verarbeitung von Richtlinien und zur Überwachung der Endpoint Security und der zugehörigen Berichterstattung

76 76 Symantec Endpoint Protection-Verwaltung: Server, Standorte und Group Update Provider Organisatorische Faktoren verwendet wird. Die Schnittstelle zum Management-Server ist die Symantec Endpoint Protection Manager-Konsole. Die Konsole wird mit dem Management-Server installiert. Sie kann auch auf einem beliebigen Computer mit einer Netzwerkverbindung zum Management-Server installiert und über Fernzugriff verwendet werden. Sie können die in Symantec Endpoint Protection integrierte Sybase-Datenbank installieren, die bis zu Clients unterstützt, oder Sie können eine externe MS-SQL-Datenbank verwenden. Eine externe MS-SQL-Datenbank kann Daten für viel mehr Clients unterstützen. Sie können Ihre Management-Server und Datenbank-Server an verschiedenen Standorten einrichten. Sie sollten jedoch wissen, dass dies in manchen Situationen zu Leistungsproblemen führen kann. Sie sollten sicherstellen, dass Sie genügend Bandbreite zur Unterstützung dieses Szenarios haben. Darüber hinaus sollte die Verbindung zwischen dem Management-Server und der Datenbank über ein LAN, nicht über ein WAN erfolgen. Die folgenden bewährten Größen-Richtlinien werden empfohlen: Installieren Sie so wenige Standorte wie möglich, maximal 20. Verbinden Sie bis zu 10 Management-Server mit einer Datenbank. Verbinden Sie bis zu Clients mit einem Management-Server. Wir empfehlen, diese Richtlinien unter normalen Umständen nicht zu überschreiten. Wenn Sie einen Management-Server und mehr als Clients haben, aber keinen anderen Server installieren möchten oder können, hilft möglicherweise folgende Strategie. Sie besteht darin, interne LiveUpdate-Server und Group Update Provider für die Verarbeitung von Content-Updates hinzuzufügen. Diese Strategie kann helfen, die Anzahl der von einem Management-Server verwalteten Clients zu erhöhen. Siehe "Aktualisieren von Content" auf Seite 78. Hinweis: Alle Vorschläge sind nur als allgemeine Richtlinien zu verstehen. Sie sollten sie entsprechend der Bedürfnisse Ihres Unternehmens anpassen. Organisatorische Faktoren Ihre Netzwerkarchitektur sollte bei der Entwicklung Ihrer Symantec Endpoint Protection-Verwaltungsstruktur die höchste Priorität haben. Die folgenden spezifischen Faktoren betreffen die Anzahl der Standorte, der Management-Server und der Content-Update-Server oder der -Computer, die Sie verwenden sollten:

77 Symantec Endpoint Protection-Verwaltung: Server, Standorte und Group Update Provider Entscheiden zwischen einem oder mehreren Standorten 77 Die Anzahl an Clients in Ihrem Unternehmen. Die Anzahl der geografischen Standorte in Ihrem Unternehmen und der Typ der Kommunikationsverbindungen zwischen ihnen. Die Anzahl von Funktionsabteilungen oder von administrativen Gruppen in Ihrem Unternehmen. Die Anzahl an Rechenzentren in Ihrem Unternehmen. Die Häufigkeit, mit der Sie Sicherheits-Content aktualisieren möchten. Die Menge der aufzubewahrenden Client-Protokolldaten, der Aufbewahrungszeitraum und der Aufbewahrungsort. Verschiedene Gesichtspunkte der Unternehmensleitung und IT-Sicherheit, die Ihrem Unternehmen eigen sind Entscheiden zwischen einem oder mehreren Standorten Unter einem Kleinunternehmen wird hier ein Unternehmen mit weniger als 100 Clients verstanden. Ein mittleres Unternehmen hat weniger als Clients und ein großes Unternehmen mehr als Clients. Die meisten kleinen und mittleren Unternehmen brauchen nur einen einzigen Standort für die zentrale Verwaltung ihrer Netzwerksicherheit. Da es nur eine Datenbank gibt, sind alle Daten an einem zentralen Speicherort verfügbar. Selbst ein großes Unternehmen mit nur einem geografischen Standort und weniger als Clients benötigt normalerweise nur einen Standort. Wenn Sie Failover-Funktionen für Ihren Management-Server benötigen, können Sie zwei oder mehr Management-Server installieren. Um zusätzliche Clients zu verwalten, müssen Sie nur weitere Management-Server hinzufügen. Wenn Sie Failover oder Hochverfügbarkeit für Ihre Datenbank benötigen, müssen Sie Ihre Datenbanken in einem Cluster organisieren. Unternehmen, die zu komplex sind, um zentral verwaltet werden zu können, können eine verteilte Management-Architektur mit mehreren Standorten verwenden. Es kann aus verschiedenen Gründen empfehlenswert sein, einen zweiten Standort hinzuzufügen. Ein häufiger Grund ist, dass Sie eine langsame WAN-Verbindung zwischen zwei physischen Standorten haben und den Datenverkehr über diese Verbindung auf ein Minimum reduzieren möchten. Wenn Sie einen zweiten Standort mit einem eigenen Management-Server eingerichtet haben, vermeiden Sie allen Symantec Endpoint Protection-Client-Server-Datenverkehr über diese langsame Verbindung. Ein anderer Grund, einen zweiten Standort hinzuzufügen, könnte sein, dass Sie in

78 78 Symantec Endpoint Protection-Verwaltung: Server, Standorte und Group Update Provider Aktualisieren von Content Ihrem Unternehmen mehr als einen Rechenzentrumsstandort haben. Es hat sich bewährt, in diesem Fall einen Symantec Endpoint Protection-Standort für jedes Rechenzentrum einzurichten. Ein zusätzlicher Grund, mehrere Standorte hinzuzufügen kann darin bestehen, dass Sie für Ihr Sicherheitsnetzwerk und sicherheitsbezogene Daten wirkliche Hochverfügbarkeit benötigen. In diesen Fällen hat sich bewährt, nicht mehr als 20 Symantec Endpoint Protection-Standorte zu installieren. Die folgenden Strukturen sind Umgebungen mit mehreren Standorten gemeinsam: Verteilte Struktur Mit zwei Standorten oder einigen Standorten repliziert jeder Standort Gruppen und Richtlinien, doch werden Protokolle und Content nicht repliziert. In diesem Modell verwenden Administratoren die Konsole, um eine Verbindung zu einem Manager am Remote-Standort herzustellen, um die Berichte für diesen Standort einzusehen. Wir empfehlen diese Struktur, wenn der Zugriff auf Remote-Daten für Sie nicht von entscheidender Bedeutung ist. Struktur mit zentraler Protokollierung In dieser Struktur werden alle Protokolle von anderen Standorten an einen zentralen Standort weitergeleitet. Der zentrale Standort tritt als das Repository für die Protokolle von allen anderen Standorten auf. Wir empfehlen diese Struktur, wenn in Ihrer Umgebung eine zentrale Berichterstellung erforderlich ist. Ein typischer Client speichert maximal ca. 800 KB an Einträgen in die Datenbank pro Tag, wenn alle Protokolle auf den Management-Server hochgeladen werden. Diese Anzahl von Einträgen entspricht 288 MB pro Client und Jahr. Um diese Menge zu reduzieren, können Sie gegebenenfalls nur einige wenige, sich auf Sicherheitsvorfälle beziehende Protokolle an Ihre Management-Server weiterleiten. Die vollständigen Client-Protokolle bleiben auf dem Client verfügbar, wenn Sie sie für Debug-Zwecke oder für nachweisliche Prüfungen benötigen. In großen Unternehmen sollten Sie die Menge des Speicherplatzes berücksichtigen, bevor Sie sich für das Weiterleiten umfangreichen Datenverkehrs von Client-Firewalls entscheiden. Struktur für Hochverfügbarkeit Wenn Sie für Ihr Sicherheitsnetzwerk Failover oder Hochverfügbarkeit benötigen, müssen Sie mehrere Standorte installieren und Ihre Datenbanken in Clustern organisieren. Aktualisieren von Content Die Standardmethode für Content- und Produktaktualisierungen ist, dass der Management-Server Updates vom Symantec LiveUpdate-Server abruft. Nachdem

79 Symantec Endpoint Protection-Verwaltung: Server, Standorte und Group Update Provider Aktualisieren von Content 79 der Management-Server die Updates erhält, stellt er diese Updates seinen verwalteten Clients zur Verfügung. Diese Methode wird häufig in kleinen oder mittleren Unternehmen verwendet. Als Alternativoption verwenden einige große Unternehmen einen oder mehrere interne LiveUpdate-Server als lokale Update-Verteilungspunkte, um die Leistung zu erhöhen. Hinweis: Die durchschnittliche tägliche Updategröße für Virenschutz- und Antispyware-Definitionen ist zwischen 70 KB und 150 KB. Wenn die Clients eines Standorts ein durchschnittliches Update bei der verfügbaren Bandbreite innerhalb einer Stunde herunterladen können, benötigen Sie wahrscheinlich keinen internen LiveUpdate-Server. Die Verwendung eines internen LiveUpdate-Servers hat die folgenden Vorteile: Wenn Sie mehrere Symantec-Produkte einsetzen, können Sie einen internen LiveUpdate-Server verwenden, um alle Ihre Symantec-Produkte zentral zu aktualisieren. Er kann die Leistung erhöhen, indem er den Datenverkehr über WAN-Verbindungen reduziert. Nur ein Server muss eine Verbindung mit dem Symantec LiveUpdate-Server herstellen. Er bietet eine strikte Kontrolle der Definitionsversionen und des Contents, den Sie verteilen. Hierdurch kann die Anzahl der Standorte, die Sie installieren und konfigurieren müssen, reduziert werden. Außerdem können Sie viele verschiedene Versionen von Definitionen und Content beibehalten. Diese Methode erfordert die Installation von LiveUpdate Administrator auf einem lokalen Server. Beachten Sie, dass LiveUpdate Administrator nicht auf dem gleichen Computer wie ein Management-Server oder auf dem zentralen Datenbank-Server installiert werden sollte. Sie können einen LiveUpdate Administrator-Server konfigurieren, um den Symantec LiveUpdate-Server fortlaufend auf neue Definitionen und neuen Content zu prüfen. Sie können die Management-Server in Ihrem Netzwerk so konfigurieren, dass sie die internen LiveUpdate-Server in einem festgelegten Intervall überprüfen. Wenn Sie einen internen LiveUpdate-Server verwenden, wird die Update-Größe kleiner, je häufiger dieser aktualisiert wird. Informationen über das Einrichten eines internen LiveUpdate-Servers finden Sie im LiveUpdate-Administratorhandbuch.

80 80 Symantec Endpoint Protection-Verwaltung: Server, Standorte und Group Update Provider Aktualisieren von Content Zusätzlich zur Verwendung eines internen LiveUpdate-Servers oder Management-Servers können Unternehmen die Verwendung der Group Update Provider (GUP) erwägen. Ein GUP ist ein Client, der Content-Updates vom Management-Server abruft, sie lokal zwischenspeichert und sie auf einer Gruppe anderer Clients verteilt. Ein GUP kann Virenschutz- und Antispyware-Definitionen, IPS-Signaturen und Prüf-Engine-Updates verteilen. Er speichert keine Software-Update-Pakete zwischen. Jeder Client kann als GUP für eine Gruppe von Clients eingesetzt werden, aber ein GUP sollte nicht mehr als 100 Clients bedienen. Wenn die Verbindung mit einem GUP getrennt wird, können Clients automatisch Content vom Management-Server herunterladen. Jeder Desktopoder Laptop-Computer kann als GUP verwendet werden. Es wird jedoch empfohlen, einen permanent verfügbaren Computer mit fester IP-Adresse zu verwenden, beispielsweise einen lokalen Datei-Server. Ein GUP reduziert den Datenverkehr über die Kommunikationsverbindung vom Management-Server zum Client. Der Server lädt seine Updates nur auf den GUP herunter, der die Updates dann an die anderen Clients in seiner Gruppe weiterleitet. Es empfiehlt sich aus folgenden Gründen, einen GUP zum Verteilen von Content-Updates zu verwenden: Sie haben Standorte mit zu wenig Clients, um die Installation eines separaten Standorts mit seiner eigenen Datenbank und Management-Server zu rechtfertigen. Ihre Netzwerkarchitektur ist so komplex, dass Sie mehr als 20 Standorte benötigen. In dieser Situation können Sie GUP verwenden, um die Anzahl der Standorte zu reduzieren, die Sie für die Verwaltung benötigen. Beachten Sie, dass GUP die folgenden Beschränkungen haben: Im Allgemeinen sollte ein GUP nicht mehr als 100 Clients aktualisieren. Sie können die Leistung jedoch überwachen, um zu sehen, ob Ihre Umgebung dafür ausreicht, dass ein GUP mehr als 100 Clients haben kann. Ein GUP aktualisiert nur Definitionen und Content, er lädt keine Produktaktualisierungen herunter. Ein GUP verfügt über einen Cache mit bis zu 100 Dateien. Alle Dateien, die in den letzten sieben Tagen nicht von Clients angefordert wurden, können bereinigt werden. Der GUP sucht und bereinigt entsprechende Dateien einmal pro Minute. Wenn der GUP-Cache 100 Einträge enthält, lädt der GUP keine weiteren Dateien herunter, bis eine der Dateien bereinigt wird. In diesem Fall stellt ein GUP die Update-Dateien nicht bereit und die Clients müssen den Content direkt vom Management-Server abrufen.

81 Symantec Endpoint Protection-Verwaltung: Server, Standorte und Group Update Provider Hochverfügbarkeit und Failover 81 Informationen über die Verwendung von GUP finden Sie im Administratorhandbuch für Symantec Endpoint Protection und Symantec Network Access Control. Hochverfügbarkeit und Failover Um Hochverfügbarkeit für Symantec Endpoint Protection zu erreichen, müssen die Datenbank und der Management-Server permanent verfügbar sein. Wenn Sie eine externe Datenbank verwenden, ist es empfehlenswert, Hochverfügbarkeits-Cluster für Ihre Datenbank oder Datenbanken zu verwenden. Wenn Sie eine integrierte Datenbank verwenden, gibt es keine Möglichkeit, eine wirkliche Hochverfügbarkeit für die Datenbank zur Verfügung zu stellen. Symantec Endpoint Protection unterstützt jedoch Replizierungskonfiguration für integrierte und für Microsoft SQL Server-Datenbanken. Replizierungskonfigurationen über Standorte hinweg werden zu Redundanzzwecken verwendet. Alle Daten von einer Datenbank werden regelmäßig in einer anderen Datenbank repliziert. Wenn bei einer Datenbank ein Fehler auftritt, können Sie immer noch alle Clients verwalten und steuern, weil die zweite Datenbank dieselben Client-Informationen enthält. Wenn Sie die zu replizierenden Objekte auswählen, können Sie Protokolle und Pakete auswählen. Pakete enthalten die Updates für die Virendefinitionen, Client-Komponenten und Client-Software. Die Größe der Pakete und Updates kann bis zu einigen Gigabyte von Daten betragen, wenn Sie Updates in mehreren Sprachen herunterladen. Ziehen Sie beim Auswählen dieser Optionen die Menge der zu replizierenden Daten sowie den Bandbreitenverbrauch in Betracht. Ein Client-Paket hat in der Regel eine Größe von MB, wenn es komprimiert ist. Um Management-Server-Failover zur Verfügung zu stellen, müssen Sie mindestens zwei Management-Server für jeden Standort konfigurieren und Management-Server-Listen verwenden. Eine Management-Server-Liste ist eine nach Priorität geordnete Liste der Management-Server, die einer Client-Gruppe zugewiesen ist. Sie können mehr als die für die Verwaltung der Clients erforderlichen Management-Server installieren, um Ihre Clients gegen den Ausfall eines einzelnen Management-Servers zu schützen. Sie können auch Failover für Content-Updates in Betracht ziehen, wenn Sie beabsichtigen, lokale Server zu verwenden. Alle Komponenten, die LiveUpdate ausführen, können auch eine nach Priorität geordnete Liste der Update-Quellen verwenden. Ihre Management-Server können einen lokalen LiveUpdate-Server und einen Failover zu den LiveUpdate-Servern an anderen physischen Standorten verwenden.

82 82 Symantec Endpoint Protection-Verwaltung: Server, Standorte und Group Update Provider Lastverteilung und Roaming Hinweis: Die Verwendung interner LiveUpdate-Server, GUP und der Standort-Replizierung stellt nicht wirklich Hochverfügbarkeit, Failover, Disaster Recovery oder Lastverteilungsfunktionen zur Verfügung. Lastverteilung und Roaming Sie sollten zur Symantec Endpoint Protection-Client-Lastverteilung nicht mehrere Standorte einrichten. Es hat sich eher bewährt, einem Standort Management-Server hinzuzufügen und die Management-Server-Listenfunktion zu verwenden, um die Last automatisch zwischen ihnen zu verteilen. In einer benutzerdefinierten Management-Server-Liste wird jeder Server einer Priorität zugewiesen. Ein Client, der in das Netzwerk kommt, wählt per Zufallsprinzip einen Server der Priorität eins aus, um eine Verbindung herzustellen. Wenn der erste Server nicht verfügbar ist, und es in der Liste andere Server der Priorität eins gibt, versucht der Client wieder per Zufallsprinzip, zu einem anderen Server eine Verbindung herzustellen. Wenn kein Server der Priorität eins verfügbar ist, versucht der Client, zu einem der Server Server der Priorität zwei in der Liste eine Verbindung herzustellen. Diese Methode des Verteilens der Client-Verbindungen per Zufallsprinzip führt zu einer Verteilung der Client-Last zwischen den Management-Servern. Die folgenden Optionen sind für Lastverteilung und Roaming verfügbar: Um Lastverteilung und Roaming zur Verfügung zu stellen, aktivieren Sie DNS und geben Sie einen Domänennamen als den einzigen Eintrag in einer benutzerdefinierte Management-Server-Liste ein. Um Lastverteilung und Roaming zur Verfügung zu stellen, aktivieren Sie die Symantec Endpoint Protection-Standorterkennung und verwenden Sie für jeden Standort eine benutzerdefinierte Management-Server-Liste. Erstellen Sie mindestens jeweils einen Standort. Verwenden Sie ein Gerät, das Failover oder Lastverteilung bietet. Viele dieser Geräte bieten auch die Möglichkeit für Roaming.

83 Abschnitt 2 Bewährte Methoden für Gesamtsicherheit Verwalten der proaktiven TruScan-Bedrohungsprüfungen

84 84

85 Kapitel 6 Verwalten der proaktiven TruScan-Bedrohungsprüfungen In diesem Kapitel werden folgende Themen behandelt: Verwalten der proaktiven TruScan-Bedrohungsprüfungen Überwachen der Prüfereignisse Erstellen von Ausnahmen für erkannte Prozesse Anpassen der Prüfungseinstellungen Verwalten der proaktiven TruScan-Bedrohungsprüfungen Sie können die proaktiven TruScan-Bedrohungsprüfungen mittels zweier verschiedener Implementierungsansätze verwalten. Jeder der beiden Ansätze bietet Vorteile bezüglich Ihrer Netzwerkgröße, Sicherheitsfunktionen und der Auslastung Ihrer Support-Mitarbeiter. Die beiden Implementierungsansätze sind folgende: Verwenden der Symantec-Standardeinstellungen. Die Symantec-Standardeinstellungen bieten einen hohen Schutz und erfordern wenig Verwaltung. Verwenden Sie bei der ersten Installation von Symantec Endpoint Protection Manager die Standardeinstellungen. Anpassen der Standardeinstellungen. Verwenden Sie die Symantec-Standardeinstellungen während der ersten zwei bis vier Wochen nach dem Einrichten des Management-Servers. Nach diesem Anfangszeitraum, in dem Sie sich mit der Technologie vertraut gemacht haben, können Sie gegebenenfalls die Einstellungen besser an Ihre Bedürfnisse

86 86 Verwalten der proaktiven TruScan-Bedrohungsprüfungen Verwalten der proaktiven TruScan-Bedrohungsprüfungen Verwalten von Ausnahmen anpassen. Wenn Sie nach diesem Ansatz vorgehen, passen Sie die Erkennungsaktion und Empfindlichkeitsstufe selbst an. Mit beiden Ansätzen müssen Sie möglicherweise die Ereignisse verwalten, anhand derer festgestellt wird, welche der erkannten Prozesse auf den Client-Computern ausgeführt werden sollten. Unabhängig davon, ob Sie die Symantec-Standardeinstellungen verwenden, müssen Sie möglicherweise die Ausnahmen für bösartige und/oder legitime Anwendungen verwalten. Selbst wenn die Prüf-Engine die Standardeinstellungen verwendet, werden legitime Prozesse gelegentlich protokolliert. Sie müssen Ausnahmen für legitime Prozesse erstellen, damit diese bei der Prüfung ignoriert werden. Wenn Sie die Standardeinstellungen anpassen, müssen Sie Ausnahmen erstellen, damit die Prüf-Engine bösartige Anwendungen isoliert oder beendet und legitime Anwendungen ignoriert. Wenn Sie die Symantec-Standardeinstellungen verwenden, gehen Sie wie folgt vor: Überwachen Sie die Prüfereignisse. Verwenden Sie das Protokoll für proaktive TruScan-Bedrohungsprüfungen, um festzulegen, welche Prozesse legitim sind. Siehe "Überwachen der Prüfereignisse" auf Seite 87. Erstellen Sie Ausnahmen für die erkannten legitimen Prozesse in einer Richtlinie für zentrale Ausnahmen. Nachdem Sie die legitimen Prozesse festgelegt haben, fügen Sie sie einer Richtlinie für zentrale Ausnahmen hinzu, und ändern Sie die Erkennungsaktion in "Ignorieren". Beim nächsten Ausführen der Prüf-Engine werden diese Prozesse ignoriert. Siehe "Erstellen von Ausnahmen für erkannte Prozesse" auf Seite 89. Wenn Sie nicht die Symantec-Standardeinstellungen verwenden, gehen Sie wie folgt vor: Passen Sie die Aktion und die Empfindlichkeitsstufe für Trojaner, Würmer und Programme zum Aufzeichnen von Tastatureingaben an. Siehe "Anpassen der Prüfungseinstellungen" auf Seite 91. Überwachen Sie die Prüfereignisse. Legen Sie im Protokoll für proaktive TruScan-Bedrohungsprüfungen fest, welche Prozesse legitim sind und welche erkannten Prozesse ein Sicherheitsrisiko darstellen. Nachdem eine Prüfungseinstellung geändert wurde, müssen Sie das Protokoll für proaktive TruScan-Bedrohungsprüfungen

87 Verwalten der proaktiven TruScan-Bedrohungsprüfungen Überwachen der Prüfereignisse 87 anzeigen. Im Protokoll können Sie sehen, wie sich die Änderung auf die Anzahl der legitimen Prozesse und Sicherheitsrisiken ausgewirkt hat. Siehe "Überwachen der Prüfereignisse" auf Seite 87. Erstellen Sie Ausnahmen für die erkannten legitimen Prozesse und Sicherheitsrisiken in einer Richtlinie für zentrale Ausnahmen. Nachdem Sie die legitimen Prozesse und die Sicherheitsrisiken identifiziert haben, fügen Sie sie einer Richtlinie für zentrale Ausnahmen hinzu. Nachdem Sie eine Richtlinie für zentrale Ausnahmen mit einer Liste der legitimen Prozesse erstellt haben, verringert sich die Rate, mit der die Prüf-Engine legitime Prozesse als mögliche Risiken protokolliert. Siehe "Erstellen von Ausnahmen für erkannte Prozesse" auf Seite 89. Überwachen der Prüfereignisse Der Client sammelt die Erkennungsergebnisse der Prüfung und lädt sie auf den Management-Server hoch. Die Ergebnisse sind im Protokoll der proaktiven TruScan-Bedrohungsprüfung gespeichert. Prüfen Sie zum Feststellen, welche Prozesse legitim sind und welche Sicherheitsrisiken darstellen, folgende Spalten im Protokoll: Ereignis Der Ereignistyp und die Aktion, die der Client auf den Prozess hin durchgeführt hat, wie etwa Bereinigung oder Protokollierung. Suchen Sie nach den folgenden Ereignistypen: Ein möglicher legitimer Prozess wird als Ereignis des Typs "Potenzielles Risiko erkannt" aufgelistet. Ein wahrscheinliches Sicherheitsrisiko wird als Ereignis des Typs "Sicherheitsrisiko gefunden" aufgelistet. Anwendung Anwendungstyp Datei/Pfad Der Name des Prozesses. Der Typ der Malware, wie Trojaner, Wurm, Programme zum Aufzeichnen von Tastatureingaben oder kommerzielle Anwendung. Der Pfadname, von dem aus der Prozess gestartet wurde. Die "Ereignis"-Spalte zeigt Ihnen sofort, ob ein erkannter Prozess ein Sicherheitsrisiko oder ein möglicherweise legitimer Prozess ist. Jedoch kann ein festgestelltes mögliches Risiko ein legitimer Prozess sein (oder auch nicht), und ein gefundenes Sicherheitsrisiko kann möglicherweise ein bösartiger Prozess sein. Deshalb müssen Sie die Spalten "Anwendungstyp" und "Datei/Pfad" prüfen, um weitere Informationen zu erhalten. Beispielsweise können Sie den Anwendungsnamen einer legitimen Anwendung erkennen, die ein Nicht-Symantec-Unternehmen entwickelt hat.

88 88 Verwalten der proaktiven TruScan-Bedrohungsprüfungen Überwachen der Prüfereignisse Siehe "Erstellen von Ausnahmen für erkannte Prozesse" auf Seite 89. So überwachen Sie die Prüfungsereignisse 1 Klicken Sie in der Konsole auf "Überwachung" > "Protokolle". 2 Klicken Sie auf der Registerkarte "Protokolle" in der Dropdown-Liste "Protokolltyp" auf "Proaktive TruScan-Bedrohungsprüfung". 3 Wählen Sie im Listenfeld "Zeitbereich" eine Zeit, die möglichst nahe am Zeitpunkt Ihrer letzten Änderung an den Prüfungseinstellungen liegt. 4 Klicken Sie auf "Erweiterte Einstellungen". 5 Wählen Sie in der Dropdown-Liste "Ereignistyp" eines der folgenden Protokoll-Ereignisse aus: Um alle erkannten Prozesse anzuzeigen, stellen Sie sicher, dass die Option "Alle" ausgewählt ist. Um die Prozesse anzuzeigen, die als Sicherheitsrisiken eingestuft wurden, klicken Sie auf "Sicherheitsrisiko gefunden". Um die Prozesse anzuzeigen, die als mögliche Risiken ausgewertet und protokolliert wurden, klicken Sie auf "Potenzielles Risiko erkannt". 6 Klicken Sie auf "Protokoll anzeigen".

89 Verwalten der proaktiven TruScan-Bedrohungsprüfungen Erstellen von Ausnahmen für erkannte Prozesse 89 7 Nachdem Sie die legitimen Anwendungen und die Sicherheitsrisiken identifiziert haben, erstellen Sie dafür in einer Richtlinie für zentrale Ausnahmen eine Ausnahme. Sie können die Ausnahme direkt im Teilfenster "Protokolle für proaktive TruScan-Bedrohungsprüfungen" erstellen. Erstellen von Ausnahmen für erkannte Prozesse Die Ausnahmen für proaktive TruScan-Bedrohungsprüfungen bewirken eine andere Reaktion als die, die eine Prüfung normalerweise aufweist, wenn sie einen Prozess erkennt. Wenn eine Prüfung einen Prozess erkennt, der einer Ausnahme entspricht, führt die Engine die durch die Ausnahme definierte Aktion durch. Beispiel: Wenn die Prüfung eine legitime Anwendung mit dem Namen validprocess.exe protokolliert, können Sie eine Ausnahme erstellen, damit die Prüfung validprocess.exe ignoriert. Wenn Sie Ausnahmen für die erkannten Prozesse hinzufügen, werden die Ausnahmen der Richtlinie für zentrale Ausnahmen für eine bestimmte Gruppe oder eine Position innerhalb einer Gruppe hinzugefügt. Sie können zunächst eine Gruppe erstellen, die eine bestimmte Richtlinie für zentrale Ausnahmen verwendet. Beispiel: Sie können für Client-Computer in Gruppe A zum Ausführen einer Benutzeranwendung, die die Prüfung anderenfalls isolieren (d.h. unter Quarantäne stellen) würde, eine Ausnahme erstellen, aufgrund derer die Anwendung von der Prüfung ignoriert wird. Sie können dann die Richtlinie für zentrale Ausnahmen mit dieser Ausnahme der Gruppe A zuweisen. Jedes Mal, wenn Benutzer der Gruppe A diese Anwendung ausführen, ignoriert die Prüf-Engine die Anwendung. Wenn Sie nicht die Standardeinstellungen verwenden, können Sie die Aktion für Trojaner, Würmer und Programme zum Aufzeichnen von Tastatureingaben in der Virenschutz- und Antispyware-Richtlinie festlegen. Dann können Sie anhand der folgenden Richtlinien Ausnahmen erstellen: Für die Sicherheitsrisiken ändern Sie die Aktion zu "Isolieren" oder "Beenden". Sie möchten unter Umständen auch einen Prozess isolieren, der möglicherweise nicht bösartig ist, aber den die Benutzer nicht ausführen sollen. Ändern Sie für die legitimen Prozesse die Aktion zu "Ignorieren". Es ist auch möglich, dass Sie ein bestimmtes kommerzielles Programm zum Aufzeichnen von Tastatureingaben zulassen möchten. Erstellen Sie für die unbekannten Risiken keine Ausnahme, da Sie ja möchten, dass die Prüf-Engine dieses Ereignis weiterhin protokolliert. Wenn Sie nicht feststellen können, ob ein unbekanntes Risiko als bösartig oder legitim einzustufen ist, können Sie den Prozess weiter protokollieren und beobachten. Sie können nachvollziehen, wie häufig der Client diesen Prozess erkennt. Wenn

90 90 Verwalten der proaktiven TruScan-Bedrohungsprüfungen Erstellen von Ausnahmen für erkannte Prozesse Sie schließlich erkennen, dass der Prozess legitim ist, können Sie eine Ausnahme erstellen und die Aktion in "Ignorieren" ändern. Hinweis: Sie können Ausnahmen nur für die Prozesse erstellen, die nicht in der von Symantec definierten Liste der bekannten Prozesse und Anwendungen enthalten sind. Weitere Informationen darüber, wie Prozesse der Richtlinie für zentrale Ausnahmen hinzugefügt werden, finden Sie im Administratorhandbuch für Symantec Endpoint Protection und Symantec Network Access Control. So erstellen Sie Ausnahmen für erkannte Prozesse 1 Wählen Sie im Teilfenster "Protokolle für proaktive TruScan-Bedrohungsprüfung" eines oder mehrere Ereignisse aus, für die Sie eine zentrale Ausnahme erstellen möchten. Siehe "Überwachen der Prüfereignisse" auf Seite Stellen Sie in der Dropdown-Liste "Aktion" sicher, dass "Prozess zur Richtlinie für zentrale Ausnahmen hinzufügen" ausgewählt ist. 3 Klicken Sie auf "Starten". 4 Wählen Sie im Dialogfeld "Zentrale Ausnahme für Prozess hinzufügen" in der Dropdown-Liste "Antwort" eine der folgenden Aktionen für den Prozess aus. Klicken Sie für einen legitimen Prozess auf "Ignorieren". Wählen Sie für ein Sicherheitsrisiko entweder "Isolieren" oder "Beenden" aus.

91 Verwalten der proaktiven TruScan-Bedrohungsprüfungen Anpassen der Prüfungseinstellungen 91 5 Wählen Sie die Richtlinien für zentrale Ausnahmen aus, die diese Ausnahme enthalten. 6 Klicken Sie auf "OK". Anpassen der Prüfungseinstellungen Wenn Sie für die Verwaltung von Erkennungen die Symantec-Standardeinstellungen verwenden, bestimmt die Client-Software die Aktion und die Empfindlichkeitsstufe. Die Prüf-Engine, die automatisch auf dem Client-Computer ausgeführt wird, isoliert die Sicherheitsrisiken und protokolliert mögliche und unbekannte Risiken. Wenn Sie nicht die Symantec-Standardeinstellungen verwenden, können Sie nur eine einzelne Reaktionsaktion für Erkennungen festlegen, unabhängig davon, ob es sich um Risiken handelt. Beispielsweise kann eine Prüfung alle erkannten Prozesse isolieren oder protokollieren, aber nicht beides gleichzeitig. Sie passen die Prüfungseinstellungen in der Virenschutz- und Antispyware-Richtlinie an. Tabelle 6-1 beschreibt die Richtlinien, die Sie verwenden, um die Erkennungsaktion, die Empfindlichkeit und optional das Prüfungsintervall anzupassen.

92 92 Verwalten der proaktiven TruScan-Bedrohungsprüfungen Anpassen der Prüfungseinstellungen Tabelle 6-1 Einstellung Aktion Prüfungseinstellungen Beschreibung Es wird empfohlen, die Aktion "Protokoll" zu verwenden, wenn Sie mit der Verwaltung der Prüfungen beginnen. Dies bedeutet, dass weder die Sicherheitsrisiken noch die legitimen Prozesse die tatsächlich gewünschte Aktion verwenden. Sie möchten, dass die Prüfungen Sicherheitsrisiken isolieren oder beenden und die legitimen Prozesse ignorieren. Folglich müssen Sie Ausnahmen für alle diese Erkennungen erstellen. Die Ausnahmen definieren den Prozess und die Aktion, die durchgeführt werden, wenn eine Prüfung einen festgelegten Prozess erkennt. Siehe "Erstellen von Ausnahmen für erkannte Prozesse" auf Seite 89. Hinweis: Bei der Ersteinrichtung von Symantec Endpoint Protection Manager verwenden die kommerziellen Anwendungen die Reaktionsaktion "Protokoll". Bei dieser Aktion werden möglicherweise viele Erkennungen von kommerziellen Anwendungen im Protokoll für proaktive TruScan-Bedrohungsprüfungen aufgeführt, was für Benutzer unübersichtlich sein kann. Folglich empfiehlt es sich, die Funktion "Bei Erkennung Benachrichtigung anzeigen" auf der Registerkarte "Benachrichtigungen" zu deaktivieren. Siehe "Überwachen der Prüfereignisse" auf Seite 87.

93 Verwalten der proaktiven TruScan-Bedrohungsprüfungen Anpassen der Prüfungseinstellungen 93 Einstellung Beschreibung Empfindlichkeit

94 94 Verwalten der proaktiven TruScan-Bedrohungsprüfungen Anpassen der Prüfungseinstellungen Einstellung Beschreibung Wenn Sie die Empfindlichkeitsstufe für Trojaner und Würmer zum ersten Mal anpassen, setzen Sie die Empfindlichkeitsstufe auf 10. Wenn die Empfindlichkeitsstufe niedrig ist, erkennen die Prüfungen weniger Prozesse als bei einer höheren Empfindlichkeitsstufe. Die Rate der legitimen Prozesse, die als mögliche Risiken protokolliert werden, ist niedrig. Nachdem Sie einige Tage die Empfindlichkeitsstufe 10 verwendet und das Protokoll auf legitime Anwendungen geprüft haben, können Sie die Empfindlichkeitsstufe auf 20 erhöhen. Über einen Zeitraum von 60 bis 90 Tagen können Sie die Empfindlichkeitsstufe stufenweise in Zehnerschritten auf 100 erhöhen. Belassen Sie die Empfindlichkeitsstufe für maximalen Schutz bei 100. Bei diesem stufenweisen Ansatz werden die Benutzer der Client-Computer nicht mit Erkennungsbenachrichtigungen überwältigt, sobald Sie den Client implementieren. Stattdessen können Sie Zeit zuordnen, um die Zunahme der Zahl der Benachrichtigungen in jeder Stufe zu überwachen. Sie können die Erkennungsbenachrichtigungen auch deaktivieren. Setzen Sie die Empfindlichkeitsstufe für Programme zum Aufzeichnen von Tastaturanschlägen anfangs auf "Niedrig". Wenn Sie die Empfindlichkeitsstufe erhöhen, werden mehr Prozesse erkannt, sowohl bösartige als auch legitime. Die Empfindlichkeitsstufe wirkt sich nicht merkbar auf die Rate der protokollierten legitimen Prozesse aus. Eine höhere Empfindlichkeitsstufe bedeutet, dass eine Prüfung mehr Prozesse kennzeichnet, die Sicherheitsrisiken sowie legitime Prozesse sind. Das Verhältnis von legitimen zu bösartigen Prozessen bleibt jedoch trotz der Empfindlichkeitsstufe fast gleich. Außerdem gibt die Empfindlichkeitsstufe nicht die Stufe der Erkennungssicherheit an. Beispielsweise kann eine Prüfung einen Prozess bei Empfindlichkeitsstufe 10 erkennen und einen anderen Prozess bei Empfindlichkeitsstufe 90. Die Empfindlichkeitsstufe bedeutet nicht, dass ein Prozess eine größere Bedrohung als der andere ist. Nachdem Sie die Empfindlichkeitsstufe der Prüfungen geändert haben, bestimmen Sie mithilfe des Protokolls für proaktive TruScan-Bedrohungsprüfungen, ob die Empfindlichkeitsstufe zu niedrig oder zu hoch ist. Wenn der Client zu viele legitime Prozesse als Sicherheitsrisiken erkennt, empfiehlt es sich, die Empfindlichkeitsstufe niedriger einzustellen, bis Sie Zeit haben, zentrale Ausnahmen für die legitimen Prozesse zu erstellen. Siehe "Überwachen der Prüfereignisse" auf Seite 87. Nachdem Sie die richtige Empfindlichkeitsstufe eingestellt haben, suchen Sie die legitimen Prozesse und fügen Sie sie einer Richtlinie

95 Verwalten der proaktiven TruScan-Bedrohungsprüfungen Anpassen der Prüfungseinstellungen 95 Einstellung Beschreibung für zentrale Ausnahmen hinzu. Erhöhen Sie anschließend die Empfindlichkeit. Siehe "Erstellen von Ausnahmen für erkannte Prozesse" auf Seite 89. Hinweis: Nachdem Sie alle Ausnahmen zur Richtlinie für zentrale Ausnahmen hinzugefügt haben, ist es wahrscheinlich, dass alle neuen Erkennungen Sicherheitsrisiken sind. Für eine höhere Sicherheit können Sie die Reaktionsaktion für alle Prozesse entweder auf "Isolieren" oder "Beenden" zurücksetzen. Überwachen Sie weiterhin das Protokoll für proaktive TruScan-Bedrohungsprüfungen, für den Fall, dass die Prüfung neue legitime Anwendungen erkennt und isoliert. Prüfungsintervall Das Standardintervall für Prüfungen ist eine Stunde. Wenn die Leistung der Client-Computer zu sehr abnimmt, verringern Sie die Prüfungsfrequenz. So passen Sie Prüfungseinstellungen an 1 Klicken Sie in der Konsole auf "Richtlinien" > "Virenschutz und Antispyware", und öffnen Sie anschließend eine vorhandene Virenschutz- und Antispyware-Richtlinie. 2 Klicken Sie auf der Seite "Virenschutz- und Antispyware-Richtlinie" auf "Proaktive TruScan-Bedrohungsprüfungen".