Endpoint Compliance Implementierungshandbuch

Transkript

1 Endpoint Compliance Implementierungshandbuch

2 Endpoint Compliance Implementierungshandbuch Die im vorliegenden Handbuch beschriebene Software wird im Rahmen einer Lizenzvereinbarung zur Verfügung gestellt und darf nur im Einklang mit den Bestimmungen dieser Vereinbarung verwendet werden. Dokumentationsversion 10.1 Rechtlicher Hinweis Copyright 2006 Symantec Corporation. Alle Rechte vorbehalten. Erwerb durch Bundesbehörden: Kommerzielle Software - die Benutzung durch Mitarbeiter der US-Regierung unterliegt den allgemeinen Lizenzbestimmungen und -bedingungen. Symantec, das Symantec-Logo, Symantec AntiVirus, Symantec System Center und LiveUpdate sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer Tochterfirmen in den USA oder anderen Ländern. Andere Namen können Marken ihrer jeweiligen Inhaber sein. Das in diesem Dokument beschriebene Produkt wird lizenziert vertrieben. Die Lizenzen beschränken die Verwendung, Vervielfältigung, Verteilung und Dekompilierung bzw. Rückentwicklung des Produkts. Kein Teil dieses Dokuments darf ohne vorherige schriftliche Zustimmung von Symantec Corporation und ihrer Lizenzgeber, sofern vorhanden, in irgendeiner Form reproduziert werden. DIE DOKUMENTATION WIRD OHNE MÄNGELGEWÄHR BEREITGESTELLT. ALLE AUSDRÜCKLICHEN UND STILLSCHWEIGENDEN VORAUSSETZUNGEN, DARSTELLUNGEN UND GEWÄHRLEISTUNGEN, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER NICHT-BEEINTRÄCHTIGUNG, SIND AUSGESCHLOSSEN, AUSSER IN DEM UMFANG, IN DEM SOLCHE HAFTUNGSAUSSCHLÜSSE ALS NICHT RECHTSGÜLTIG ANGESEHEN WERDEN. SYMANTEC CORPORATION IST NICHT FÜR BEILÄUFIG ENTSTANDENE SCHÄDEN ODER FÜR FOLGESCHÄDEN VERANTWORTLICH, DIE IN VERBINDUNG MIT DER ERWORBENEN LEISTUNG ODER DER VERWENDUNG DIESER DOKUMENTATION STEHEN. DIE IN DIESER DOKUMENTATION ENTHALTENEN INFORMATIONEN KÖNNEN JEDERZEIT OHNE ANKÜNDIGUNG GEÄNDERT WERDEN. Symantec Corporation Stevens Creek Blvd. Cupertino, CA USA

3 Lösungen für Service und Unterstützung Registrierung und Lizenzierung Sicherheits-Updates Symantec bemüht sich weltweit um ausgezeichnete Serviceleistungen. Unser Ziel ist, Ihnen professionelle Hilfestellung bei der Anwendung unserer Software zu leisten und professionelle Dienste anzubieten ganz gleich, in welchem Land. Die Angebote für Service und Unterstützung sind von Land zu Land unterschiedlich. Wenn Sie Fragen zu den unten beschriebenen Dienstleistungen haben, lesen Sie bitte den Abschnitt "Alle Kontaktinformationen auf einen Blick". Falls für das von Ihnen installierte Produkt eine Registrierung und/oder ein Lizenzschlüssel erforderlich sind, bietet unsere Lizenz- und Registrierungssite unter (auf Englisch) eine schnelle und einfache Methode zur Registrierung Ihres Dienstes. Sie können aber auch auf der Site das Produkt auswählen, das Sie registrieren möchten, und auf der Produkt-Homepage den Link "Lizenzierung und Registrierung" wählen. Wenn Sie ein Unterstützungsabonnement erworben haben, können Sie technische Unterstützung über Telefon und Internet in Anspruch nehmen. Halten Sie bei der ersten Kontaktaufnahme entweder die Lizenznummer aus Ihrem Lizenzzertifikat oder die bei der Unterstützungsregistrierung erzeugte Kontakt-ID bereit, so dass ein Mitarbeiter der technischen Unterstützung ihre Berechtigung überprüfen kann. Wenn Sie kein Unterstützungsabonnement erworben haben, erfahren Sie Einzelheiten zum Erwerb technischer Unterstützung über Ihren Händler oder den Symantec-Kundenservice. Aktuelle Informationen zu Viren und Sicherheitsbedrohungen finden Sie auf der Symantec Security Response-Website (vormals Antivirus Research Centre) unter folgender Adresse: Diese Site enthält umfassende Online-Informationen zu Sicherheits- und Virenbedrohungen sowie die neuesten Virendefinitionen. Virendefinitionen können außerdem mithilfe der LiveUpdate-Funktion Ihres jeweiligen Produkts heruntergeladen werden. Erneuern des Abonnements für Virendefinitions-Updates Wenn Sie zusammen mit Ihrem Produkt einen Wartungsvertrag erwerben, sind Sie ein Jahr lang zum Bezug kostenloser Virendefinitionen über das Internet

4 Symantec-Websites: berechtigt. Nach Ablauf Ihres Wartungsvertrags erhalten Sie Informationen zur Erneuerung des Vertrags über Ihren Händler oder den Symantec-Kundenservice. Symantec-Homepage (nach Sprache): Deutsch: Englisch: Französisch: Italienisch: Niederländisch: Portugiesisch: Spanisch: Symantec Security Response: Service und Unterstützung für Symantec Enterprise: Produktspezifisches Newsbulletin: USA, Asien - Pazifik/Englisch: Europa, Nahost und Afrika/Englisch: Deutsch: Französisch: Italienisch:

5 Lateinamerika/Englisch: Technische Unterstützung Als Teil von Symantec Security Response verfügt unser globales Team für die technische Unterstützung weltweit über Support-Zentren. Vorrangige Aufgabe ist die Beantwortung von Fragen zu Produktfunktionen, zur Installation und zur Konfiguration sowie die Bereitstellung von aktuellen Informationen in unserer webbasierten Unterstützungsdatenbank. Dabei arbeiten wir eng mit anderen Unternehmensbereichen von Symantec zusammen, um Ihre Fragen schnellstmöglich zu beantworten. In enger Kooperation mit den Product Engineering- und Security Research Center-Experten bieten wir Ihnen umfassende Warndienste und Virendefinitions-Updates für Virenausbrüche und Sicherheitswarnungen. Unser Angebot umfasst u. a.: Zahlreiche Unterstützungsoptionen, mit denen Sie den Umfang des für Ihre Unternehmensgröße benötigten Supports flexibel wählen können. Telefon- und Internetunterstützung, über die Sie schnelle Hilfe und aktuelle Informationen erhalten. Produkt-Updates gewährleisten automatischen Schutz durch Software-Upgrades. Inhalts-Updates für Virendefinitionen und Sicherheits-Signaturen sorgen für optimalen Schutz. Der globale Support durch die Experten von Symantec Security Response steht Ihnen weltweit rund um die Uhr (24x7) in zahlreichen Sprachen zur Verfügung. Erweiterte Funktionen wie beispielsweise der Symantec Alerting Service und der persönliche Technical Account Manager gewährleisten verbesserte Reaktionszeiten und proaktiven Sicherheits-Support. Aktuelle Informationen über unsere Unterstützungsprogramme finden Sie auf unserer Website. Kontakt Kunden mit einem gültigen Unterstützungsvertrag können sich telefonisch oder über das Internet an die technische Unterstützung wenden, entweder unter der nachstehenden URL oder über die weiter hinten in diesem Dokument aufgeführten regionalen Unterstützungssites. Halten Sie dabei die folgenden Informationen bereit: Nummer des Produkt-Release

6 Hardware-Informationen Verfügbarer Arbeitsspeicher, freier Festplattenspeicher, installierte Netzwerkkarte Betriebssystem Versions- und Patch-Nummer Netzwerktopologie Router, Gateway und IP-Adressinformationen Beschreibung des Problems Fehlermeldungen/Protokolldateien Die vor der Kontaktaufnahme mit Symantec durchgeführten Schritte zur Problemlösung Kürzlich durchgeführte Änderungen der Software- und/oder Netzwerkkonfiguration Kundenservice Das Symantec-Kundenservice-Center hilft Ihnen bei nicht-technischen Anfragen, beispielsweise: Allgemeine Produktinformationen (z. B. Leistungsmerkmale, Preise, Sprachverfügbarkeit, Händler in Ihrer Nähe usw.) Hilfe bei einfachen Problemen, z. B. wie Sie Ihre Versionsnummer überprüfen können Neueste Informationen zu Produkt-Updates und -Upgrades Wie Sie Ihr Produkt aktualisieren oder eine neue Version (Upgrade) installieren können Wie Sie Ihr Produkt und/oder Lizenzen registrieren können Informationen zu den Lizenzprogrammen von Symantec Informationen zu Upgrade-Versicherung und Wartungsverträgen Ersatz fehlender CDs und Handbücher Aktualisierung Ihrer Registrierungsdaten bei Adress- und Namensänderungen Beratung zu den Optionen der technischen Unterstützung von Symantec Ausführliche Kundenservice-Informationen erhalten Sie auf der Symantec-Website für Service und Unterstützung oder durch einen Anruf beim Kundenservice-Center von Symantec. Die Webadressen und die Nummer Ihres lokalen

7 Kundenservice-Centers finden Sie unter "Alle Kontaktinformationen auf einen Blick". Alle Kontaktinformationen auf einen Blick Europa, Naher Osten und Lateinamerika Symantec-Websites für Service und Unterstützung Deutsch: Englisch: Französisch: Italienisch: Niederländisch: Portugiesisch: Spanisch: Symantec FTP: ftp.symantec.com (Herunterladen von technischen Hinweisen und neuesten Patches) Besuchen Sie "Symantec Service und Unterstützung" im Internet. Dort finden Sie technische und allgemeine Informationen zu Ihrem Produkt. Symantec Security Response: Produktspezifisches Newsbulletin: USA/Englisch: Europa, Nahost und Afrika/Englisch: Deutsch: Französisch:

8 Italienisch: Lateinamerika/Englisch: Symantec-Kundenservice Bietet allgemeine Produktinformationen und Beratung per Telefon in den folgenden Sprachen: Englisch, Deutsch, Französisch und Italienisch. Belgien: + (32) Dänemark: + (45) Deutschland: + (49) Finnland: + (358) Frankreich: + (33) Großbritannien: + (44) Irland: + (353) Italien: + (39) Luxemburg: + (352) Niederlande: + (31) Norwegen: + (47) Österreich: + (43) Schweden: + (46) Schweiz: + (41)

9 Spanien: + (34) Südafrika: + (27) Andere Länder: + (353) (Nur in englischer Sprache) Symantec-Kundenservice - Korrespondenzadresse Symantec Ltd Customer Service Centre Europe, Middle East and Africa (EMEA) PO Box 5689 Dublin 15 Irland Für Lateinamerika Symantec bietet weltweit technische Unterstützung und Kundenservice. Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen internationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhanden ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-Geschäftsstelle für Service und Unterstützung in Ihrer Region. ARGENTINIEN Pte. Roque Saenz Peña Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentinien Hauptrufnummer: +54 (11) WebSite: Gold Support: VENEZUELA Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanización el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela Hauptrufnummer: +58 (212) Website: Gold Support:

10 COLUMBIEN Carrera 18# 86A-14 Oficina 407, Bogota D.C. Columbien Hauptrufnummer: +57 (1) Website: Gold Support: BRASILIEN Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, andar São Paulo - SP CEP: Brasilien, SA Hauptrufnummer: +55 (11) Fax: +55 (11) Website: Gold Support: CHILE Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Hauptrufnummer: +56 (2) Website: Gold Support: MEXIKO Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mexiko Hauptrufnummer: +52 (55) Website: Gold Support:

11 ÜBRIGES LATEINAMERIKA 9155 South Dadeland Blvd. Suite 1100, Miami, FL U.S.A Website: Gold Support: Costa Rica: Panama: Puerto Rico: Für Asien-Pazifik Symantec bietet weltweit technische Unterstützung und Kundenservice. Die Dienstleistungen sind von Land zu Land unterschiedlich und umfassen internationale Partner in Regionen, in denen keine Symantec-Geschäftsstelle vorhanden ist. Bitte wenden Sie sich für allgemeine Informationen an die Symantec-Geschäftsstelle für Service und Unterstützung in Ihrer Region. Geschäftsstellen für Service und Unterstützung AUSTRALIEN Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australien Hauptrufnummer: Fax: Website: Gold Support: gold.au@symantec.com Support Contracts Admin: contractsadmin@symantec.com CHINA Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing China P.R.C. Hauptrufnummer: Technische Unterstützung:

12 Fax: Website: HONGKONG Symantec Hong Kong Central Plaza Suite # th Floor, 18 Harbour Road Wanchai HongKong Hauptrufnummer: Technische Unterstützung: Fax: Website: INDIEN Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai , Indien Hauptrufnummer: Technische Unterstützung: Fax: Website: KOREA Symantec Korea 15,16th Floor Dukmyung B/D Samsung-Dong KangNam-Gu Seoul Südkorea Hauptrufnummer: Technische Unterstützung: Fax: Website:

13 MALAYSIA Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A Petaling Jaya Selangor Darul Ehsan Malaysia Hauptrufnummer: Technische Unterstützung: Enterprise Enterprise gebührenfrei: Website: NEUSEELAND Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Neuseeland Hauptrufnummer: Fax: Website für Unterstützung: Gold Support: gold.nz@symantec.com Support Contracts Admin: contractsadmin@symantec.com SINGAPUR Symantec Singapore 6 Battery Road #22-01/02/03 Singapur Hauptrufnummer: Fax: Technische Unterstützung: Website:

14 TAIWAN Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taiwan Hauptrufnummer: Corporate Support: Fax: Gold Support: gold.nz@symantec.com Website: Wir haben uns um größtmögliche Genauigkeit der Informationen in diesem Dokument bemüht. Die Informationen unterliegen jedoch gelegentlichen Änderungen. Symantec Corporation behält sich das Recht vor, solche Änderungen ohne vorherige Ankündigung vorzunehmen.

15 Inhalt Lösungen für Service und Unterstützung Kapitel 1 Kapitel 2 Kapitel 3 Kapitel 4 Überblick über Symantec Endpoint Compliance Allgemeines zu Symantec Endpoint Compliance Funktionsweise von Symantec Endpoint Compliance Produktanforderungen Wissenswertes über Sicherheitsrichtlinien Allgemeines zu Sicherheitsrichtlinien Befehle für Compliance-Richtlinien Symantec Endpoint Compliance verwalten Allgemeines zum Symantec Endpoint Compliance-Snap-In Compliance-Richtlinien mit dem Symantec System Center konfigurieren Endpunkt-Richtlinieneinhaltung im Symantec System Center anzeigen Endpoint Compliance-Ereignisse weiterleiten Endpoint Compliance-Ereignisse anzeigen Symantec Endpoint Compliance installieren Vorbereitung der Installation von Symantec Endpoint Compliance Symantec VPN Sentry installieren Symantec VPN Sentry mithilfe von LiveUpdate CCPA verteilen Symantec VPN Sentry mithilfe von Microsoft Active Directory und Tivoli verteilen Symantec VPN Sentry mithilfe von Microsoft SMS-Paketdefinitionsdateien verteilen Symantec VPN Sentry auf einem einzelnen Computer installieren Symantec VPN Sentry migrieren Symantec VPN Sentry deinstallieren... 48

16 16 Inhalt Symantec Endpoint Compliance-Snap-In installieren Kapitel 5 Kapitel 6 Symantec VPN Sentry zusammen mit Check Point verwenden Allgemeines zu Symantec VPN Sentry für Check Point Benötigte Check Point-Komponenten Funktionsweise von Symantec VPN Sentry für Check Point Erforderliche Aufgaben zur Installationsvorbereitung für Check Point SVC-Richtlinie definieren SCV-Richtlinienkonfiguration Beispiel für eine SCV-Richtlinie SCV-Richtlinie auf den Check Point Policy Server kopieren Check Point SecureClient deaktivieren Symantec Posture Plug-in für Cisco Network Admission Control (NAC) 2.1 verwenden Allgemeines zum Symantec Posture Plug-in für Cisco Network Admission Control (NAC) Erforderlich Cisco Systems-Komponenten Funktionsweise von Symantec Posture Plug-in Erforderliche Aufgaben zur Installationsvorbereitung für Cisco NAC Sicherheitsattributrichtlinien vom Cisco Secure ACS-Server aus konfigurieren Allgemeines zu Cisco NAC-Clients und Fehlerbehebung Richtlinien zur Validierung von Identifikationsdaten im Cisco Secure ACS-Server konfigurieren Kapitel 7 Symantec VPN Sentry für Nortel Networks 2.0 verwenden Allgemeines zu Symantec VPN Sentry für Nortel Networks Erforderlich Nortel Networks-Komponenten Funktionsweise von Symantec VPN Sentry Erforderliche Aufgaben zur Installationsvorbereitung für Nortel Contivity Richtlinienbefehle zur Nortel-Sicherheitsrichtlinie hinzufügen Beispiel für den Inhalt der Datei "Nortel.xml" Wo die Sicherheitsrichtlinie gespeichert wird SymSentryconfig.xml ändern... 72

17 Inhalt 17 Symantec VPN Sentry für Nortel Networks verteilen und installieren Index

18 18 Inhalt

19 Kapitel 1 Überblick über Symantec Endpoint Compliance In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu Symantec Endpoint Compliance Funktionsweise von Symantec Endpoint Compliance Produktanforderungen Allgemeines zu Symantec Endpoint Compliance Symantec Endpoint Compliance reduziert Ihre Gefährdung, indem es Benutzern mit nicht gesicherten Computern die Verbindung mit dem Unternehmensnetzwerk verweigert. Symantec Endpoint Compliance stellt sicher, dass Computer, die Zugang zu Ihrem Unternehmensnetzwerk erhalten sollen, die in Ihrer Sicherheitsrichtlinie definierten Anforderungen an installierter Software in Bezug auf Symantec AntiVirus, Symantec Client Firewall sowie Betriebssystem und Service Packs erfüllen. Hinweis: Richtlinieneinhaltungsprüfungen für Symantec Client Firewall sind nur für Computer möglich, auf denen Symantec Client Security 3.1 installiert ist. In Tabelle 1-1 werden die Komponenten von Symantec Endpoint Compliance beschrieben.

20 20 Überblick über Symantec Endpoint Compliance Funktionsweise von Symantec Endpoint Compliance Tabelle 1-1 Komponente Komponenten von Symantec Endpoint Compliance Beschreibung Symantec VPN Sentry-Adapter VPNSentry.exe Symantec Endpoint Compliance-Snap-In Liest Richtlinienbefehle, übergibt die Befehle an VPNSentry.exe und sendet den Status an den entsprechenden Netzwerkzugangs-Provider. Ermittelt den anhand der erhaltenen Befehlen den Endpunkt-Richtlinieneinhaltungsstatus und gibt den Status an den Symantec VPN Sentry-Adapter zurück. Ermöglicht die zentrale Verwaltung und Konfiguration von Symantec Endpoint Compliance vom Symantec System Center aus. Funktionsweise von Symantec Endpoint Compliance Symantec Endpoint Compliance stellt Netzwerkzugangs-Providern Statusinformationen zu Symantec AntiVirus, Symantec Client Firewall und zum Betriebssystem zur Verfügung. Mithilfe dieser Informationen legt der Netzwerkzugangs-Provider fest, ob einem Computer der Zugriff auf Ihr Netzwerk gewährt oder verweigert wird. Wenn einem Computer der Zugriff auf das Netzwerk verweigert wird, muss er an die definierten Sicherheitsrichtlinien angepasst werden. Sie müssen sicherstellen, dass die festgelegten Systemvoraussetzungen und Einstellungen erfüllt werden und die erforderliche Symantec-Software installiert ist. Sobald der Computer die Sicherheitsrichtlinien erfüllt, gibt Symantec Endpoint Compliance diese Informationen an den Netzwerkzugangs-Provider weiter, der anschließend den Zugriff auf das Netzwerk gewährt. Einige Kompatibilitätsprobleme können automatisch behoben werden (z. B. indem Symantec Endpoint Compliance Auto-Protect auf einem Client aktiviert, falls dies vorausgesetzt wird). Andere Kompatibilitätsprobleme erfordern manuelle Eingriffe (es kann beispielsweise auf einem Computer erforderlich sein, Symantec AntiVirus auf eine kompatible Version zu aktualisieren). Produktanforderungen Sie müssen sowohl die Anforderungen Ihres Netzwerkzugangs-Providers als auch die Produktanforderungen von Symantec erfüllen, um Symantec Endpoint Compliance implementieren zu können. Symantec Endpoint Compliance unterstützt folgende Lösungen: Check Point VPN-1

21 Überblick über Symantec Endpoint Compliance Produktanforderungen 21 Siehe Benötigte Check Point-Komponenten auf Seite 52. Cisco Network Access Control (NAC) 1.0 Siehe Erforderlich Cisco Systems-Komponenten auf Seite 60. Nortel Contivity VPN Client 4.61 oder höher Siehe Erforderlich Nortel Networks-Komponenten auf Seite 68. Eines der folgenden Symantec-Produkte muss auf Ihren Endpunkten installiert sein, um Symantec Endpoint Compliance verwenden zu können: Symantec Client Security 3.1. Richtlinieneinhaltungprüfungen in Bezug auf Antivirus-Schutz, Firewall und Betriebssystem können für diese Endpunkte durchgeführt werden. Symantec AntiVirus Richtlinieneinhaltungprüfungen in Bezug auf Antivirus-Schutz und Betriebssystem können für diese Endpunkte durchgeführt werden. Sie müssen Symantec System Center installieren, wenn Sie Ihre Endpunkte zentral mit dem Symantec Endpoint Compliance-Snap-In verwalten und konfigurieren möchten. Siehe Symantec Endpoint Compliance-Snap-In installieren auf Seite 49.

22 22 Überblick über Symantec Endpoint Compliance Produktanforderungen

23 Kapitel 2 Wissenswertes über Sicherheitsrichtlinien In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu Sicherheitsrichtlinien Befehle für Compliance-Richtlinien Allgemeines zu Sicherheitsrichtlinien Eine Sicherheitsrichtlinie, auch Compliance-Richtlinie genannt, enthält Anforderungen an den Antivirus-Schutz, die Client-Firewall und das Betriebssystem, die mit den Einstellungen des Computers verglichen werden, um zu prüfen, ob der Computer die Richtlinie einhält. Die Sicherheitsrichtlinien kann auch Angaben darüber enthalten, was passiert, wenn Symantec Endpoint Compliance feststellt, dass der Computer der Richtlinie nicht einhält. In Tabelle 2-1 werden die Anforderungen in Bezug auf Antivirus-Schutz, Firewall und Betriebssystem in der Compliance-Richtlinie beschrieben.

24 24 Wissenswertes über Sicherheitsrichtlinien Allgemeines zu Sicherheitsrichtlinien Tabelle 2-1 Anforderungen Antivirus Richtlinienanforderungen Beschreibung Enthält folgende Antivirus-spezifische Anforderungen: Auto-Protect ist aktiviert. Die heuristische Auto-Protect-Virenprüfung ist aktiviert (mindestens auf der angegebenen Stufe). Auto-Protect ist so konfiguriert, dass bestimmte Dateizugriffsarten geprüft werden. Eine LiveUpdate-Sitzung, die innerhalb einer festgelegten Anzahl von Tagen erfolgreich beendet wurde. Die installierte Symantec AntiVirus-Version ist die angegebene bzw. eine neuere Version. Die Virendefinitionsdateien sind nicht älter als das angegebene Höchstalter. Eine bestimmte Prüfung wurde innerhalb der letzten (n) Tage ausgeführt. Das Microsoft Exchange/Outlook-Plug-In-Prüfprogramm ist installiert und aktiviert. Das Lotus Notes -Plug-In-Prüfprogramm ist installiert und aktiviert. Das Internet- -Plug-In-Prüfprogramm ist installiert und aktiviert. Firewall Enthält folgende Firewall-spezifische Anforderungen: Die installierte Version von Symantec Client Firewall ist die angegebene bzw. eine neuere Version. Symantec Client Firewall ist aktiviert. Betriebssystem Enthält folgende betriebssystemspezifische Anforderungen: Das installierte Betriebssystem ist die angegebene bzw. eine neuere Version. Das installierte Service Pack ist die angegebene bzw. eine neuere Version.

25 Wissenswertes über Sicherheitsrichtlinien Befehle für Compliance-Richtlinien 25 Befehle für Compliance-Richtlinien Symantec Endpoint Compliance verwendet für die VPN-Lösungen von Check Point und Nortel dieselben Befehle. Sie können anhand dieser Befehle die Fehlerbehebungsaktionen, Protokollierungsstufen und Richtlinieneinhaltungsprüfungen ermitteln. Für Cisco NAC definieren Sie die Endpunkt-Compliance-Richtlinie über den Cisco Secure ACS-Server. Siehe Richtlinienbefehle zur Nortel-Sicherheitsrichtlinie hinzufügen auf Seite 71. Siehe Sicherheitsattributrichtlinien vom Cisco Secure ACS-Server aus konfigurieren auf Seite 63. Hinweis: Die Check Point-Syntax zur Eingabe von Richtlinienbefehlen in der Richtliniendatei "local.scv" ist anders. Siehe SVC-Richtlinie definieren auf Seite 55. Tabelle 2-2 listet die Befehle für Compliance-Richtlinien auf.

26 26 Wissenswertes über Sicherheitsrichtlinien Befehle für Compliance-Richtlinien Tabelle 2-2 Befehl MODE =<Modus> Befehle für Compliance-Richtlinien Beschreibung Gibt an, was zu tun ist, wenn die diesem Befehl folgenden Befehle fehlschlagen. Ein MODE-Befehl gilt für alle folgenden Befehle, bis zum nächsten MODE-Befehl. Hinweis: Der vorgegebene MODE-Befehl für einen unbekannten Befehl ist AUDIT. <Modus> ist eine der folgenden Optionen: Automatisches Verhalten zur Fehlerbehebung Nicht zutreffend. AUDIT: Ignoriert den Befehl, wenn er fehlschlägt, und protokolliert ihn nur. DENY: Wenn der Befehl fehlschlägt, wird der Netzwerkzugang verweigert und nichts versucht, um das Problem zu beheben. AUTOFIX_ALLOW: Wenn der Befehl fehlschlägt, wird automatisch versucht, das Problem zu beheben. In der Zwischenzeit wird der Netzwerkzugang gewährt, wenn die Fehlerbehebung nicht sofort erfolgen kann oder fehlschlägt. AUTOFIX_DENY: Wenn der Befehl fehlschlägt, wird automatisch versucht, das Problem zu beheben. In der Zwischenzeit wird der Netzwerkzugang verweigert, wenn die Fehlerbehebung nicht sofort erfolgen kann oder fehlschlägt. (Sie können diesen Modus für Sicherheitsrichtlinienanforderungen mit hoher Priorität verwenden, z. B. "Auto-Protect aktiviert".)

27 Wissenswertes über Sicherheitsrichtlinien Befehle für Compliance-Richtlinien 27 Befehl LOG:FLAGS=<Flags> Beschreibung Steuert den Schweregrad der Einträge, die in die lokale Debug-Protokolldatei geschrieben werden, und welche Daten in den Protokolleinträgen enthalten sind. <Flags> ist eine beliebige Kombination der folgenden Flag-Zeichen: Automatisches Verhalten zur Fehlerbehebung Nicht zutreffend. B: Protokolliert auf der Konsole (stderr) und in die Protokolldatei. D: Aktiviert die Protokollierung im Debug-Modus, einschließlich Laufzeitdiagnose und Verfolgung von Funktionsaufrufen. Bei dieser Einstellung könnten signifikante Leistungseinbußen auftreten und große Datenmengen protokolliert werden. Wenn diese Option gesetzt wird, wird die Protokollierungsstufe automatisch auf "Debug" gesetzt. G: Protokolliert einen Zeitstempel in UTC-Zeit. Diese Option muss zusammen mit dem T-Flag verwendet werden. I: Nimmt die Thread-IDs in jede Protokollzeile auf. P: Nimmt die Prozess-IDs in jede Protokollzeile auf. S: Nimmt den Schweregrad in jede Protokollzeile auf. T: Nimmt einen Zeitstempel in jede Protokollzeile auf. Die Zeichen können in jeder beliebigen Reihenfolge angegeben werden, die Groß-/Kleinschreibung wird nicht berücksichtigt. Beispiel: LOG:FLAGS=TIPS

28 28 Wissenswertes über Sicherheitsrichtlinien Befehle für Compliance-Richtlinien Befehl LOG:LEVEL=<Schweregrad> Beschreibung Legt fest, bis zu welchem Schweregrad die Ereignisse protokolliert werden. Die Standard-Protokollierungsstufe ist "none". <Schweregrad> ist eines der folgenden Protokollierungstufenbefehle: Automatisches Verhalten zur Fehlerbehebung Nicht zutreffend. none: Deaktiviert die Protokollierung (keine Schweregrad). emerg: Protokolliert bis zum Schweregrad "Notfall". Die Meldungen weisen auf eine Systeminstabilität hin. alert: Protokolliert bis zum Schweregrad "Alarm". Die Meldungen weisen darauf hin, dass eine sofortige Aktion erforderlich ist. crit: Protokolliert bis zum Schweregrad "Kritisch". Die Meldung weisen auf Bedingungen hin, aufgrund derer das System oder Komponenten nicht funktionieren und die normalerweise nicht automatisch behoben werden können. error: Protokolliert bis zum Schweregrad "Fehler". Die Meldungen weisen auf Fehlerbedingungen oder Fehlschläge hin, die das Programm daran hindern, eine oder mehrere Tasks auszuführen. warning: Protokolliert bis zum Schweregrad "Warnung". Die Meldungen weisen auf unnormale Bedingungen hin, die jedoch das Programm nicht daran hindern, Tasks auszuführen. notice: Protokolliert bis zum Schweregrad "Hinweis". Die Meldungen weisen auf Ereignisse oder Bedingungen hin, die in der Protokolldatei aufgezeichnet werden sollten. Diese Stufe ist für erforderliche Audit-Daten geeignet. info: Protokolliert bis zum Schweregrad "Information". Die Meldungen enthalten weniger wichtige Informationen. debug: Protokolliert bis zum Schweregrad "Debug". Die Meldungen enthalten sehr detaillierte Informationen, die nur zum Debuggen der Programmlogik oder zur Konfiguration verwendet werden. Diese Stufe wird für gewöhnlich zur Problembehebung verwendet.

29 Wissenswertes über Sicherheitsrichtlinien Befehle für Compliance-Richtlinien 29 Befehl Beschreibung Automatisches Verhalten zur Fehlerbehebung LOG:MAX_SIZE=<Größe> <Größe> ist eine Ganzzahl, wobei: 1024 <= Größe <= Hinweis: Kann nur von der Windows -Registrierung aus bearbeitet werden. Gibt die Größe der Protokolldatei in Byte an, bei der eine Folgedatei angelegt wird. Sie können diese Einstellung durch Bearbeiten dieses REG_DWORD-Registrierungswertes ändern: HKLM\ Software\Symantec\SymSentry\DebugLogMaxSize Wenn die lokale Protokolldatei die angegebene Größe erreicht oder überschreitet, wird die aktuelle Datei umbenannt und eine neue Protokolldatei angelegt. Nicht zutreffend. LOG:ROTATIONS=<Anzahl> <Anzahl> ist eine Ganzzahl, wobei: 0 <= Anzahl <= 64 Hinweis: Kann nur von der Windows-Registrierung aus bearbeitet werden. USERMSG=<Text> Der Standardwert is Wenn Sie einen ungültigen Wert angeben, wird der Standardwert verwendet. Gibt an, wie viele Protokolldateien aufbewahrt werden sollen. Sie können diese Einstellung durch Bearbeiten dieses REG_DWORD-Registrierungswertes ändern: HKLM\Software\Symantec\SymSentry \DebugLogRotations Wenn eine neue Datei angelegt wird, wird jede Archivprotokolldatei in die nächste Archivgeneration umbenannt. Beispiel: Die Datei MeineEreignisse.log.1 wird zu MeineEreignisse.log.2. Die Archivdatei der ältesten zulässigen Generation wird gelöscht. Der Inhalt der aktuellen Protokolldatei wird in die Archivprotokolldatei der neuesten Generation kopiert und die aktuelle Protokolldatei anschließend geleert. Der Wert 0 ist gültig und gibt an, dass die aktuelle Protokolldatei aufbewahrt und nach der Rotation gekürzt werden soll. Der Standardwert is 2. Wenn Sie einen ungültigen Wert angeben, wird der Standardwert verwendet. Gibt eine Meldung an, die dem Benutzer angezeigt wird, wenn der Netzwerkzugang verweigert wird, weil der Computer des Benutzers nicht der Richtlinie entspricht. Wenn dem Benutzer die Meldung angezeigt wird, werden diesem Text Informationen vorangestellt, die beschreiben, welche Sicherheitsaspekte nicht der Richtlinie entsprechen. Nicht zutreffend. Nicht zutreffend.

30 30 Wissenswertes über Sicherheitsrichtlinien Befehle für Compliance-Richtlinien Befehl AP:ON AP:HEURISTICS=<Stufe> Beschreibung Prüft, ob Auto-Protect (Echtzeit-Dateiprüfung von Symantec AntiVirus) aktiviert ist. Prüft, ob die heuristische Auto-Protect-Virenprüfung aktiviert ist (mindestens auf der angegebenen Stufe). (Stufe) ist eine der vordefinierten Heuristik-Stufen: 1: Minimaler Schutz 2: Standardschutz 3: Maximaler Schutz Hinweis: Der AP:HEURISTICS-Befehl prüft nicht, ob Auto-Protect auf dem Client aktiviert ist. Sie sollten zusammen mit dem AP:HEURISTICS-Befehl immer den AP:ON-Befehl verwenden, der diese Richtlinieneinhaltungsprüfung durchführt. Automatisches Verhalten zur Fehlerbehebung Lädt Auto-Protect sofort neu. Aktiviert sofort die heuristische Virenprüfung und setzt die Heuristik-Stufe auf den angegebenen Wert. AP:SCANON=<Zugriffsarten> Prüft, ob Auto-Protect so konfiguriert ist, dass folgende Dateizugriffsarten geprüft werden. W: Prüfen bei Schreibzugriff. R: Prüfen bei Lesezugriff. X: Prüfen beim Ausführen. <Zugriffsarten> ist eine beliebige Kombination der folgenden Zeichen in beliebiger Reihenfolge, wobei die Groß-/Kleinschreibung berücksichtigt wird: WRX Aus Kompatibilitätsgründen mit den Einstellungen in Symantec AntiVirus entspricht "W" der Einstellung "Geändert" und "WRX" der Einstellung "Geöffnet oder geändert". Hinweis: Der AP:SCANON-Befehl prüft nicht, ob Auto-Protect auf dem Client aktiviert ist. Sie sollten zusammen mit dem AP:SCANON-Befehl immer den AP:ON-Befehl verwenden, der diese Richtlinieneinhaltungsprüfung durchführt. Setzt die Werte W, R und X sofort auf 1, entsprechend den Flags, die Sie im Befehl angegeben haben.

31 Wissenswertes über Sicherheitsrichtlinien Befehle für Compliance-Richtlinien 31 Befehl SAV:LU_SINCE=<n> Beschreibung Prüft, ob eine LiveUpdate-Sitzung innerhalb einer festgelegten Anzahl von Tagen erfolgreich beendet wurde. Während der Sitzung müssen nicht unbedingt Definitionsdateien heruntergeladen worden sein, die Sitzung muss jedoch erfolgreich beendet worden sein. <n> ist die Anzahl der Tage. Der Maximalwert ist 1825 Tage (5 Jahre). Automatisches Verhalten zur Fehlerbehebung Veranlasst eine administrative LiveUpdate-Sitzung ohne Meldungsausgabe, die einige Minuten dauern kann. SAV:MIN_VERSION= <major.minor.svc rel.build> Prüft, ob die installierte Version von Symantec AntiVirus mindestens der angegebenen Version entspricht. Nur die Angabe der Hauptversion ist erforderlich. Die anderen Versionsfelder sind optional. Kann nicht automatisch behoben werden. <Hauptversion.Nebenversion.Serviceversion.Build> ist der Bezeichner einer Symantec AntiVirus-Version. Beispiel:

32 32 Wissenswertes über Sicherheitsrichtlinien Befehle für Compliance-Richtlinien Befehl SAV:MAX_VDEF_AGE= <x>:<y> Beschreibung Gibt das maximale Alter der Virendefinitionen an. <x> ist die Anzahl der Tage, von 1 bis 1825 (5 Jahre). <y> betrifft die automatischen Fehlerbehebung. Es ist die Anzahl der Minuten, der Standardwert ist 10. Beispiel: SAV:MAX_VDEF_AGE=5:10 gibt an, dass die Virendefinitionsdateien nicht älter als fünf Tage sein dürfen. Symantec AntiVirus versucht, die Virendefinitionsdateien alle zehn Minuten zu aktualisieren, bis die Aktualisierung erfolgreich ist. Automatisches Verhalten zur Fehlerbehebung Für nicht verwaltete Clients: Veranlasst eine administrative LiveUpdate-Sitzung ohne Meldungsausgabe, die einige Minuten dauern kann. Für verwaltete Clients: Sendet ein Pong-Paket an den übergeordneten Servers des Clients, wenn der Client so konfiguriert ist, dass er Virendefinitionen vom übergeordneten Server erhält. Wenn der verwaltete Client LiveUpdate verwendet, wird eine administrative LiveUpdate-Sitzung ohne Meldungsausgabe veranlasst, die einige Minuten dauern kann. Für Server: Kann nicht automatisch behoben werden.

33 Wissenswertes über Sicherheitsrichtlinien Befehle für Compliance-Richtlinien 33 Befehl SAV:VDEF_LATEST=<x> SAV:SCAN= <Prüfungsname>:<n> Beschreibung Prüft, ob die Virendefinitionen des Symantec AntiVirus Clients denjenigen des übergeordneten Servers entsprechen. Wird nur in verwalteten Umgebungen verwendet und in VPNs, bei denen der Zugriff eines nicht der Richtlinie entsprechenden Computers auf den übergeordneten Server unterstützt wird. <x> gilt für das Intervall, indem automatisch Versuche unternommen werden, den Fehler auf dem Client-Computer zu beheben. Symantec VPN Sentry versucht, die Definitionen alle <x> Minuten zu aktualisieren. Prüft, ob die angegebene Prüfung innerhalb der letzten <n> Tage ausgeführt wurde. <Prüfungsname> ist der Name einer administrativen Prüfung (ohne Berücksichtigung der Groß-/Kleinschreibung) oder ein Sternchen (*) für alle Prüfungen. <n> ist die Anzahl der Tage. Automatisches Verhalten zur Fehlerbehebung Sendet ein Pong-Paket an den übergeordneten Servers des Clients, wenn der Client so konfiguriert ist, dass er Virendefinitionen vom übergeordneten Server erhält. Wenn der verwaltete Client LiveUpdate verwendet, wird eine administrative LiveUpdate-Sitzung ohne Meldungsausgabe veranlasst, die einige Minuten dauern kann. Für eine benannte Administrator-Prüfung: Führt die Prüfung aus, die einige Minuten dauern kann. Für eine beliebige Prüfung: Startet eine Virenensuchaktion, die einige Minuten dauern kann. MAIL:OUTLOOK Prüft, ob das Microsoft Exchange/Outlook-Plug-In-Prüfprogramm installiert und aktiviert ist. Lädt sofort das Microsoft Outlook-Plug-In, sofern es installiert ist. Wenn der Mail-Client nicht installiert ist, ist keine automatische Behebung möglich.

34 34 Wissenswertes über Sicherheitsrichtlinien Befehle für Compliance-Richtlinien Befehl MAIL:NOTES MAIL:INTERNET Beschreibung Prüft, ob das Lotus Notes-Plug-In-Prüfprogramm installiert und aktiviert ist. Prüft, ob das Internet- -Plug-In-Prüfprogramm installiert und aktiviert ist. Automatisches Verhalten zur Fehlerbehebung Lädt sofort das Lotus Notes-Plug-In, sofern es installiert ist. Wenn der Mail-Client nicht installiert ist, ist keine automatische Behebung möglich. Lädt sofort das Internet- -Plug-In, sofern es installiert ist. Wenn der Mail-Client nicht installiert ist, ist keine automatische Behebung möglich. SCF:MIN_VERSION= <Hauptversion.Nebenversion. Serviceversion.Build> Prüft, ob die installierte Version von Symantec Client Firewall mindestens der angegebenen Version entspricht. Nur die Angabe der Hauptversion ist erforderlich. Alle anderen Versionsfelder sind nicht erforderlich. <Hauptversion.Nebenversion.Serviceversion.Build> ist der Bezeichner einer Symantec Client Firewall-Version. Beispiel: Kann nicht automatisch behoben werden. SCF:FW_ENABLED Prüft, ob die Symantec Client Firewall installiert ist. Aktiviert sofort die Symantec Client Firewall, wenn Sie deaktiviert ist. WIN:SERVICE_PACK= <HauptOSVer.NebenOSVer- HauptSPVer.NebenSPVer> Prüft, ob auf dem Client-Computer mindestens das angegebene Betriebssystem mit dem angegebenen Service Pack installiert ist. Kann nicht automatisch behoben werden. Beispielwert: (Windows XP SP 2)

35 Kapitel 3 Symantec Endpoint Compliance verwalten In diesem Kapitel werden folgende Themen behandelt: Allgemeines zum Symantec Endpoint Compliance-Snap-In Compliance-Richtlinien mit dem Symantec System Center konfigurieren Endpunkt-Richtlinieneinhaltung im Symantec System Center anzeigen Endpoint Compliance-Ereignisse weiterleiten Endpoint Compliance-Ereignisse anzeigen Allgemeines zum Symantec Endpoint Compliance-Snap-In Wenn Sie in Ihrem Netzwerk Cisco Network Admission Control, Nortel Networks VPN oder Checkpoint Firewall NG verwenden, können Sie Symantec Endpoint Compliance vom Symantec System Center aus konfigurieren. Mit dem Symantec Endpoint Compliance-Snap-In können Sie Compliance-Einstellungen für verwaltete Clients mit Symantec AntiVirus und Symantec Client Security konfigurieren. Wenn diese Clients versuchen, auf Ihr Netzwerk über einen unterstützten Netzwerkzugangs-Provider zuzugreifen, sendet Symantec Endpoint Compliance Richtlinieneinhaltungsergebnisse an den Netzwerkzugangs-Provider. Mithilfe dieser Informationen legt der Netzwerkzugangs-Provider fest, ob den Computern der Zugriff auf Ihr Netzwerk gewährt oder verweigert wird. Die Compliance-Einstellungen, die mit Symantec System Center konfiguriert werden können, sind Symantec AntiVirus, -Schutz, LiveUpdate, Symantec Client Firewall und die Service-Pack-Stufe des Betriebssystems. Sie können

36 36 Symantec Endpoint Compliance verwalten Compliance-Richtlinien mit dem Symantec System Center konfigurieren Aktionen konfigurieren, die ausgeführt werden soll, wenn der Richtlinie nicht entsprechende Computer versuchen, auf das Netzwerk zuzugreifen. Ferner können Sie eine benutzerdefinierte Meldung konfigurieren, die auf Computern angezeigt wird, die der Richtlinie nicht entsprechen. Siehe Symantec Endpoint Compliance-Snap-In installieren auf Seite 49. Hinweis: Wenn Sie ein Quarantänenetzwerk für verwaltete Clients erstellen, die die Compliance-Prüfung nicht bestehen, müssen Sie dieses Netzwerk für den übergeordneten Symantec AntiVirus-Management-Server sichtbar machen. Der übergeordnete Management-Server kann dann entsprechend den Einstellungen der Endpunkt-Compliance-Richtlinie versuchen, den Fehler auf den Clients zu beheben. Compliance-Richtlinien mit dem Symantec System Center konfigurieren Sie können die Endpunkt-Compliance-Richtlinien für verwaltete Clients mit dem Symantec System Center konfigurieren. Sie können diese Einstellungen für verwaltete Clients auf Server-Gruppen- oder Client-Gruppen-Ebene oder für einzelne Clients und übergeordnete Management-Server konfigurieren. Siehe Allgemeines zu Cisco NAC-Clients und Fehlerbehebung auf Seite 63. Abbildung 3-1 Zeigt die Optionen zur Antivirus-Richtlinieneinhaltung sowie weitere Registerkarten mit Einstellungen, die Sie mit Symantec System Center konfigurieren können.

37 Symantec Endpoint Compliance verwalten Compliance-Richtlinien mit dem Symantec System Center konfigurieren 37 Abbildung 3-1 Registerkarte "Richtlinieneinhaltung konfigurieren" für Antivirus-Richtlinien In Tabelle 3-1 werden die Optionen für die Richtlinieneinhaltung für Symantec AntiVirus beschrieben.

38 38 Symantec Endpoint Compliance verwalten Compliance-Richtlinien mit dem Symantec System Center konfigurieren Tabelle 3-1 Option Optionen für die Endpunkt-Richtlinieneinhaltung für Symantec AntiVirus Beschreibung Auto-Protect aktiviert Aktivieren Sie diese Option, wenn Sie ermitteln möchten, ob Auto-Protect auf Ihren verwalteten Clients aktiviert ist. Wählen Sie unter den folgenden Aktionen diejenige aus, die ausgeführt werden soll, wenn der Richtlinie nicht entsprechende Computer versuchen, auf das Netzwerk zuzugreifen: Zulassen Verweigern Reparieren, bei Fehlschlag verweigern Reparieren, bei Fehlschlag zulassen Zusätzliche Auto-Protect-Optionen Wählen Sie eine Heuristik-Stufe: "Minimum", "Normal" oder "Maximum". Konfigurieren Sie anschließend die Aktion, die ausgeführt werden soll, wenn der Computer der Richtlinie nicht entspricht: Zulassen Verweigern Reparieren, bei Fehlschlag verweigern Reparieren, bei Fehlschlag zulassen Wählen Sie eine Prüfungsstufe: "Prüfung bei Änderung" oder "Prüfung bei Zugriff oder Änderung" und konfigurieren Sie dann die Aktion für Computer, die der Richtlinie nicht entsprechen: Zulassen Verweigern Reparieren, bei Fehlschlag verweigern Reparieren, bei Fehlschlag zulassen Hinweis: Diese Optionen sind nur verfügbar, wenn die Option "Auto-Protect aktiviert" aktiviert ist. Sie prüfen nicht nach, ob Auto-Protect auf dem Client aktiviert ist.

39 Symantec Endpoint Compliance verwalten Compliance-Richtlinien mit dem Symantec System Center konfigurieren 39 Option Symantec AntiVirus-Version Beschreibung Aktivieren Sie diese Option, um die niedrigste Version von Symantec AntiVirus anzugeben, die noch zulässig ist. Geben Sie eine Versionsnummer ein. Wählen Sie unter den folgenden Aktionen diejenige aus, die ausgeführt werden soll, wenn der Computer der Richtlinie nicht entspricht: Zulassen Verweigern Maximales Alter der Virendefinitionsdatei Wählen Sie das höchste zulässige Alter der Definitionsdateien für Viren und Sicherheitsrisiken. Gültige Werte liegen zwischen 1 und 30 Tagen. Wählen Sie unter den folgenden Aktionen diejenige aus, die ausgeführt werden soll, wenn der Computer der Richtlinie nicht entspricht: Zulassen Verweigern Reparieren, bei Fehlschlag verweigern Reparieren, bei Fehlschlag zulassen Sie konfigurieren Sie die Compliance-Richtlinien mit dem Symantec System Center 1 Klicken Sie mit der rechten Maustaste auf die Server-Gruppe, den Server oder den Client, die bzw. der konfiguriert werden soll, und anschließend auf "Alle Tasks > Symantec Endpoint Compliance > Konfigurieren". 2 Wenn Sie mit der rechten Maustaste auf eine Server-Gruppe oder einen Server geklickt haben, wählen Sie den verwendeten Compliance-Adapter aus und klicken Sie anschließend auf "OK". 3 Aktivieren Sie auf der Registerkarte "Allgemein" unter "Allgemeine Einstellungen" die Option "Richtlinieneinhaltungsüberprüfungen aktivieren". Sie müssen diese Einstellung aktivieren, um einzelne Optionen zur Richtlinieneinhaltung festlegen zu können. 4 Wenn Sie eine benutzerdefinierte Nachricht auf dem Client-Computer anzeigen möchten, aktivieren Sie "Benutzerdefinierte Meldung aktivieren" und geben Sie im Textfeld die Nachricht ein, die angezeigt werden soll. 5 Legen Sie auf der Registerkarte "AntiVirus" die Optionen fest, die aktiviert werden sollen. Für jeden Bereich können Sie Aktionen konfigurieren, die durchgeführt werden sollen, wenn Computer der Richtlinie nicht entsprechen. Siehe Tabelle 3-1 auf Seite 38.

40 40 Symantec Endpoint Compliance verwalten Endpunkt-Richtlinieneinhaltung im Symantec System Center anzeigen 6 Markieren Sie auf der Registerkarte " " alle verwendeten -Programme und legen Sie die Aktionen für Computer fest, die der Richtlinie nicht entsprechen: Zulassen; Verweigern; Reparieren, bei Fehlschlag verweigern; Reparieren, bei Fehlschlag zulassen. 7 Führen Sie auf der Registerkarte "LiveUpdate " Folgendes aus: Aktivieren Sie die Option "Letzte erfolgreiche Definitionsaktualisierung innerhalb von". Legen Sie fest, wie lange die letzte Ausführung von LiveUpdate auf dem Computer zurückliegen darf. Wählen Sie die Aktion für die Computer aus, die nicht der Richtlinie entsprechen: Zulassen; Verweigern; Reparieren, bei Fehlschlag verweigern; Reparieren, bei Fehlschlag zulassen. 8 Führen Sie auf der Registerkarte "Firewall" Folgendes aus: Aktivieren Sie die Option "Symantec Client Firewall aktiviert", wenn Sie prüfen möchten, ob Symantec Client Firewall auf den Client-Computern in Ihrem Netzwerk aktiviert ist. Wählen Sie aus, welche Aktion bei einem Computer ausgeführt werden soll, der nicht den Richtlinien entspricht: Zulassen; Verweigern; Reparieren, bei Fehlschlag verweigern; Reparieren, bei Fehlschlag zulassen. Legen Sie die niedrigste Version von Symantec Client Firewall fest, die noch zulässig ist, sowie eine entsprechende Aktion: Zulassen; Verweigern. 9 Wählen Sie auf der Registerkarte "Service Pack" ein Betriebssystem aus, legen Sie das gewünschte Service Pack für das Betriebssystem fest und klicken Sie dann auf "Hinzufügen". Wiederholen Sie diesen Schritt, um die älteste Service Pack-Version anzugeben, die für das jeweilige Betriebssystem in Ihrem Netzwerk noch zulässig sein soll. 10 Wählen Sie die Aktion für die Computer aus, die nicht der Richtlinie entsprechen: Zulassen; Verweigern. 11 Klicken Sie auf "OK", um diese Einstellungen zu speichern. Endpunkt-Richtlinieneinhaltung im Symantec System Center anzeigen Sie können den Compliance-Status der verwalteten Clients in Symantec System Center anzeigen. In der Ansicht "Symantec Endpoint Compliance" können Sie ermitteln, für welche Clients eine Fehlerbehebung erforderlich ist, damit sie den Sicherheitsrichtlinien Ihres Unternehmens entsprechen.

41 Symantec Endpoint Compliance verwalten Endpunkt-Richtlinieneinhaltung im Symantec System Center anzeigen 41 In Tabelle 3-2 werden die Informationen über verwaltete Clients beschrieben, die in der Ansicht "Symantec Endpoint Compliance" verfügbar sind. Tabelle 3-2 Option Client Benutzer Status Informationen in der Ansicht "Symantec Endpoint Compliance" Beschreibung Enthält den Namen des verwalteten Client-Computers sowie ein Symbol, dass den Compliance-Status des Clients repräsentiert. Zeigt den Benutzernamen des Benutzers an, der zur Zeit auf dem Client angemeldet ist. Stellt Informationen über den Compliance-Status des Clients bereit, bei denen es sich um eine der folgenden Angaben handelt: Hält Richtlinien ein: Client entspricht allen Richtlinieneinhaltungsprüfungen, die in der Compliance-Richtlinie festgelegt sind. Hält Richtlinien nicht ein: Eine oder mehrere Richtlinieneinhaltungsprüfungen gemäß der Compliance-Richtlinie sind auf dem Client fehlgeschlagen. Dem Client wird der Zugriff auf Ihr Netzwerk verweigert. Audi fehlgeschlagen: Auf dem Client ist eine Audit-Prüfung einer oder mehrerer Richtlinieneinhaltungsprüfungen gemäß Compliance-Richtlinie fehlgeschlagen, dem Client ist jedoch der Zugriff auf Ihr Netzwerk gewährt worden. Diese Situation tritt ein, wenn Sie für eine oder mehrere Richtlinieneinhaltungsprüfungen, die der Client nicht bestanden hat, "Zulassen" oder "Reparieren, bei Fehlschlag zulassen" gewählt haben. Adresse Gruppe Server Zeigt die IP-Adresse des verwalteten Clients an. Zeigt den Namen der Client-Gruppe an, der der verwalteter Client angehört, falls zutreffend. Zeigt den übergeordneten Management-Server des verwalteten Clients an.

42 42 Symantec Endpoint Compliance verwalten Endpoint Compliance-Ereignisse weiterleiten So zeigen Sie die Endpunkt-Richtlinieneinhaltung im Symantec System Center an 1 Markieren Sie den übergeordneten Management-Server oder die Client-Gruppe, der bzw. die den Client verwaltet, den Sie anzeigen möchten. 2 Klicken Sie im Dropdown-Menü "Ansicht" auf "Symantec Endpoint Compliance". Informationen zur Endpunkt-Richtlinieneinhaltung werden im rechten Teilfenster angezeigt. Endpoint Compliance-Ereignisse weiterleiten Mithilfe des Symantec System Center können Sie wichtige Endpoint Compliance-Ereignisse von einem verwalteten Client an seinen übergeordneten Server oder von einem Sekundär-Server an einen Primär-Management-Server weiterleiten. Durch die Weiterleitung von Compliance-Ereignissen können Sie Ereignisse an einem zentralen Speicherort sammeln, wo sie zum Ermitteln von Compliance-Trends oder zur Erstellung von Berichten genutzt werden können. Sie können die folgenden Compliance-Ereignisse weiterleiten: Der Endpunkt entspricht der Richtlinie. Der Endpunkt entspricht nicht der Richtlinie. Der Endpunkt entspricht der Richtlinie, hat aber eine Audit-Prüfung nicht bestanden. Weitere Informationen über die Ereignisweiterleitung und Erstellung von Compliance-Berichten finden Sie im Benutzerhandbuch zur Berichterstellung.

43 Symantec Endpoint Compliance verwalten Endpoint Compliance-Ereignisse anzeigen 43 So leiten Sie Compliance-Ereignisse von einem verwalteten Client an einen übergeordneten Server weiter 1 Klicken Sie mit der rechten Maustaste auf die Server-Gruppe, die Client-Gruppe, den Server oder den Client, die bzw. der konfiguriert werden soll, und anschließend auf "Alle Tasks > Symantec Endpoint Compliance > Protokolle > Weiterleiten des Client-Protokolls". 2 Wählen Sie im Dialogfeld "Weiterleiten von Protokollereignissen" die Compliance-Ereignisse aus, die Sie weiterleiten möchten, und klicken Sie auf "OK". So leiten Sie Compliance-Ereignisse von einem Sekundär-Server an einen Primär-Server weiter 1 Klicken Sie mit der rechten Maustaste auf die Server-Gruppe oder den Server, die bzw. der konfiguriert werden soll, und anschließend auf "Alle Tasks > Symantec Endpoint Compliance > Protokolle > Weiterleiten des Server-Protokolls". 2 Wählen Sie im Dialogfeld "Weiterleiten von Protokollereignissen" die Compliance-Ereignisse aus, die Sie weiterleiten möchten, und klicken Sie auf "OK". Endpoint Compliance-Ereignisse anzeigen Sie können wichtige Endpoint Compliance-Ereignisse von der Client-Benutzerschnittstelle und dem Symantec AntiVirus-Ereignisprotokoll aus anzeigen. Wenn ein Endpunkt-Client nicht der Richtlinie entspricht, ein Audit nicht besteht oder im Nachhinein der Richtlinie entspricht, geschieht Folgendes: Eine Benachrichtigung erscheint in der Task-Leiste des Clients und zeigt das Compliance-Ereignis an. Das Compliance-Ereignis wird im Ereignisprotokoll protokolliert. Ebenso werden neu installierte Endpunkte zusammen mit ihrem anfänglichen Richtlinieneinhaltungsstatus im Protokoll aufgeführt.

44 44 Symantec Endpoint Compliance verwalten Endpoint Compliance-Ereignisse anzeigen So zeigen Sie Endpoint Compliance-Ereignisse an Klicken Sie mit der rechten Maustaste auf den Server oder Client, der das Ereignisprotokoll enthält, dass Sie anzeigen möchten, und klicken Sie anschließend auf "Alle Tasks > Symantec AntiVirus > Protokolle > Ereignisprotokoll". Compliance-Ereignisse werden zwischen anderen Antivirus- und Firewall-Ereignissen aufgeführt. Mit Hilfe des Ereignisfilters können Sie nur Endpoint Compliance-Ereignisse anzeigen lassen. Sie können auch das Endpoint Compliance-Protokoll lokal auf dem verwalteten Client einsehen. Zusätzlich zum Symantec AntiVirus-Ereignisprotokoll wird ein Standard-Compliance-Protokoll, SymSentry.log, erstellt. Der Speicherort der Datei SymSentry.log ist C:\Dokumente und Einstellungen\All Users\ Anwendungsdaten\Symantec\SymSentry. Sie können auch das lokale VPN-Protokoll des Clients nach VPN-Fehlern durchsehen. Weitere Informationen finden Sie in der VPN-Dokumentation.

45 Kapitel 4 Symantec Endpoint Compliance installieren In diesem Kapitel werden folgende Themen behandelt: Vorbereitung der Installation von Symantec Endpoint Compliance Symantec VPN Sentry installieren Symantec Endpoint Compliance-Snap-In installieren Vorbereitung der Installation von Symantec Endpoint Compliance Symantec Endpoint Compliance arbeitet mit Ihrem Netzwerkzugangs-Provider zusammen, um Ihr Unternehmensnetzwerk vor ungesicherten Endpunkten zu schützen, die versuchen, auf Ihr Netzwerk zuzugreifen. Vor der Installation von Symantec Endpoint Compliance sollten Sie sicherstellen, dass Ihre Endpunkte normal auf das Netzwerk zugreifen können. Bei einigen Netzwerkzugangs-Providern ist es erforderlich, dass Sie weitere Aufgaben durchführen, bevor Sie Symantec Endpoint Compliance installieren. Siehe Erforderliche Aufgaben zur Installationsvorbereitung für Check Point auf Seite 54. Siehe Erforderliche Aufgaben zur Installationsvorbereitung für Cisco NAC auf Seite 62. Siehe Erforderliche Aufgaben zur Installationsvorbereitung für Cisco NAC auf Seite 62. Siehe Symantec VPN Sentry für Nortel Networks verteilen und installieren auf Seite 73.

46 46 Symantec Endpoint Compliance installieren Symantec VPN Sentry installieren Symantec VPN Sentry installieren Symantec VPN Sentry ist die Komponente von Symantec Endpoint Compliance, die Sie auf Ihren Endpunkten installieren. Die Installation von Symantec VPN Sentry umfasst VPNSentry.exe, dass mit Symantec VPN Sentry zusammenarbeitet, um den Richtlinieneinhaltungsstatus der Endpunkte zu ermitteln. Sie können Symantec VPN Sentry mithilfe von LiveUpdate Custom Content Publishing Application (CCPA) verteilen. Ebenso können Sie verschiedene Produkte von Fremdanbietern verwenden, so z. B. Microsoft Active Directory, Tivoli und Microsoft Systems Management Server (SMS), um Symantec VPN Sentry zu verteilen und zu installieren. Symantec VPN Sentry mithilfe von LiveUpdate CCPA verteilen Das Publishing von benutzerdefiniertem Content ermöglicht den Einsatz der Sicherheitsfunktionen von LiveUpdate, damit Client-Computer benutzerdefinierten Content empfangen können. Benutzerdefinierter Content kann aus beliebigen Dateitypen bestehen, die Ihre Clients empfangen dürfen, einschließlich Service Packs, installierbarer Dateien, Dokumenten und Spreadsheets. Mithilfe von CCPA können Sie Updates erstellen, ändern und veröffentlichen, die auf den zentralen LiveUpdate-Server geladen werden. Wenn der LiveUpdate-Client ausgeführt wird, sucht er nach benutzerdefinierten Content Packages und authentifiziert die Packages, um zu ermitteln, ob sie vertrauenswürdig sind. Sie können CCPA vom Verzeichnis "Tools\LiveUpdate" der Symantec AntiVirusoder Symantec Client Security-CD aus installieren. Weitere Informationen zur Verwendung von CCPA finden Sie im LiveUpdate Administratorhandbuch (Luadmin.pdf). Symantec VPN Sentry mithilfe von Microsoft Active Directory und Tivoli verteilen Sie können Symantec VPN Sentry unter Verwendung der Standardoptionen von Active Directory und Tivoli für alle Windows Installer-basierten Installationspakete verteilen und installieren. Informationen zu den Active Directory- und Tivoli-Verteilungsoptionen finden Sie in der Dokumentation zum Verteilen von Windows Installer-Paketen (.msi), die im Lieferumfang des von Ihnen verwendeten Systems enthalten ist.

47 Symantec Endpoint Compliance installieren Symantec VPN Sentry installieren 47 Symantec VPN Sentry mithilfe von Microsoft SMS-Paketdefinitionsdateien verteilen Microsoft SMS-Administratoren können eine Paketdefinitionsdatei (.pdf) verwenden, um Symantec VPN Sentry an die Endpunkte zu verteilen. Um Symantec VPN Sentry mit SMS zu verteilen, müssen Sie folgende Schritte ausführen: Erstellen Sie Quellverzeichnisse zur Speicherung von Symantec VPN Sentry. Erstellen Sie eine Abfrage, um die Clients zu ermitteln, die über ausreichend Platz auf der Festplatte für eine Installation der Software verfügen. Erstellen Sie ein Paket zur Verteilung der Software auf der Arbeitsstation. Erzeugen Sie einen SMS-Job, um das Paket auf Client-Rechnern zu verteilen und zu installieren. In diesem Paket definieren Sie die Dateien, aus denen die zu verteilende Anwendung bestehen soll, sowie die Paketkonfiguration und die Identifikationsinformationen. Der Installationsordner muss lokal kopiert werden, bevor Sie die Installation unter Verwendung von SMS ausführen. Weitere Informationen zur Verwendung von SMS finden Sie in der Dokumentation des Systems Management Server von Microsoft. Symantec VPN Sentry auf einem einzelnen Computer installieren Die CD von Symantec AntiVirus und Symantec Client Security enthält ein Standard-Installationsprogramm, mit dem Sie Symantec VPN Sentry auf einem einzelnen Computer installieren können. Symantec Client Security 3.1 oder Symantec AntiVirus 10.1 müssen bereits auf dem Computer installiert sein, auf dem Sie Symantec VPN Sentry installieren möchten. So installieren Sie Symantec VPN Sentry auf einem einzelnen Computer 1 Legen Sie die Symantec AntiVirus- oder Symantec Client Security-CD in das CD-ROM-Laufwerk ein. 2 Klicken Sie im Fenster "Symantec AntiVirus" oder "Symantec Client Security" auf "Beenden". 3 Navigieren Sie im Windows-Explorer zum CD-Laufwerk. 4 Klicken Sie auf "SymSentry". 5 Führen Sie einen der folgenden Schritte aus: Doppelklicken Sie auf "Symantec_VPN_Sentry_for_Check_Point".

48 48 Symantec Endpoint Compliance installieren Symantec VPN Sentry installieren Doppelklicken Sie auf "Symantec_VPN_Sentry_for_Nortel_Networks". Doppelklicken Sie für die Cisco NAC-Lösung auf "Symantec_Client_Security_Posture_Plug-in". 6 Doppelklicken Sie auf "Setup.exe". 7 Klicken Sie im Begrüßungsfenster auf "Weiter". 8 Klicken Sie im Installationsfenster auf "Installieren". 9 Klicken Sie im Fenster "InstallShield-Assistent" auf "Fertig stellen". Symantec VPN Sentry migrieren Sie müssen Check Point SecureClient neu starten, nachdem die Installation abgeschlossen ist. Wenn Sie Symantec VPN Sentry auf einem Client-Computer installieren, auf dem bereits eine frühere Version installiert ist, erkennt das Installationsprogramm die frühere Version und aktualisiert Symantec VPN Sentry automatisch auf die neuere Version. Hinweis: Eine Migration wird für Check Point nicht unterstützt. Sie müssen die frühere Version zuerst deinstallieren, bevor Sie die aktuelle Version von Symantec VPN Sentry installieren können. Symantec VPN Sentry deinstallieren Sie können Symantec VPN Sentry mithilfe des Deinstallationsprogramms von Symantec deinstallieren. Wenn eine manuelle Deinstallation erforderlich ist und Sie Informationen benötigen, rufen Sie die Unterstützungsdatenbank auf der Symantec-Website auf. So deinstallieren Sie Symantec VPN Sentry 1 Klicken Sie in der Windows-Task-Leiste auf "Start > Einstellungen > Systemsteuerung". 2 Doppelklicken Sie im Fenster der Systemsteuerung auf "Software". 3 Führen Sie im Dialogfeld "Software" einen der folgenden Schritte aus: Klicken Sie auf "Symantec VPN Sentry für Check Point". Klicken Sie auf "Symantec VPN Sentry für Nortel Networks". Klicken Sie auf "Symantec Client Security Posture Plug-In". 4 Klicken Sie auf "Entfernen".

49 Symantec Endpoint Compliance installieren Symantec Endpoint Compliance-Snap-In installieren 49 Symantec Endpoint Compliance-Snap-In installieren Das Symantec Endpoint Compliance-Snap-In wird bei der Installation von Symantec System Center standardmäßig installiert: Sie müssen sicherstellen, dass das Symantec Endpoint Compliance-Snap-In aktiviert ist, damit Sie Compliance-Richtlinien Ihrer Clients zentral verwalten können. So installieren Sie das Symantec Endpoint Compliance Snap-in 1 Legen Sie die Symantec AntiVirus- oder Symantec Client Security-CD in das CD-ROM-Laufwerk ein. 2 Klicken Sie im Symantec AntiVirus- oder im Symantec Client Security-Fenster auf Administrator-Tools installieren> Symantec System Center installieren. 3 Klicken Sie im Begrüßungsfenster auf "Weiter". 4 Klicken Sie im Fenster "Lizenzvereinbarung" auf "Ich akzeptiere die Bedingungen der Lizenzvereinbarung" und klicken Sie anschließend auf "Weiter". Wenn Microsoft Management Console Version 1.2 oder höher nicht auf dem Computer installiert ist, wird eine Meldung angezeigt, dass Sie die automatische Installation des Programms zulassen müssen. 5 Wählen Sie im Fenster "Komponenten wählen" aus den folgenden Komponenten die aus, die Sie installieren möchten: Alert-Management-System-Konsole Symantec AntiVirus-Snap-In Symantec Client Firewall-Snap-In Symantec Endpoint Compliance-Snap-In Verteilungs-Tool für AV Server ClientRemote-Installations-Tool Berichterstellung-Snap-In Wenn diese Komponenten nicht auf dem Computer vorhanden sind, werden alle außer der Alert-Management-System-Konsole automatisch markiert. 6 Klicken Sie auf "Weiter". 7 Führen Sie im Fenster "Zielordner" einen der folgenden Schritte aus: Klicken Sie auf "Weiter", um den Standardordner für die Installation zu übernehmen. Klicken Sie auf "Ändern", wählen Sie einen Zielordner aus, klicken Sie auf "OK" und anschließend auf "Weiter".

50 50 Symantec Endpoint Compliance installieren Symantec Endpoint Compliance-Snap-In installieren 8 Klicken Sie im Installationsfenster auf "Installieren". 9 Klicken Sie im Fenster "InstallShield-Assistent abgeschlossen" auf "Fertig stellen", um den Assistenten zu schließen. 10 Wenn Sie dazu aufgefordert werden, den Computer neu zu starten, klicken Sie auf "Ja".

51 Kapitel 5 Symantec VPN Sentry zusammen mit Check Point verwenden In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu Symantec VPN Sentry für Check Point Benötigte Check Point-Komponenten Funktionsweise von Symantec VPN Sentry für Check Point Erforderliche Aufgaben zur Installationsvorbereitung für Check Point SVC-Richtlinie definieren SCV-Richtlinie auf den Check Point Policy Server kopieren Check Point SecureClient deaktivieren Allgemeines zu Symantec VPN Sentry für Check Point Symantec VPN Sentry für Check Point wird in die Check Point VPN-Software integriert. Symantec VPN Sentry stellt der Check Point-Firewall Statusinformationen zu Symantec AntiVirus, Symantec Client Firewall und zum Betriebssystem zur Verfügung. Die Check Point-Firewall verweigert anhand dieser Informationen einem Computer den Zugriff auf Ihr Netzwerk so lange, bis auf diesem Computer das Problem behoben wird, indem die erforderliche Symantec-Software installiert oder die erforderlichen Einstellungen vorgenommen werden. Sobald der Computer Ihren Sicherheitsrichtlinien entspricht, leitet Symantec VPN Sentry diese

52 52 Symantec VPN Sentry zusammen mit Check Point verwenden Benötigte Check Point-Komponenten Information an die Check Point-Firewall weiter. Die Firewall gewährt dem Computer anschließend den Zugriff auf das Netzwerk. Benötigte Check Point-Komponenten Symantec VPN-Sentry für Check Point setzt voraus, dass bestimmte Check Point-Komponenten in Ihrem Netzwerk installiert und funktionsbereit sind. In Tabelle 5-1 werden die Check Point-Komponenten beschrieben, die von Symantec VPN-Sentry für Check Point benötigt werden. Tabelle 5-1 Komponente Check Point-Komponenten Beschreibung Check Point VPN-1/FireWall-1 NG Check Point Policy Server Der VPN/Firewall-Server, der Clients authentifiziert und ihnen, basierend auf Richtlinieneinhaltungsprüfungen, entweder den Zugriff auf Ihr Netzwerk gewährt oder verweigert. Der Server, der die Sicherheitsrichtlinien verwaltet. Der Policy Server kann sich auf demselben Computer wie das VPN-1/FireWall-1-Modul befinden, er kann aber auch als separater Server eingesetzt werden. Sie können eine vorhandene VPN-1/FireWall-1-Installation als Richtlinienserver konfigurieren und den Computer neu starten. Weitere Informationen finden Sie in der Dokumentation zu Check Point VPN-1/FireWall-1 NG. Local.scv Die Richtliniendatei, in der die Compliance-Befehle gespeichert sind. Die Check Point-Sicherheitsrichtlinien müssen die Desktop-Sicherheitsrichtlinien enthalten, die angegeben werden, wenn die Richtlinien im Check Point-Richtlinieneditor erstellt werden. Weitere Informationen finden Sie in der Dokumentation zu Check Point VPN-1/FireWall-1 NG.

53 Symantec VPN Sentry zusammen mit Check Point verwenden Funktionsweise von Symantec VPN Sentry für Check Point 53 Komponente Check Point SecureClient NG Beschreibung VPN-Client-Software Hinweis: Wenn aufgrund der Check Point SecureClient NG-Verschlüsselung Probleme auftreten, sollten Sie auf Check Point SecureClient NG R54 oder höher aktualisieren. Weitere Informationen zur Verschlüsselung finden Sie in der Check Point SecureClient-Dokumentation. Abbildung 5-1 stellt die Symantec- und Check Point-Komponenten dar. Abbildung 5-1 Symantec- und Check Point-Komponenten VPN-SERVER Check Point VPN-1/FireWall-1 NG Check Point Policy Server Local.scv (Richtliniendatei) CLIENT Check Point SecureClient NG-Software Symantec VPN Sentry-Adapter VPNSentry.exe Symantec AntiVirus- oder Symantec Client Security-Client Funktionsweise von Symantec VPN Sentry für Check Point Symantec VPN Sentry für Check Point verwendet folgendes Verfahren für die Clients, die zur Verwaltung der Compliance-Richtlinien nicht das Symantec Endpoint Compliance-Snap-In verwenden: Der Administrator konfiguriert und speichert die Richtliniendatei (Local.scv) auf dem Check Point Policy Server.

54 54 Symantec VPN Sentry zusammen mit Check Point verwenden Erforderliche Aufgaben zur Installationsvorbereitung für Check Point Der VPN-Client stellt eine Verbindung zum Netzwerk her und initialisiert eine VPN-Verbindung mit dem Check Point VPN-1/FireWall-1 Server. Der Check Point VPN-1/FireWall-1 Server authentifiziert den Client. Der VPN-Client holt die Datei "Local.scv" vom Check Point Policy Server. Check Point SecureClient NG lädt Symantec VPN Sentry für Check Point auf dem Client und weist ihn an, die Richtlinieneinhaltung auf dem Client zu prüfen. Symantec VPN Sentry führt auf dem Client folgende Aufgaben durch: Liest die Richtlinienbefehle, die in der Datei "Local.scv" enthalten sind. Ermittelt den Richtlinieneinhaltungsstatus des Clients. Gibt den Richtlinieneinhaltungsstatus des Clients an Check Point SecureClient NG zurück. Check Point SecureClient NG sendet die Richtlinieneinhaltungsergebnisse des Clients an den Check Point VPN-1/FireWall-1 Server. Der Check Point VPN-1/FireWall-1 Server gewährt oder verweigert den Datenverkehr des Clients, basierend auf den Richtlinieneinhaltungsergebnissen. Er kann auch versuchen, den Fehler auf dem Client zu beheben, sofern die konfigurierten Befehle dies zulassen. Siehe Befehle für Compliance-Richtlinien auf Seite 25. Hinweis: Wenn Sie die Sicherheitsrichtlinie des Clients mithilfe des Symantec Endpoint Compliance Snap-In konfigurieren, werden die Compliance-Einstellungen des Clients von Symantec VPN Sentry in der Windows-Registrierung gespeichert bzw. daraus abgerufen. Symantec VPN Sentry ignoriert den Inhalt von "Local.scv", die Datei muss jedoch vorhanden sein. Erforderliche Aufgaben zur Installationsvorbereitung für Check Point Sie müssen die folgenden Aufgaben abschließen, bevor Sie Symantec VPN Sentry für Check Point installieren können: Testen Sie Ihre VPN-Umgebung, um sicherzustellen, dass sie ordnungsgemäß funktioniert. Prüfen Sie, ob Internet Explorer 5.5 mit Service Pack 2 oder höher auf jedem Computer installiert ist, auf dem Symantec Client Security oder Symantec AntiVirus läuft.

55 Symantec VPN Sentry zusammen mit Check Point verwenden SVC-Richtlinie definieren 55 Definieren Sie mithilfe des SCV-Editors eine SCV-Richtlinie (Secure Configuration Verification) und speichern Sie sie unter dem Namen "Local.scv". Installieren Sie Check Point VPN-1/FireWall-1 Version NG oder höher auf dem VPN-Server. Weitere Informationen finden Sie in der Check Point-Dokumentation. Installieren Sie mithilfe des Check Point-Richtlinieneditors die VPN-1/FireWall-1-Richtlinie. Wenn Sie die VPN-1/FireWall-1-Richtlinie installieren, nimmt der Check Point-Richtlinieneditor die Datei "Local.scv" in das Richtlinienpaket auf, das in der VPN-1/FireWall-1 und den Policy Server-Modulen installiert wird. Installieren Sie Check Point SecureClient NG auf den Client-Computern, auf denen Sie Symantec VPN Sentry für Check Point implementieren möchten. Weitere Informationen finden Sie in der Dokumentation zu Check Point SecureClient NG. Konfigurieren Sie Ihren VPN-Server so, dass er auf die übergeordneten Server des Symantec Client Security-Clients oder auf einen LiveUpdate-Server zugreifen kann. Kopieren Sie die Installationsdateien von Symantec VPN Sentry auf den Client-Computer, wenn der Check Point SecureClient läuft und Sie das.msi-installationsprogramm verwenden möchten. Wenn Check Point SecureClient auf dem Client läuft, müssen Sie es deaktivieren. Sie müssen Check Point SecureClient aktivieren, nachdem die Installation abgeschlossen ist. Siehe Check Point SecureClient deaktivieren auf Seite 58. SVC-Richtlinie definieren Sie können eine SCV-Richtlinie mithilfe des Check Point SCV-Editors oder mithilfe eines Texteditors, wie beispielsweise Notepad, definieren. Sie müssen die Richtliniendatei "Local.scv" nennen. Sie können den SCV-Editor als Teil des Check Point SCV Software Developer's Kit (SDK) von folgender Website herunterladen: Weitere Informationen zur Verwendung des Check Point SCV-Editors finden Sie in der Check Point-Dokumentation.

56 56 Symantec VPN Sentry zusammen mit Check Point verwenden SVC-Richtlinie definieren Hinweis: Einige Versionen des Check Point SCV-Editors können Richtlinien nicht richtig handhaben, die Doppelpunkte enthalten. Verwenden Sie in diesem Fall einen anderen Texteditor, wie beispielsweise Notepad. SCV-Richtlinienkonfiguration Die Konfiguration einer SCV-Richtlinie muss sehr sorgfältig erfolgen, um eine hohe Genauigkeit bei der Client-Richtlinieneinhaltung zu gewährleisten. Richtlinienbefehle, die Symantec VPN Sentry nicht erkennt, geben den Status "Verifiziert" zurück. Es ist wichtig, dass Sie Ihre Konfigurationsrichtlinie testen, um derartige Fehlinformationen beim Compliance-Entscheidungsprozess zu vermeiden. Selbst der kleinste Fehler bei der Schreibung oder der Interpunktion kann die Richtlinieneinhaltungsprüfungen wertlos machen. Beachten Sie die folgenden Hinweise, um eine präzise SCV-Richtlinie zu erstellen: Beispiel für eine SCV-Richtlinie Viele Symantec VPN Sentry-Befehle haben einen Doppelpunkt im Namen. Diese Befehle müssen vollständig in Anführungszeichen eingeschlossen sein. Beispiel: "AP:SCANON" Wenn ein Befehl ein Gleichheitszeichen (=) enthält, entfernen Sie es und schließen Sie sämtliche Zeichen, die darauf folgen, in Klammern ein. Beispiel: LOG:LEVEL=EMERG wird zu "LOG:LEVEL (EMERG)" Hinter Befehlen, die kein Gleichheitszeichen (=) enthalten, muss (1) stehen. Beispiel: AP:ON wird zu "AP:ON" (1) Die Konstrukte begin_admin (admin)...end (admin) und begin_or (orx)...end (orx) werden von Symantec VPN Sentry nicht unterstützt. Wenn eines der beiden Konstrukte in der SCV-Richtlinie enthalten ist, gibt Symantec VPN Sentry den Status "SCV verifiziert" zurück. Die folgende Richtlinie enthält Compliance-Prüfungen in Bezug auf Symantec AntiVirus, Symantec Client Firewall und das Betriebssystem. Wenn einer dieser Prüfungen ergibt, dass die Richtlinie nicht eingehalten wird, können Sie die Richtlinie so konfigurieren, dass Symantec VPN Sentry das Problem automatisch behebt. In manchen Fällen ist eine Fehlerbehebung nicht möglich. Wenn beispielsweise eine Richtlinie erfordert, dass eine neuere Version des Antivirus-Clients als diejenige installiert ist, die gerade auf dem Computer läuft, kann Symantec VPN Sentry das Problem nicht beheben. Wenn ein Problem nicht sofort behoben werden kann, können Sie die Richtlinie so konfigurieren, dass der Netzwerkzugang des betreffenden Computers blockiert wird. (SCVObject

57 Symantec VPN Sentry zusammen mit Check Point verwenden SVC-Richtlinie definieren 57 :SCVNames ( : (SymScv :type (plugin) :parameters ( :USERMSG ("Ihre Sicherheitskonfiguration ist veraltet. Bitte rufen Sie den Helpdesk unter x9889 an.") :MODE (AUTOFIX_DENY) :"AP:ON" (1) :"AP:HEURISTICS" (2) :"AP:SCANON" (WRX) :"SAV:MIN_VERSION" ( ) :"SAV:MAX_VDEF_AGE" (30:10) :"SAV:LU_SINCE" (7) :"SAV:SCAN" (*.1825) :"MAIL:OUTLOOK" (1) :"MAIL:NOTES" (1) :"MAIL:INTERNET" (1) :"SCF:MIN_VERSION"(major.minor.svc rel.build) :"SCF:ENABLED" (1) :"WIN:SERVICE_PACK" (5,1,1,1) :"LOG:FLAGS" (TIPS) :"LOG:LEVEL" (EMERG) ) ) ) :SCVPolicy (

58 58 Symantec VPN Sentry zusammen mit Check Point verwenden SCV-Richtlinie auf den Check Point Policy Server kopieren : (SymScv) ) :SCVGlobalParams ( :block_connections_on_unverified (true) :scv_policy_timeout_hours (24) ) ) SCV-Richtlinie auf den Check Point Policy Server kopieren Sie müssen die Datei "Local.scv" manuell in ein bestimmtes Verzeichnis auf dem Check Point Policy Server kopieren. So installieren Sie die SCV-Richtlinie auf dem Check Point Policy Server 1 Kopieren Sie die Datei "Local.scv" in das folgende Verzeichnis: \WinNT\Fw1\Ng\conf 2 Installieren Sie die Datei "Local.svc" mithilfe der Check Point-Software. Weitere Informationen finden Sie in der Check Point-Dokumentation. Check Point SecureClient deaktivieren Bevor Sie Symantec VPN Sentry für Check Point installieren, müssen Sie den Check Point SecureClient deaktivieren, sofern dieser läuft. Anderenfalls funktioniert Symantec VPN Sentry nicht ordnungsgemäß. Es wird an den SCV-Richtlinien-Server melden, dass das System die Richtlinie einhält. Nachdem Symantec VPN Sentry erfolgreich installiert wurde, müssen Sie den Check Point SecureClient neu starten. So deaktivieren Sie den Check Point SecureClient Klicken Sie auf dem Client mit der rechten Maustaste auf das Symbol in der Task-Leiste und anschließend auf "Secure Client > VPN-1 SecureClient stoppen".

59 Kapitel 6 Symantec Posture Plug-in für Cisco Network Admission Control (NAC) 2.1 verwenden In diesem Kapitel werden folgende Themen behandelt: Allgemeines zum Symantec Posture Plug-in für Cisco Network Admission Control (NAC) Erforderlich Cisco Systems-Komponenten Funktionsweise von Symantec Posture Plug-in Erforderliche Aufgaben zur Installationsvorbereitung für Cisco NAC Sicherheitsattributrichtlinien vom Cisco Secure ACS-Server aus konfigurieren Allgemeines zu Cisco NAC-Clients und Fehlerbehebung Allgemeines zum Symantec Posture Plug-in für Cisco Network Admission Control (NAC) Das Symantec Posture Plug-in für Cisco Network Admission Control (NAC) wird in die Cisco NAC-Software integriert. Das Symantec Posture Plug-in übergibt Informationen zum Status von Symantec AntiVirus und Symantec Client Firewall an die Cisco NAC-Software, die anhand dieser Informationen den Zugriff eines Computers auf Ihr Netzwerk verweigert

60 60 Symantec Posture Plug-in für Cisco Network Admission Control (NAC) 2.1 verwenden Erforderlich Cisco Systems-Komponenten oder den Computer unter Quarantäne stellt, bis das Problem durch die Bereitstellung der erforderlichen Symantec-Software oder Einstellungen behoben wurde. Sobald der Computer die Sicherheitsrichtlinien erfüllt, gibt das Symantec Posture Plug-in diese Informationen an die Cisco NAC-Software weiter, der anschließend den Zugriff auf das Netzwerk gewährt. Erforderlich Cisco Systems-Komponenten Das Symantec Posture Plug-in für Cisco Network Admission Control (NAC) setzt voraus, dass bestimmte Cisco Systems-Komponenten in Ihrem Netzwerk installiert und funktionsbereit sind. In Tabelle 6-1 werden die Cisco Systems-Komponenten beschrieben, die vom Symantec Posture Plug-in für Cisco Network Admission Control (NAC) benötigt werden. Tabelle 6-1 Komponente Cisco Systems-Komponenten Beschreibung Cisco Secure Access Control Server (ACS) Server v3.3 (1.5) Cisco IOS Router-Software 12.3(8)T Cisco Trust Agent v1.0 (Build 49 oder höher) Erstellt und verwaltet die Sicherheitsrichtlinien, die festlegen, ob Clients auf das interne Netzwerk zugreifen dürfen. Der ACS-Server wird auch "Authentication, Authorization, Accounting Server" (AAA) genannt. Er muss unter Windows 2000 Server laufen. Leitet Client-Konfigurationseinstellungen an den Cisco ACS-Server weiter und verarbeitet Netzwerkzugangsrichtlinien, die festlegen, ob Clients auf das interne Netzwerk zugreifen dürfen. Diese Software muss auf den Netzwerkzugangsgeräten installiert sein. Dient als zentraler Kontaktpunkt auf dem Client, der Identifikationsdaten sammelt und an den Cisco ACS-Server sendet. Diese Software muss auf dem Client installiert sein und laufen. Abbildung 6-1 zeigt die Interaktion zwischen den Komponenten von Symantec und Cisco Systems.

61 Symantec Posture Plug-in für Cisco Network Admission Control (NAC) 2.1 verwenden Funktionsweise von Symantec Posture Plug-in 61 Abbildung 6-1 Symantec- und Cisco Systems-Komponenten Funktionsweise von Symantec Posture Plug-in Symantec Posture Plug-in für Cisco NAC verwendet folgendes Verfahren für die Clients, die zur Verwaltung der Compliance-Richtlinien nicht das Symantec Endpoint Compliance-Snap-In verwenden: Der Client, auf dem Symantec Posture Plug-in für Cisco NAC ausgeführt wird, befindet sich in einem lokalen Netzwerk (LAN), das mit einem Cisco-Router verbunden ist. Cisco Trust Agent kommuniziert über das Symantec Posture Plug-in für Cisco NAC und fordert von VPNSentry.exe den Symantec AntiVirus- und Symantec Client Firewall-Status an. VPNSentry.exe führt folgende Aktionen durch: Erfasst den Client-Validierungsstatus von Symantec AntiVirus und Symantec Client Firewall. Leitet den Client-Validierungsstatus an das Symantec Posture Plug-in für Cisco NAC weiter.

62 62 Symantec Posture Plug-in für Cisco Network Admission Control (NAC) 2.1 verwenden Erforderliche Aufgaben zur Installationsvorbereitung für Cisco NAC Das Symantec Posture Plug-in für Cisco NAC übergibt den Client-Validierungsstatus an Cisco Trust Agent. Cisco Trust Agent sendet den Client-Validierungsstatus an den Cisco IOS-Router. Der Cisco IOS-Router sendet den Client-Validierungsstatus an den Cisco Secure Access Control Server (ACS), der die Sicherheitsattributrichtlinie mit den Netzwerkzugangsregeln für den Client verwaltet. Der Cisco Secure ACS-Server vergleicht den Client-Validierungsstatus mit den Regeln in der Sicherheitsattributrichtlinie und legt die Netzwerkzugangsrichtlinie fest. Der Cisco Secure ACS-Server sendet diese Richtline an den Cisco IOS-Router. Der Cisco IOS-Router setzt die Netzwerkzugangsrichtlinie durch und gewährt oder verweigert Symantec AntiVirus und Symantec Client Firewall den Zugriff auf das Netzwerk. Hinweis: Die automatische Fehlerbehebung wird für das nicht verwaltete Symantec Posture Plug-in für Cisco NAC nicht unterstützt. Auf nicht verwalteten Symantec AntiVirus- und Symantec Client Security-Client-Computern, denen der Zugriff auf das Netzwerk verweigert wird, muss die Software so konfiguriert oder aktualisiert werdeb, dass sie die Cisco Netzwerkzugangsrichtlinie erfüllt. Sobald die Clients aktualisiert sind, können sie erneut versuchen, auf das Netzwerk zuzugreifen. Für Endpunkt-Clients, die vom Symantec System Center Endpoint Compliance-Snap-In verwaltet werden, kann die Fehlerbehebung automatisch durchgeführt werden. Erforderliche Aufgaben zur Installationsvorbereitung für Cisco NAC Sie müssen die folgenden Aufgaben abschließen, bevor Sie das Symantec Posture Plug-in für Cisco NAC installieren können: Testen Sie Ihre LAN-Umgebung, um sicherzustellen, dass sie ordnungsgemäß funktioniert. Stellen Sie sicher, dass die Kommunikation von Symantec AntiVirus bzw. Symantec Client Firewall zum Netzwerk über den Cisco-Router funktioniert. Prüfen Sie, ob Internet Explorer 5.5 mit Service Pack 2 oder höher auf jedem Computer installiert ist, auf dem Symantec AntiVirus und Symantec Client Firewall läuft.

63 Symantec Posture Plug-in für Cisco Network Admission Control (NAC) 2.1 verwenden Sicherheitsattributrichtlinien vom Cisco Secure ACS-Server aus konfigurieren 63 Verteilen Sie Cisco Trust Agent (sofern er nicht bereits installiert ist) auf jeden Computer, auf dem Symantec AntiVirus und Symantec Client Firewall laufen: Konfigurieren Sie den Cisco-Router so, dass er mit dem Cisco Secure ACS-Server für die Cisco NAC-Lösung zusammenarbeitet. Konfigurieren Sie die Sicherheitsattributrichtlinie des Cisco Secure ACS-Servers so, dass sie die spezifischen Antivirus- und Firewall-Prüfungen enthält. Weitere Informationen finden Sie in der Dokumentation des Cisco Secure ACS-Servers. Sicherheitsattributrichtlinien vom Cisco Secure ACS-Server aus konfigurieren Sie definieren die Compliance-Richtlinie durch Aktivierung der Virenschutz- und Firewall-spezifischen Sicherheitsrichtlinien von Symantec (Richtlinie zur Validierung von Identifikationsdaten) auf dem Cisco Secure ACS-Server. Cisco Systems pflegt die Liste der verfügbaren Virenschutz- und Firewall-spezifischen Sicherheitsrichtlinien. Weitere Informationen zur Konfiguration der Sicherheitsattributrichtlinie finden Sie in der Dokumentation zum Cisco Secure ACS-Server. Hinweis: Möglicherweise stehen weitere Virenschutz- und Firewall-spezifische Sicherheitsrichtlinien von Symantec zur Verfügung, die nicht in der neuesten Version des Cisco Secure ACS-Servers enthalten sind. Weitere Informationen hierzu finden Sie in der Readme-Datei. Allgemeines zu Cisco NAC-Clients und Fehlerbehebung Bei Endpunkten, die ihre Sicherheitsrichtlinien vom Cisco Secure ACS-Server erhalten, kann keine Fehlerbehebung durchgeführt werden, wenn eine Richtlinieneinhaltungsprüfung fehlschlägt. Sie müssen Sicherheitsrichtlinien mit dem Symantec Endpoint Compliance-Snap-In konfigurieren, wenn bei den Clients bei einem Fehlschlag der Richtlinieneinhaltungsrüfung eine Fehlerbehebung durchgeführt werden soll. Sie können dem Symantec System Center Identifikationsdaten zur Verfügung stellen, die der Cisco ACS-Server als vertrauenswürdige Quelle zur Ermittlung des Richtlinieneinhaltungsstatus eines verwalteten Clients ansieht.

64 64 Symantec Posture Plug-in für Cisco Network Admission Control (NAC) 2.1 verwenden Allgemeines zu Cisco NAC-Clients und Fehlerbehebung Weitere Informationen finden Sie in der Dokumentation des Cisco Secure ACS-Servers. Richtlinien zur Validierung von Identifikationsdaten im Cisco Secure ACS-Server konfigurieren Um Ihre Endpunkte mit dem Symantec Endpoint Compliance-Snap-In verwalten zu können, müssen Sie eine Richtlinie zur Validierung von Identifikationsdaten im Cisco Secure ACS-Server konfigurieren. So konfigurieren Sie eine Richtlinie zur Validierung von Identifikationsdaten im Cisco ACS-Server 1 Klicken Sie im linken Teilfenster des Cisco Secure ACS-Fensters auf "External Database". 2 Klicken Sie unter "Credential Validation Policies" auf "Local Policies". 3 Klicken Sie im Fenster "Select Local Policies" auf "New Local Policy". 4 Geben Sie im Fenster "Local Policy Configuration" im Feld "Name" SSCverwaltet ein (oder einen anderen Namen), geben Sie eine Beschreibung ein und klicken Sie anschließend auf "New Rule". 5 Geben Sie im Fenster "Rule Configuration" die Bedingungen zum Bestehen der Attributprüfung wie folgt ein: Klicken Sie neben "Attribute" auf "System Status". Klicken Sie neben "Operator" auf =. Geben Sie neben "Wert" 1 ein. Klicken Sie auf "Enter" und anschließend auf "Submit". 6 Klicken Sie im Fenster "Local Policy Configuration" auf "New Rule". 7 Geben Sie im Fenster "Rule Configuration" die Bedingungen zum Fehlschlagen der Attributprüfung wie folgt ein: Klicken Sie neben "Attribute" auf "System Status". Klicken Sie neben "Operator" auf =. Geben Sie neben "Wert" 0 ein. Klicken Sie auf "Enter" und anschließend auf "Submit". 8 Wählen Sie im Fenster "Local Policy Configuration" unter "Configurable Rules" in der Regelgruppe "System Status=1" unter "Token" die Option "Healthy".

65 Symantec Posture Plug-in für Cisco Network Admission Control (NAC) 2.1 verwenden Allgemeines zu Cisco NAC-Clients und Fehlerbehebung 65 9 Wählen Sie unter "Configurable Rules" in der Regelgruppe "System Status=0" unter "Token" die Option "Quarantine" und klicken Sie anschließend auf "Submit". 10 Klicken Sie auf "Save Configuration", um die neue Richtlinie zur Validierung von Identifikationsdaten zu speichern.

66 66 Symantec Posture Plug-in für Cisco Network Admission Control (NAC) 2.1 verwenden Allgemeines zu Cisco NAC-Clients und Fehlerbehebung

67 Kapitel 7 Symantec VPN Sentry für Nortel Networks 2.0 verwenden In diesem Kapitel werden folgende Themen behandelt: Allgemeines zu Symantec VPN Sentry für Nortel Networks Erforderlich Nortel Networks-Komponenten Funktionsweise von Symantec VPN Sentry Erforderliche Aufgaben zur Installationsvorbereitung für Nortel Contivity Richtlinienbefehle zur Nortel-Sicherheitsrichtlinie hinzufügen Wo die Sicherheitsrichtlinie gespeichert wird Symantec VPN Sentry für Nortel Networks verteilen und installieren Allgemeines zu Symantec VPN Sentry für Nortel Networks Symantec VPN Sentry für Nortel Networks wird in Nortel Networks VPN Tunnel Guard integriert. Symantec VPN Sentry übergibt Informationen zum Status von Symantec AntiVirus, Symantec Client Firewall und dem Betriebssystem an das Nortel-VPN, das anhand dieser Informationen den Zugriff eines Computers auf Ihr Netzwerk verweigert oder den Computer unter Quarantäne stellt, bis das Problem durch die Bereitstellung der erforderlichen Symantec-Software oder Einstellungen behoben

68 68 Symantec VPN Sentry für Nortel Networks 2.0 verwenden Erforderlich Nortel Networks-Komponenten wurde. Sobald der Computer die Sicherheitsrichtlinien erfüllt, gibt Symantec VPN Sentry diese Informationen an das Nortel-VPN weiter, das anschließend den Zugriff auf das Netzwerk gewährt. Erforderlich Nortel Networks-Komponenten Symantec VPN-Sentry für Nortel Networks setzt voraus, dass bestimmte Nortel Networks-Komponenten in Ihrem Netzwerk installiert und funktionsbereit sind. In Tabelle 7-1 werden die Nortel Networks-Komponenten beschrieben, die von Symantec VPN-Sentry für Nortel Networks benötigt werden. Tabelle 7-1 Komponente Nortel Networks-Komponenten Beschreibung Nortel Contivity Secure IP Services Gateway V04_ Nortel Networks VPN Tunnel Guard 1.1 Nortel Contivity VPN Client 4.61 oder höher VPN-Server-Software auf dem Nortel Networks-Gerät. Client-Software, die eine Netzwerkverbindung gewährt oder verweigert, basierend auf Richtlinieneinhaltungsinformationen, die von Symantec VPN Sentry bereitgestellt wird. Client-Software, die eine Verbindung zum internen Netzwerk initiiert. Hinweis: Wenn Probleme beim Ausführen des Nortel Contivity VPN-Clients als Dienst auftreten, versuchen Sie, den Client als Anwendung zu installieren und auszuführen. Weitere Informationen zum Ausführen des Clients als Dienst finden Sie in der Dokumentation zu Nortel Contivity. Abbildung 7-1 zeigt die Komponenten von Symantec und Nortel Networks.

69 Symantec VPN Sentry für Nortel Networks 2.0 verwenden Funktionsweise von Symantec VPN Sentry 69 Abbildung 7-1 Symantec- und Nortel Networks-Komponenten SWITCH Nortel VPN-Server-Software CLIENT Nortel Contivity VPN-Client Nortel Networks VPN Tunnel Guard "Symantec VPN Sentry für Nortel Networks"-Adapter VPNSentry.exe SymSentryconfig.xml (verweist auf Nortel.xml) Nortel.xml (Richtliniendatei)* * Die Richtliniendatei kann sich auch auf auf einem Web-Server, einem FTP-Server oder einer Netzwerkfreigabe befinden. Symantec AntiVirus- oder Symantec Client Security-Client Funktionsweise von Symantec VPN Sentry Symantec VPN Sentry für Nortel Networks verwendet folgendes Verfahren für die Clients, die zur Verwaltung der Compliance-Richtlinien nicht das Symantec Endpoint Compliance-Snap-In verwenden: Der VPN-Client, auf dem Symantec Client Security oder Symantec AntiVirus läuft, kontaktiert den Server im Unternehmensnetzwerk. Die Netzwerk-ID und das Kennwort des Benutzers werden authentifiziert. Nortel Networks VPN Tunnel Guard fordert den Status der Richtlinieneinhaltung vom "Symantec VPN Sentry für Nortel Networks"-Adapter an. Der "Symantec VPN Sentry für Nortel Networks"-Adapter führt folgende Aktionen durch: Er sucht in der Datei "SymSentryconfig.xml" nach der Nortel-Richtliniendatei "Nortel.xml". Er liest die Befehle in der Datei "Nortel.xml" und übergibt sie an SymSentry. SymSentry führt die folgenden Aktionen durch: