3. Parti Yazılımlar

Trend Micro Client/Server Messaging Security for SMB Bölüm 2

Bir önceki makalemde sizlere Trend Micro Client/Server Messaging Security for SMB in kurulumunu ve agentların dağıtımını anlatmaya çalıştım. Bu makalemde Dashboard u anlatmaya çalışacağım. Trend Micro varsayılan virus ayarların değiştirmenizi önermez. Makalenin içeriğinde, yönetim özelliklerine değinmeye çalışacağım.  Kurulumu tamamladıktan sonra tavsiyem en güncel Security Patch i yüklemenizdir. Aşağıdaki Linkten en güncel patch leri bulabilirsiniz.

http://www.trendmicro.com/download/product.asp?productid=39

Bu patchler, güvenlik açıklarını kapatır ve optimizasyonu sağlar. Eğer yüksek işlemci kullanımı ile problem yaşıyorsanız, patch i kurduktan sonra probleminiz kalmayacaktır.

clip_image001

         Resim-1 –

https://ip:4343/SMB/  yazarak konsolumuza ulaşıyoruz ve şifremizi girerek logon oluyoruz.

clip_image002

         Resim-2 –

 

Logon olduğumuzda karşımıza Live Status penceresi çıkacaktır. Burada sistemimizin genel durumu hakkında bilgilendirmeleri buluruz.

 

clip_image003

         Resim-3 –

 

Şimdi sırayla inceleyelim. Outbreak Defense, Güvenlik açıklarını belirtir. Yani Microsoft a ait güncellemelerdir. Ne tür patchler gerekli ve hangi tehditler altında kalacağımızı buradan görürüz. Makine adının üzerine tıkladığımızda daha detaylı rapor alabiliriz.

clip_image004

         Resim-4 –

 

Patch Exploited altında güvenlik açığı için bir id verilmiş biz buraya tıklarsak http://www.microsoft.com/technet/ sitesine yönlendiriliriz ve böylece güvenlik güncellemesi hakkında daha detaylı bilgi alırız. Treat name de ise bize hangi tehditler altında olduğumuzu belirtir. Tehdit in üzerine tıkladığımızda ise TM in sitesine yönlendiriliriz ve tehdit hakkında detaylı bir bilgi almış oluruz. Güncellemeler çok önemlidir. Son güvenlik güncellemeleri yüklenmiş olsaydı burada hata almazdık.  Düzenli olarak güncellemelerin yapılması ve kontrolünü sağlamalıyız. Güncellemelerin merkezi olarak dağıtımı ve kontrolü için sitemizde de makalesi olan Wsus Server ı kullanabiliriz.

clip_image005

         Resim-5 –

 

Antivirus ise kullanıcılarda bulunan virüs ü raporlar. Bazı durumlarda anti-virus yazılımları otomatik olarak virüsleri temizleyemez bunun sebebi startup ta çalışması veya sistem kaynaklarını kullanması olabilir. Sistemde virus bulunduğunda, kurulumda belirttiğimiz mail adresine bilgi düşer ve bize durum raporu verir eğer temizlenemedi ise manuel olarak  virüsun konum bilgisinden faydalanarak temizleyebiliriz.

clip_image006

         Resim-6 –

 

Anti-Spyware, bize makinelerde bulunan spyware dosyalarının raporunu verir.  Detaylı bir rapor için tıklatıyoruz.

clip_image007

         Resim-7-

Raporumuzda Schedule Scan sırasında bulunduğunu ve temizlendiğini söylüyor. Eğer Spyware olarak hariç tutulması istediğiniz bir program varsa (Sniffer gibi) Add to Group Approved List e eklemelisiniz.

clip_image008

         Resim-8 –

Msn Chat Sniffer  Monitor yazılımın otomatik olarak kaldırdığını belirtiyor.

clip_image009

         Resim-9 –

 

 

Anti-Spam, Exchange server a düşen spam raporunu verir. Kurulumda Spam Detection rate: Medium olarak gelir.Exchange server ile ilgili ayarları bir sonraki makalemde yazacağım.

clip_image010

         Resim-10 –

 

Product License, Lisans durumumuzu gösterir. Yeni aldığımız lisans kodunu Enter  New Code Linkinden yenileyebiliriz.

clip_image011

         Resim-11 –

 

Updates, Agent ların updateleri belirtir. Eğer update edilmeyen client varsa manuel olarak update leri dağıtabiliriz. 

System, Disk Boşluğu ile ilgili uyarıları verir. Eğer diskimizde update ve log ların oluşturduğu alan disk kapasitemizde yeterli değilse burada hata alırız.

 

clip_image012

         Resim-12 –

Security Settings bizim en çok kullanacağımız bölümdür. Bizim yönetim konsolumuzdur. Makineleri yönetir ve kurallar oluştururuz.  Yeni bir konteyner açmak için Add Group seçeniğini kullanırız. 

clip_image013

         Resim-13 –

 

Add ise agentları dağıtmamıza yarar. Bir önceki bölümde detaylı incelemiştik.  Konteynırı seçtiğimizde Remove, Replicate Settings ve Configure ikonları aktif olur.

clip_image014

         Resim-14 –

 

Replicate setting, Source (Kaynak) üzerindeki tüm ayarların Target (Hedef) konteynerinde olan makinelere aktarılmasını yani replike olmasını sağlar.

 

clip_image015

         Resim-15 –

 

Remove Client kullanarak  makineleri konsol üzerinden kaldırırabiliriz (Remove the Selected inactive agents) ve Agent ların uninstall (Uninstall the selected Agents) edilmesini sağlayabiliriz. TM varsayılan ayarlarında, aktif olmayan Clientları 30 gün sonra otomatik olarak kaldırılır. Bu süreyi (Preferences > Global Settings – System dan “Automatically remove a Client/Server Security Agent if inactive for 30 days ”) değiştirebilirsiniz.

clip_image016

         Resim-16 –

 

Konteynera girip Configure diyoruz.

Antivirus/Anti-spyware, TM real time scan yapar. Isterseniz kapatabilirsiniz. Önerilmez. Makalenin başında da belirttiğim gibi TM varsayılan virus ayarlarını değiştirmesini önermez.

 

 

clip_image017

         Resim-17 –

 

 

Exclusions bize virus veya spyware olarak taranmasını istemediğimiz klasör, dosya veya uzantıları tanımlamamızı sağlar. 1. Kısımda taranmasını istemediğimiz klasörü seçtirir. 2. Kısımda dosyayı belirleriz ve 3. Kısım ise uzantı belirlememizi sağlar.

clip_image018

         Resim-18 –

 

 

 

Advanced Settings, kısmında dilerseniz network üzerindeki paylaşımda olan dosyaları taratabilirsiniz. veya kapanışta floppy sürücünüzün de taranmasını sağlayabilirsiniz.

clip_image019

         Resim-19 –

 

 

TM firewall ile port bazlı kısıtlamaz yaparız. Örneğin kullanıcı http den çıkmasın yada sadece https ten çıksın veya RDP yapamasın gibi.  TM Firewall varsayılanda kapalıdır. Enable firewall diyoruz ve Advanced mode u seçiyoruz.  İlk yapılandırmada tüm portlar allow mode dadır yani herhangi bir bloklama yoktur.  Biz bunları editliyerek deny kuralı oluşturabilirz.

clip_image020

         Resim-20 –

 

İlk önce mevcut bir kuralı editliyelim. HTTP kuralını editliyoruz. Action kısmında Deny network traffic olarak değiştiriyoruz. Kuralı Inbound ve Outbound seçeneklerini aynı bırakıyoruz. HTTP, TCP protokolünü aynı bırakıyoruz.  80 nolu port bloklanacak değişiklik yapmıyoruz. Kuralı makine bazlı da yazabiliriz, Ben Tüm konteyner için yazıyorum. All Ip adresses ta bırakıp save diyerek çıkıyorum.

clip_image021

         Resim-21 –

 

 

Yazdığımız kural deny olarak değişti. Oluşturduğunuz kuralın baskın olmasını isterseniz. Move Up diyerek yukarı çekeriz ve böylece baskınlık kazanmasını sağlarız. Enable Alert Message açmanızı tavsiye etmem, kullanıcı tarafına bir alert message çıkmasını sağlar.  Ben test amaçlı açıyorum. Intrusion Detection System (IDS), network ten client a saldırının nereden geldiğini tespit etmemizi, ve saldırının bloklanması sağlar. Firewall lar tarafından yaygın olan bir teknolojidir.

 

clip_image022

         Resim-22 –

 

Client tarafından 80 nolu portun bloklandığını görüyoruz.

clip_image023

         Resim-23 –

 

Msn bloklanması için bir kural oluşturalım. Add diyoruz.  Kuralımıza bir isim veriyoruz. Deny kuralı olacak. Inbound ve Outbound u seçiyoruz. Protocol type olarak TCP/UDP seçiyoruz. Msn in login portu olan 1863 kapatıyoruz. (Range kısmında port aralığını belirterek kısıtlama yapabiliriz. ) Makine bazlı bir policy olacak. Single IP den engellemeyi yapacağız makinenin ipsini yazıyoruz ve save ederek çıkıyoruz.

clip_image024

         Resim-24 –

 

Kullanıcı Msn e log olmaya çalıştığımızda işlem gerçekleşmiyor ve bloklanıyor. 

Bu tarz bloklama işlemlerini Gateway tarafında yapmanız daha sağlıklı olacaktır. Alert Message da da görüldüğü gibi, Msn ilk önce 1863 portunu deniyor daha sonra 80 nolu porttan logon olmaya çalışıyor. 

clip_image025

         Resim-25 –

 

 

Privileges, Kullanıcılara yetkiler vermemizi sağlar. Kullanıcıya,  manuel scan yetkisi,  scan in durdurmasını, firewall u kapatması sağlayabilirsiniz. Enable Roaming Mode ise, Mobil kullanıcılar için düşünülmüş bir opsiyondur. Enable Roaming Mode diyoruz. Roaming Mode da çalışan bir kullanıcı artık LAN de bulanan TM server üzerinden update leri almaz. Bundan sonra updateleri TM ActiveUpdate server dan alacaktır.

 

clip_image026

         Resim-26 –

 

Kullanıcılarında agent üzerinden Enable etmesi gerekir. Bunun için Roaming Mode çalışacak kullanıcıları bilgilendirmelisiniz. Client Tarafında Roaming mode u etkinleştiriyoruz.

 

clip_image027

         Resim-27 –

 

Etkinleştirdikten sonra ikonunuz değişecektir.

clip_image028

         Resim-28 –

 

ve konsol üzerinden Roaming olarak görünecektir.  Şirket içinde Roaming Mode da çalışan  kullanıcılara policy yazamazsınız bunun sebebi bu kullanıcılar artık LAN de bulunan TM server la ilişkisi kalmamıştır. Roaming Mode aktif etmeden yazılan policy ler geçerlidir. Örneğin kullanıcılar için Msn i kapattınız. Daha sonra kullanıcı  Roaming Mode a geçti. O makineden artık Msn i kullanamaz.

 

 

clip_image029

         Resim-29 –

 

Disable Roaming Mode geçtiğiniz zaman. Client, “ben artık iç network deyim deyip”  server ile iletişime geçer ve senkronize olur. 

clip_image030

         Resim-30 –

 

Scans – Manuel Scan menusunden, Manul Scan  işlemini başlatabilirsiniz. Eğer tek bir makinenin scan edilmesi isteniliyorsa bir grup açıp, o kullanıcıyı üye ettikten sonra tarama işlemini başlatabilirsiniz.

 

 

clip_image031

         Resim-31 –

 

Haftalık  veya belli aralıklarda tarama işlemini programlayabiliriz.

clip_image032

         Resim-32 –

 

Belirli aralıklarda rapor oluşturmasını sağlayabiliriz.

 

clip_image033

         Resim-33 –

 

Add i seçerek aylık bir rapor oluşturacağız. Raporun hangi sıklıkta alınacağını ve içeriğini seçiyoruz ve daha sonra hangi mail adresimizi yazıp raporun formatını seçtikten sonra add diyoruz.

 

 

clip_image034

         Resim-34 –

 

Raporumuz başarılı bir şekilde oluştu. Rapor her ayın 01’ inde saat 00:10 da mail adresimize düşecektir.

clip_image035

         Resim-35 –

 

 

TM logları 30 gün boyunca saklar. Her 30 günün sonunda bakım işlemi yapılır ve 30 günden eski olan loglar otomatik olarak silinir. Mevcut logları Manuel Log Detection dan silebilirsiniz.

clip_image036

         Resim-36 –

 

Preferences – Notifications, belirttiğimiz mail adresine düşen tüm bilgilendirme maillerinin içeriğini görebilir, değiştirebilir ve gelmemesini istediğimiz bilgilendirme maillerini burdan kaldırabiliriz.

 

clip_image037

         Resim-37 –

 

Ve Event Loglara düşmesini de sağlayabiliriz.

Client/Server tarafında herhangi bir problem yaşarsanız. TM sizden debugging yapmanızı isteyecektir. Bunun için Case Diognostic Tool u kullanırız. Bu tool ile oluşturduğunuz dosyayı TM gönderirsiniz ve size hatanın çözümünü sunar.  Ayrıca yararlı bir tool olan Rootkitbuster, bir rootkit tarama aracıdır. Bu tool iler gizlenmiş dosyaları, registry kayıtlarını, sürücüleri ve prosesleri tarar ve temizlemesine yardımcı olur. Bu toolları aşağıdaki linkten indirebilirsiniz. Case Diognostic Tool kullanımı ile ilgili makalesi linkte mevcut.

http://www.trendmicro.com/download

Konsol üzerinde clientler offline gözüküyor  ise aşağıdaki linkte olan troubleshoot tan faydalanabilirsiniz.

http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034943&id=EN-1034943

Bu makalemde Trend Micro nun  Dashboard üzerinden clientların yönetimi ve ayarlarını anlatmaya çalıştım. Bir sonraki makalemde Exchange Server üzerinde Content Filtering (İçerik Filtreleme), Attachment Blocking , Anti-Virus ve Anti-Spam Özelliklerini anlatmaya çalışacağım. Bir sonraki makalemde görüşmek üzere.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu