Bu makalede, Symantec Endpoint Protection Manager kurulumu sonrası, yönetim ekranında görülen kısımların ve bunların ne işe yaradıklarının kısa kısa anlatımı ve ufak ipuçlarıda ekleyerek, sistem hakkında aklımızda daha net biryapı oluşmasını sağlayacağız.
Genel operasyonal bilginin, SEP yazılımını, bir müddet kullandıktan sonra kazanılabileceğini fakat uzman seviyesinde yönetim kabiliyetinin gelişmesi için ayarlar üzerinde bolca test yapılması gerektiğini söyleyebilirim.
Şimdi kısaca ana menülere ve nasıl işlediklerine göz atalım;
HOME ekranı: Bu kısım genel olarak sistem hakkında bilgi sahibi olunabilecek ve ilk müdahalelerin yapılacağı alandır. Tüm clientlar SEP Server ile iletişim halinde oldugundan problem yaşayanlar yada farklı bir uyarıya sebebiyet verenler anlık olarak (bu ayar değiştirilebilir) bu ekranda gösterilir ve müdahale edilebilir.
Ekranın üst kısmında bulunan Preferences kısmından alınacak olan uyarıların hangi kriterlere göre gösterileceği düzenlenebilir. Örnek olması açısından, "Preferences/Security Status" kısmında bulunan yüzdelik alanları düşük tutmanız sistem geneline hakimiyet açısından önemlidir.Auto-Protect durumları veya Network Threat Protection durumları off durumda olan bilgisayarların veya Host Integrity durumları başarısız olan bilgisayarların özetlerinin gösterilme oranları buradan belirlenir.Varsayılan ola rak yüzde 10 olan değeri yüzde 1 yaparsanız tüm problem yaşayan bilgisayarları görebilirsiniz.Aksi taktirde yüzde 10 değerine ulaşana kadar sorunlu bilgisayarlar gösterilmez.
Alttaki Status Summary kısmından ayarları off duruma geçmiş olan pc leri direk görebilir ve müdahale edebilirsiniz. Server ve client arası iletişimin dakika cinsinden değerine göre bu kısım güncellenecektir. Bu ekranda bulunan ve öncelikli takip edilmesi gereken bir kısımda Security Response verileridir. Genel anlamda network aktivitelerinin tümünün ortalama olarak değeri 1-2-3 ve 4 olarak derecelendirilerek, genel durum hakkında bilgi verilir.
Seviye 1: Genel durumun sağlıklı ve zararlı kod aktivitelerinin görülmediği anlamına gelir.
Seviye 2: Networkte az da olsa zararlı aktivitelerin tespit edilmesive artış göstermesi sonrası ulaşılan seviyedir. Güvenlik güncelleştirmeleri ve monitoring işlemleri kontrol edilmelidir.
Seviye 3: Network üzerinde algılanan saldırı, virüs, trojan tarzı zararlıların yüksek seviyede algılandığı zaman ulaşılan seviyedir.Güvenlik alt yapısı, alınan tedbirler gözden geçirilmeli ve monitoring işlemi göz ardı edilmemelidir.SEP imza güncellemeleri ve diğer programların güncellemeleri yapılmalıdır.
Seviye 4: Standart network aktivitelerinin kesintiye uğradığı, birden çok kaynaktan uyarı alındığı ve aksamaların kaçınılmaz olduğu zaman ulaşılan seviyedir.
MONITORS ekranı: Bu menü üzerinde dört ayrı alt alan vardır.
– Sumamry: Summary type kısmından seçtiğimiz seçeneklere göre sistem yapımızda oluşturulan kullanıcılar/ gruplar / IP adresleri yada dış networkten gelen her türlü tehdit için grafiksel özetlerin görülebileceği alandır. Son 24 saatlik özeti gösterir ve üzerlerine tıklanarak detaylı bilgi alınabilir.
— Logs: Clientlar üzerinde yüklü olan tüm modüllere yada server üzerinde çalışan sistemlere göre ayrı ayrı içerik kayıtları alınabilir. Altta iki ayrı log kaydını görebilirsiniz;
Command status: Policy yoluyla yada bir bilgisayara / gruba yönelik olarak uygulatılan süreçler ile ilgili bilgi verir. Clienta ait son güncelleme verisi, IP adresi, username gibi bilgiler ekranda görüntülenir.
Notifications: Clientlar, sunucu ve sitelar ile ilgili tüm logların filtrelenerek görüntülenmesini sağlar. Örneğin son bir yıla air client security uyarılarını listeleyebilir veya belirlediğiniz zaman aralığı için anti virüs db si eski olan istemcileri listeleyebilirsiniz. Bu kısımda Notification Conditions bölümüyle ayarları daha efektif kullanma şansına sahipsiniz. Notification tipleri için birer girdi bu kısımdan oluşturarak sorgu yapılırken istenilen şekilde sonuç alınabilir. Eğer oluşturulmazsa belirlenen tarihler içerisindeki tüm olaylar listelenirki buda karmaşık bir sonuç ekrana getirir. Notification Conditions kısmına girerek Add kısmından uyarıları görüntülemek istediğiniz koşulları tanımlamalısınız.
Reports ekranı:
Quick Reports: Sistem ile beraber çalışan tüm modüller hakkında detaylı rapor alabileceğiniz kısımdır. İstenilen anda veya zamanlanmış görev olarak belirli zaman aralıklarında rapor alabilme şansımız vardır.
Seçilen rapor tipine göre alt başlıklar açılarak detaylı bir görüntü elde edilebilir. Örneğin bir bilgisayar grubunda, tek bir bilgisayarda yada tüm managed client denilen SEP client uygulamasını yüklemiş bilgisayarlarda, en son policynin alınıp alınmadıgı, AV güncellemelerini yapamamış clientların hangileri olduğu, SEP client yazılımları farklı olan yada IPS güncellemesi eskimiş olan clientları, kullanıcı, OS sürüm tipine göre saldırıları görüntüleyebilirsiniz. Advanced Settings kısmı ile port, inbound/outbound, protocol veya gelen trafiğin kaynağı ile ilgili daha gelişmiş ve detaylı raporlar hazırlamanız mümkün.
Ekran görüntüsünde XP kullanıcılarının son 24 saat içerisinde TCP portlarına yönelik port taramasının rapor hazırlığı gösterilmiştir.
Raporlamada alt başlık çok oldugundan öncelikle rapor tiplerini ve bu tip rapora ait seçeneklerin neler oldugunu incelemenizi öneririm. Raporlamayı, sistemin sağlıklı çalışmasının sağlanması, güvenliğin en üst seviyede tutulması ve yönetimsel gereklerin tam olarak sağlanması açısından en gerekli sistem menüsü olarak nitelendirebiliriz.Böylelikle ileriki dönem için alt yapı harcamaları, güvenliğin sağlanıp sağlanamadıgı, network üzerinde korunan istemcilerin konumlandırılması gibi konularda net fikirler elde edilebilir.
- Scheduled Reports : Belirli zaman aralıkları için alınacak raporların yapılandırması yapılır.Öncelikle administrator için bir mail tanımlı olmalıdır.Sonuçlar istenen tarih aralığında email yoluyla gönderileceğinden bu ayar zorunludur.Bu kısımda rapor oluşturmak için öncelikle bir mail server tanımlanmalıdır.Mail yoluyla iletişim kurulacağı için zounludur.Bu ayarı yapmak için Admin > Servers > Sunucunuzu seçin > Edit Server Properties kısmına girip gerekli tanımlamalar yapılmalıdır.
POLICIES ekranı : Network dahilinde uygulanacak olan politikaların içeriklerinin düzenlendiği kısımdır.Default kurulum sonrası SEP üzerinde hazır bulunan ve çalışşır durumda bazı politikalar ve gerektiği zamanda kullanılması için bekletilen farklı özellikte politikalar bulunur.Politikalar şu başlıklardan oluşur ; – Antivirus and Antispyware – Firewall – Intrusion Prevention – Application and Device Control – Host Integrity – Live Update – Centralized Exceptions Politikaların oluşturulması sonrası, Active Directory ortamında kullandığımız GPO linkleme işleminin hemen hemen aynısını kullanarak, istediğimiz grup için istediğimiz politikayı atayabiliriz.Win32 veya win64 sistemler, sunucular, test makinaları için gruplama yapılarak bu şekilde işleme tabi tutulabilirler.Genel olarak politika oluşturma adımları basittir.Fakat hangi checkbox’ın tam olarak ne işe yaradığını yada networkte nasıl bir etki vereceğini bilmek gerekir.Kurulum sonrası Program Files altında oluşan Help dosyası bu konuda hata yapmadan işlem yapmanıza yardımcı olabilir.Ayrıca Symantec forumlarındaki deneyimleride göz ardı etmemenizi özellikle öneririm.
Politikalar için önemli bir özellikte withdraw işlemidir.Eğer uyguladığınız bir politikanın istediğiniz sonucu vermediğini düşünüyorsanız veya istenmeyen problemlere yol açtığını tesbit ediyorsanız, withdraw işlemini kullanabilirsiniz.Bu işlem kullanılarak en son uyguladığınız politikayı geri alma ve eski politika ile devam edebilme şansına sahipsiniz.Sadece Antivirus / Antispyware ve LiveUpdate politikarlı üzerinde withdrawing işlemine izin verilmez.
Farklı sitelerin olduğu ortamlar için, oluşturulan politikaların kolayca export/import edilebilmesi kolaylık sağlayacaktır.
Bu bölümdeki ek bir özellikte Search for Applications kısmıdır. Daha önce bahsettiğimiz, bilgisayar tiplerine göre grup oluşturma işlemi neticesinde oluşan gruplar bazında, gruba dahil bilgisayarlarda çalışan uygulamaları ve bununla beraber pek çok alt bilgiyi tarama şansına sahibiz.Client/Computer bilgileri ve üzerlerinde çalışan uygulamalar ile ilgili olarak iki başlık altında tarama yaptırılabilir.Politikalar oluşturulduktan sonra ilgili gruplara politikaların atanması ve sonrasında buradan istenen sorgular çalıştırılarak kontroller sağlanabilir.Örneğin OS W2K3 olan bilgisayarlar listelenip üzerlerinde çalışan uygulamalara göz atılabilir.Yada Üzerlerinde çalışan uygulamaların versiyonları kontrol edilebilir.Loglardan bakılarak virüs yaydığı tespit edilen bilgisayar, buradan gerekli sorgular yaptırılarak üzerinde çalışan zararlı uygulamanın fingerprint‘i alınarak domain çapında yasaklanması sağlanabilir.
Client/Computer Information alanından sorgu yaparak aşağıdaki alanlarda sorgulama yapabilirsiniz ; BIOS version, A string, Computer Domain Name, Computer Name, IP Address, Memory, Operating System, Operating System Language, Processor Clock, Processor Number, Processor Type, Service Pack, String, TPM Device, Total Disk Space, User Domain Name, User Name.
Application Seçeneğinde ise sorgulama yapabileceğiniz kriterler şunlardır ; Application Description, Application Fingerprint, Application Name, Application Path, Application Size, Application Version, String, Last Modified Time.
Alttaki resimde, Domain Controllers grubuna ait bilgisayarlar üzerinde MD5 hash değeri f53597f07ad9425d64a1eccd440e7b54 olan uygulamayı arattırdım.Bu UltraSurf programının (versiyon 8.6) MD5 değeridir.Eğer bu grupta herhangi bir kullanıcı bu programı kullanarak HTTP ve HTTPS üzerinden politikaları aşarak dış networke erişim sağlıyorsa buradan rahatlıkla tespit edilecek ve daha sonra yasaklanabilecektir.
CLIENTS ekranı : Client kelimesinin içeriği, SEP manager konsolu için, domainde bulunan işletim sistemlerini kapsar.Domain Controllerlar, xp,vista,win7 gibi desktop OS ler, Exchange, IIS, SQL yada print server gibi hizmet veren yapıdaki OS ler, client kelimesininin kapsamasındadır.
Bu kısım, tüm bu sistemlerin gruplandırılmasında, yükleme paketlerinin oluşturulmasında, oluşturulan gruplar üzerinde toplu işlemler yapılmasında yada LDAP üzerinden getirilen bilgilerle DC ile bütünleşik işlemler yapılmasında yardımcı olacaktır.
Clients Menüsü içerisindeki bir kaç özelliğe göz atmak gerekirse ; Tasks başlığı altından, bilgisayarları bir grupta toplamak için oluşturabileceğimiz gruplama yöntemi için, Add Group seçeneği ilk sırada gelmekte.Bu işlem ile bilgisayarları gruplar altında toplamak yerine aynı işlemi LDAP sorgusu ile DC den getirtebilme ve oluşturdugumuz OU larda bulunan clientları bu ekranda gösterebilmekteyiz.
SEP Manager ile Active Directory üzerinden sorgular yapabilir ve bu sorgu sonuçlarını ekrana aktarabilirsiniz.Bulunduğumuz menü içerisinden, ADUC konsolunda bulunan Userlar, oluşturduğumuz OU lar ve diğer klasörler, bu ekranda listelenebilir.Eğer ADUC konsolu üzerinde bilgisayarları ve kullanıcıları grupladıysanız, SEP Manager üzerinden "Add User Account" ve "Add Computer Account" kısımlarını kullanmanıza pek gerek kalmıyor.Çünkü LDAP sorgusu ile doğruda AD veritabanından bilgiler çekilebiliyor.
Tasks altından "Import Organizational Unit or Container" seçeneğini seçerek ADUC altında oluşturduğumuz OU ları çekelim.
Gelen listeden hangi OU isteniliyorsa seçilip OK tıklanırsa SEP Manager üzerindeki clients listesine aktarılacaktır. Ben XP Bilgisayarlar OU sunu seçip ekledim. Böylelikle XP leri daha rahat yönetebilme şansım oldu.ileriki dönemlerde, ADUC altında bahsettiğimiz OU içerisine yeni client eklenmesi durumu için, eklediğimiz OU üzerine gelip "Sync Now" seçeneğini seçip AD database ile eşitlenmesinide sağlayabiliriz.Fakat SEP Manager üzerinden, ADUC altında oluşturulan bir OU ya kullanıcı yada bilgisayar hesabı ekleyemezsiniz.
SEP manager üzerinden, clientları yönetebildiğimiz gibi, kullanıcılar üzerindede işlem yapabilme şansına sahibiz.Tek tek kullanıcı oluşturmak yerine, ADUC üzerinde var olan kullanıcıları, "Import Active Directory or LDAP Users" seçeneğiyle SEP Manager üzerine çekebiliriz.Kullanıcı listesi getirildikten sonra, kullanıcılar için oluşturulan gruplara göre atamasını yapabiliriz.
Bu bölümde yapılabilecek diğer bir işlem ise "Run Command on Group" seçeneğidir.Tanımlı gruplar için toplu olarak virüs taraması, güvenlik güncelleştirmesi, restart gibi işlemler yaptırılabilir.
"Search Clients" seçeneğiylede, istenildiği taktirde, tek bir bilgisayar veya kullanıcı bulunup, bu nesne için işlem yaptırılabilir.Virüs taraması veya içerik güncellemesi gibi işlemler buna dahildir.Networkte sürekli sorun yaşayan bir client için yapılabilecek ilk müdahale alanlarından biridir.
"Find Unmanaged Computers" alanı ise, networke dahil fakat SEP client yazılımını kullanmayan nesnelerin bulunmasını sağlar.Nesneler bulunduktan sonra üzerlerine gelip client paketi rahatlıkla yüklenebilir.Listelenen sonuçlar kısmında "Unknown Computers" kısmı, networkteki modem, router gibi nesneleri gösterir.
Bu kısımda son olarak bilinmesi gereken şey, bilgisayar hesaplarının üzerine gelip bir kere tıklandığında sol menüde görünen "Enable as Unmanaged Detector" seçeneğidir.Networkteki tüm nesneleri tarayan SEP Manager, bulduklarını unmanaged Computers aramaları sırasında görüntüleyecektir.Bunun içerisine yazıcı, modem, router gibi client pakedi yüklenmeyecek nesnelerde dahildir.Bu tarz durumlar için, bu bilgisayarlar IP adres aralığı yada MAC adreslerine göre tanımlanarak SEP Manager tarafından listelenmemesi sağlanır.
Üstte bahsedilen ayarlamalar, Clients menüsü altında bulunan - Clients kısmı içindi.Yanında bulunan – Policies kısmı ise Ana menü üzerinde bulunan Policies başlığında tanımladığımız politikaları gösterir.Group Policy tarzı inheritance mantığıyla politikalar alt klasörlere etki ettiğinden, sayfada bulunan politika ayarları değiştirilemez.İnheritance kaldırılırsa değiştirilebilir.
Inheritance kaldırılırsa, politikaların bazılarının yanlarında "shared" yazdığı görülür.Bu, uygulanan politikanın genel bir politika olduğu ve networkun geneli için oluşturuldugunu gösterir.Sadece belirli bir gruba özgü politikalar ise "non-shared " olarak görünecektir.( Örneğin VPN / TS bağlantıları için bir gruba özel politika tanımlanması durumu )
Details kısmı, grup bazında içerik hakkında genel bilgi verir. Kaç user yada computer hesabı barındırdığı görüntülenebilir.
Install Packages kısmı, belirli bir grup için tanımlanmış ve atanmış olan client pakedini gösterir. upgrade edileceği zaman, burada düzenlenip hazır tutulmasını sağlar."Add Client Install Package" seçeneği seçilerek, client grubu için oluşturulmuş paketler assign edilir.Yine oluşturulmuş paketler için, ilgili gruplara, upgrade ayarlamaları yapılır.
Büyük networkler için Upgrade Schedule kısmı geniş tutularak networke yük bindirmemesi sağlanabilir.
ADMIN ekranı: Dört alt başlığa sahiptir.
Administrators: SEP Manager için, yönetimsel yetkilerin tanımlandığı alandır. Yeni yönetici oluşturma, şifresini değiştirme gibi işlemler yapılabilir. Bunların yanında, başarısız logon girişim sınırlaması, giriş yapan kullanıcı için kimlik denetim yöntemleri düzenlenebilir.
SEP üzerinden kimlik denetlenebildiği gibi, var olan directory yapısı üzerindende denetim sağlanabilir. Burada oluşturulan kullanıcı, domainde yetkili bir kullanıcı hesabı ile eşlenerek logon olması sağlanabilir.
Domain: Birden fazla site üzerinde çalışılan durumda, diğer domainler, bu kısımdan eklenerek yönetimsel anlamda yetki paylaştırılabilir. Bu kısımdan eklenen domain üzerinde bulunan SEP Managerın dataları, diğer domainlerdeki SEP Managerlar üzerinden görüntülenemez. Her admin kendi datasını görüntüleyebilir.
Servers: Bu alanda görülen "localhost" üzerinden, yapılandırma ayarlarımızın, database dahil yedeklenmesini ve bunu otomatik olarak ayarlanmasını sağlayabiliriz. Bu bahsettiğim "Backup Site Now" seçeneği, sadece Embedded database kullananlar için geçerlidir.
Yedek sonrası logları kontrol edip sorun olup olmadıgınada göz atmalısınız.
*****************************************************26 Ekim 2009 Pazartesi 04:04:43 EET: One Time Backup finished successfully at 26.10.2009 04:04. The backup file resides at the following location of the server belfast: C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup\2009-Eki-26_04-00-11-AM.zip. [Site: My Site] [Server: belfast] ******************************************************
MS SQL database kullananlar ise bu makalelere göz atmalılar;
http://seer.entsupport.symantec.com/docs/330884.htm
http://seer.entsupport.symantec.com/docs/330883.htm
Bu kısımdan ayrıca, download edilmiş güncelleme paketlerinin neler olduguna bakabilir, manual olarak tüm site için güncellemeyi tetikleyebilirsiniz.
Install Packages: Networkteki clientlara yüklenecek olan paketlerin düzenlendiği alandır. Oluşturulurken gerekli tüm ayarlamalar yine bu kısımdan tanımlanır. Paket içerisine nelerin dâhil olacağı, kurulumun nasıl işletileceği, restart gerekliliği gibi birçok ayarı barındırır. Bu kısımdan, mevcut yüklenmiş client paketlerinin upgrade işlemleride toplu olarak yapılabilir. Hangi paketlerin hangi gruplara yüklendiğide ayrıca görülebilir.
Daha önce oluşturulmuş bir paket var ise, bu paket export edilerek istenilen bir bilgisayara yönetici tarafından manual olarakta kurulabilir.
Paket oluşturmak ve deploy işlemlerini gerçekleştirmek için, Tüm programlar menüsündeki Symantec kısmında bulunan "Migration and Deployment Wizard" kısmı kullanılmalıdır. Bu kısımdan oluşturulan paketler, istenilirse yine aynı sihirbaz yardımıyla deploy edilebilir veya Management Servera alınarak buradan deploy edilebilir.