Вы находитесь на странице: 1из 224

Руководство по установке

Symantec™ Endpoint
Protection и Symantec
Network Access Control
Руководство по установке Symantec Endpoint
Protection и Symantec Network Access Control
Программное обеспечение, описанное в этой книге, поставляется с лицензионным
соглашением и может использоваться только при соблюдении условий этого
соглашения.

Версия документации: 11.00.05.00.00

Официальное уведомление
Copyright © 2009 Symantec Corporation. Все права защищены.

Symantec, эмблема Symantec, Bloodhound, Confidence Online, Digital Immune System,


LiveUpdate, Norton, Sygate и TruScan являются товарными знаками или
зарегистрированными товарными знаками компании Symantec Corporation или ее
дочерних компаний в США и других странах. Другие названия могут являться
товарными знаками соответствующих владельцев.

Этот продукт компании Symantec может содержать программные модули сторонних


производителей, авторство которых компания Symantec должна признавать
("Программы сторонних производителей"). Некоторые Программы сторонних
производителей распространяются как бесплатное ПО или ПО с открытым кодом
(защищено лицензией GPL). Лицензионное соглашение, которое прилагается к этому
программному обеспечению, никак не влияет на права и обязательства пользователя,
указанные в лицензиях на бесплатное ПО или ПО с открытым кодом. Дополнительные
сведения о Программах сторонних производителей см. в приложении "Юридическая
информация о сторонних производителях" этой документации или в файле TPIP
ReadMe, который прилагается к этому продукту Symantec.

Описанный в настоящем документе продукт распространяется по лицензии,


ограничивающей его использование, копирование, распространение, декомпиляцию
и инженерный анализ. Никакая часть данного документа не может быть
воспроизведена в любом виде с помощью любых технических средств без письменного
разрешения корпорации Symantec и ее лицензиаров, если они имеются.

ДОКУМЕНТАЦИЯ ПРЕДОСТАВЛЯЕТСЯ НА УСЛОВИЯХ "КАК ЕСТЬ", БЕЗ КАКИХ-ЛИБО


ЯВНЫХ И ПОДРАЗУМЕВАЕМЫХ УСЛОВИЙ, УТВЕРЖДЕНИЙ И ГАРАНТИЙ, ВКЛЮЧАЯ
ЛЮБЫЕ ГАРАНТИИ ТОВАРНОГО СОСТОЯНИЯ, ПРИГОДНОСТИ ДЛЯ КАКОЙ-ЛИБО
ЦЕЛИ ИЛИ НЕНАРУШЕНИЯ ПРАВ, ПРИ УСЛОВИИ, ЧТО ПОДОБНЫЙ ОТКАЗ НЕ
ПРОТИВОРЕЧИТ ЗАКОНУ. SYMANTEC CORPORATION НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ
ЗА КАКОЙ-ЛИБО СЛУЧАЙНЫЙ ИЛИ ОПОСРЕДОВАННЫЙ УЩЕРБ, СВЯЗАННЫЙ С
КОМПЛЕКТАЦИЕЙ ИЛИ ИСПОЛЬЗОВАНИЕМ ДАННОЙ ДОКУМЕНТАЦИИ.
СОДЕРЖАЩАЯСЯ В ДОКУМЕНТАЦИИ ИНФОРМАЦИЯ МОЖЕТ БЫТЬ ИЗМЕНЕНА БЕЗ
ПРЕДВАРИТЕЛЬНОГО УВЕДОМЛЕНИЯ.

Лицензионное программное обеспечение и Документация считаются коммерческим


компьютерным программным обеспечением в соответствии с определением, данным
в документе FAR 12.212, в отношении которого действуют ограниченные права,
указанные в части 52.227-19 документа FAR, "Commercial Computer Software - Restricted
Rights", и в части 227.7202 документа DFARS, "Rights in Commercial Computer Software
or Commercial Computer Software Documentation", и последующих предписаниях.
Любое использование, изменение, воспроизводство, выполнение, демонстрация и
раскрытие Лицензионного программного обеспечения и Документации должно
осуществляться правительством США исключительно на условиях данного
Соглашения.

Symantec Corporation
350 Ellis Street
Mountain View, CA 94043

http://www.symantec.ru
Техническая поддержка
Техническая поддержка Symantec осуществляется через глобальные центры
технической поддержки. Основная функция технической поддержки состоит
в том, чтобы отвечать на обращения, связанные с функциями и
компонентами продуктов. Группа технической поддержки также отвечает
за наполнение электронной базы знаний. Группа технической поддержки
работает совместно с другими подразделениями Symantec, чтобы быстро
отвечать на запросы клиентов. Например, для обеспечения служб
оповещения и обновления описаний вирусов группа технической поддержки
работает вместе с группами Product Engineering и Symantec Security Response.
Symantec предлагает следующие варианты обслуживания:
■ Различные варианты поддержки, позволяющие выбрать комплект
необходимых услуг для организации любого размера.
■ Поддержка по телефону и через Интернет, позволяющая найти решение
в кратчайшие сроки и получить самую свежую информацию.
■ Гарантированное обновление, позволяющее автоматически обновлять
программное обеспечение.
■ Глобальная поддержка, доступная круглосуточно 7 дней в неделю.
■ Дополнительные возможности, в том числе Account Management Services.
Сведения о программах обслуживания компании Symantec можно найти
на следующем веб-сайте:
www.symantec.com/techsupp/

Обращение в службу технической поддержки


Клиентам с текущим соглашением об обслуживании доступна информация
службы технической поддержки по следующему URL:
www.symantec.com/techsupp/
Перед обращением в службу технической поддержки убедитесь, что система
отвечает системным требованиям, приведенным в документации по
продукту. Также необходимо находиться в системе, в которой возникла
неполадка, на случай если понадобится воспроизвести неполадку.
При обращении в службу технической поддержки укажите следующую
информацию:
■ Уровень выпуска продукта
■ Информация о аппаратном обеспечении
■ Доступная память, дисковое пространство и информация о NIC
■ Операционная система
■ Версия и уровень исправлений
■ Топология сети
■ Маршрутизатор, шлюз и информация о IP-адресе
■ Описание неполадки:
■ Сообщения об ошибках и файлы журналов
■ Действия по устранению неполадок, которые производились перед
обращением в Symantec
■ Последние изменения в конфигурации программного обеспечения
и изменения сети

Лицензирование и регистрация
Если для продукта Symantec требуется регистрация или ключ лицензии,
обратитесь к веб-странице технической поддержки по адресу:
www.symantec.com/techsupp/

Служба работы с клиентами


Информация о службе работы с клиентами доступна по адресу:
www.symantec.com/techsupp/
Служба работы с клиентами поможет решить следующие типы вопросов:
■ Вопросы, связанные с лицензированием и сериализацией продукта
■ Обновления регистрации продукта, например, при изменении имени
или адреса
■ Общая информация о продукте (функции, доступность языка, местные
представители)
■ Последняя информация об обновлениях продукта
■ Информация о гарантиях обновлений и договорах на обслуживание
■ Информация о программах покупки продуктов Symantec
■ Рекомендации по вариантам технической поддержки Symantec
■ Нетехнические предпродажные вопросы
■ Вопросы, относящиеся к компакт-дискам и документации
Ресурсы соглашения об обслуживании
Если ваше обращение в Symantec связано с соглашением об обслуживании,
обратитесь в местную административную группу соглашения об
обслуживании:

Страны Азиатско-Тихоокеанского customercare_apac@symantec.com


региона и Япония

Европа, Ближний Восток и Африка semea@symantec.com

Страны Северной и Латинской supportsolutions@symantec.com


Америки

Дополнительные службы организации


Symantec предлагает комплексный набор служб, позволяющий в полной
мере окупить продукты Symantec и накопить собственные знания, опыт и
общее понимание, позволяющие активно управлять деловыми рисками.
Доступны следующие службы организации:

Решения раннего оповещения Решения, предлагающие раннее оповещение о компьютерных атаках,


Symantec комплексный анализ угроз и предотвращение атак.

Службы управляемой защиты Службы облегчают управление устройствами и событиями обеспечения


безопасности и их мониторинг, а также обеспечивают быстрый ответ на
реальные угрозы.

Консультационные службы Консультационные службы Symantec предлагают воспользоваться опытом


специалистов Symantec и доверенных партнеров компании. Предлагаются
различные настраиваемые и предварительно скомпонованные
компоненты, предоставляющие возможности оценки, конфигурации,
мониторинга и управления. Все они предназначены для настройки и
обеспечения целостности и доступности ресурсов ИТ.

Службы обучения Службы обучения в полном объеме предоставляют возможность обучения


технических специалистов, обучения и сертификации специалистов по
защите информации, а также сведения о программах связи.

Дополнительная информация о службах организации приведена на


веб-сайте по адресу:
www.symantec.com
Выберите страну или язык в индексе сайта.
Оглавление

Техническая поддержка .................................................................................. 4

Раздел 1 Введение, требования и


планирование ........................................................ 15
Глава 1 Symantec Endpoint Protection и Symantec Network
Access Control: введение ........................................... 17
О программе Symantec Endpoint Protection .................................... 17
О программе Symantec Network Access Control ............................... 18
Компоненты Symantec Endpoint Protection и Symantec Network
Access Control ....................................................................... 19
Основные возможности Symantec Endpoint Protection и Symantec
Network Access Control .......................................................... 21
Ресурсы технической поддержки ................................................. 23

Глава 2 Требования к системе и установке .............................. 25


Требования к системе ................................................................. 25
Системные требования к Symantec Endpoint Protection
Manager и встроенной базе данных .................................. 26
Системные требования для Symantec Endpoint Protection
Manager и консоли ......................................................... 30
Системные требования к удаленной консоли Symantec
Endpoint Protection ......................................................... 32
Системные требования к клиентскому программному
обеспечению Symantec Endpoint Protection ........................ 35
Системные требования к клиентскому программному
обеспечению Symantec Network Access Control ................... 38
Сведения о клиенте Symantec AntiVirus для Linux ................... 42
Системные требования для консоли карантина ...................... 42
Системные требования для сервера Центрального
карантина ..................................................................... 43
Требования к интернационализации ........................................... 44
Поддержка VMware ................................................................... 47
Сведения о поддержке Microsoft Virtual Server .............................. 48
8 Оглавление

Сведения о совместимости Symantec Endpoint Protection Manager


с другими продуктами ......................................................... 48

Глава 3 Планирование установки ............................................... 51

Сведения о выборе типа базы данных .......................................... 51


Сведения о брандмауэрах клиентов и портах связи ....................... 52
Сведения о выключении и изменении брандмауэра
Windows .............................................................................. 56
Сведения о брандмауэрах Windows и Symantec ....................... 56
Сведения о выключении брандмауэра Windows ...................... 57
Сведения об изменении брандмауэра Windows Vista, Windows
Server 2008 и Windows 7 .................................................. 57
Сведения о подготовке компьютеров к удаленному
развертыванию .................................................................... 58
Подготовка сервера Windows Server 2003 к установке с помощью
подключения к удаленному рабочему столу ........................... 59
Подготовка клиентских компьютеров к установке ........................ 59
Обязательные перезапуски компьютера при установке и переносе
данных ................................................................................ 60

Раздел 2 Установка ........................................................................ 61


Глава 4 Установка и настройка Symantec Endpoint
Protection Manager ...................................................... 63
Установка продукта, выполняемая впервые ................................. 64
О параметрах встроенной базы данных ........................................ 67
Установка и настройка Symantec Endpoint Protection Manager со
встроенной базой данных ..................................................... 68
О параметрах конфигурации Microsoft SQL Server ......................... 72
Сведения о режимах идентификации базы данных Microsoft
SQL ..................................................................................... 77
Установка и настройка Symantec Endpoint Protection Manager с
базой данных SQL Server ....................................................... 78
Сведения об установке нескольких экземпляров Symantec
Endpoint Protection Manager ................................................... 81
Установка дополнительных консолей Symantec Endpoint
Protection Manager ................................................................ 82
Сведения о восстановлении после сбоя и распределении
нагрузки .............................................................................. 83
Оглавление 9

Сведения об установке и настройке Symantec Endpoint Protection


Manager для переключения после сбоя или распределения
нагрузки ............................................................................. 85
Установка сервера Symantec Endpoint Protection Manager в
режиме для восстановления после сбоев или
распределения нагрузки ................................................ 85
Настройка восстановления после сбоя и распределения
нагрузки для Symantec Endpoint Protection
Manager ......................................................................... 87
Замена встроенной базы данных на базу данных SQL Server ........... 88
Создание резервной копии хранилища ключей и файла
server.xml ...................................................................... 90
Создание резервной копии встроенной базы данных ............... 90
Установка экземпляра Microsoft SQL 2000, 2005 или
2008 .............................................................................. 91
Удаление Symantec Endpoint Protection Manager со
встроенной базой данных. ............................................... 91
Переустановка Symantec Endpoint Protection Manager с базой
данных Microsoft SQL ..................................................... 92
Восстановление исходного файла хранилища ключей
Java ............................................................................... 93
Перенастройка Symantec Endpoint Protection Manager с базой
данных SQL Server. ......................................................... 94
Сведения об установке и настройке Symantec Endpoint Protection
Manager для репликации ...................................................... 95
Установка Symantec Endpoint Protection Manager для
репликации ................................................................... 96
Как настроить Symantec Endpoint Protection Manager для
репликации ................................................................... 97
Сведения об удалении программы Symantec Endpoint Protection
Manager из системы .............................................................. 98

Глава 5 Установка программного обеспечения клиента


Symantec ...................................................................... 101
Сведения об установке программного обеспечения клиента
Symantec ............................................................................ 102
Сведения об установке компонентов защиты на
клиенте ....................................................................... 102
Сведения о программном обеспечении клиента Symantec
Network Access Control ................................................... 103
Сведения о развертывании 32-разрядных и 64-разрядных
клиентов ..................................................................... 104
10 Оглавление

Настройка и развертывание программного обеспечения


клиента ............................................................................. 104
Сведения об установке неуправляемого программного
обеспечения клиента .......................................................... 106
Установка программного обеспечения для неуправляемого
клиента с компакт-диска продукта ................................ 107
Развертывание программ неуправляемого клиента с
помощью консоли ........................................................ 109
Развертывание программ неуправляемого клиента с
помощью Мастера развертывания методом
рассылки ..................................................................... 109
Создание пакетов установки клиента ......................................... 110
Сведения о развертывании программного обеспечения клиента
с помощью сетевого диска ................................................... 111
Развертывание клиента с помощью мастера развертывания
методом рассылки .............................................................. 112
Установка клиента с помощью функции поиска неуправляемых
компьютеров ..................................................................... 113
Импорт списка компьютеров из текстового файла ....................... 115
Сведения об установке и развертывании программного
обеспечения с помощью Altiris ............................................ 116
Параметры установки других фирм ........................................... 117
Установка клиентов с помощью продуктов независимых
производителей ........................................................... 117
Настройка установки с помощью параметров .msi ................. 117
Установка клиентов с помощью Microsoft SMS 2003 ............... 117
Сведения об установке клиентов с помощью объекта
групповой политики Active Directory .............................. 119
Удаление программного обеспечения клиента из системы
с помощью объекта групповой политики Active
Directory ...................................................................... 127
Запуск клиента Symantec Endpoint Protection ............................... 127
Сведения об удалении клиента Symantec Endpoint Protection из
системы ............................................................................. 128
Удаление клиентского ПО из системы Windows Server 2008
в режиме Server Core ..................................................... 128

Глава 6 Установка серверов карантина и LiveUpdate ......... 131

Сведения об установке и настройке Центрального


карантина .......................................................................... 131
Установка консоли карантина ............................................. 132
Установка сервера карантина .............................................. 132
Оглавление 11

Настройка групп на применение Центрального


карантина .................................................................... 134
Сведения о применении сервера Symantec LiveUpdate .................. 135

Раздел 3 Миграция и обновление ..................................... 139


Глава 7 Обновление до последнего уровня
обслуживания ............................................................. 141
Обновление программного обеспечения до нового выпуска
Symantec Endpoint Protection или Symantec Network Access
Control ............................................................................... 142
Резервное копирование базы данных ......................................... 143
Переход к Microsoft SQL 2008 с предыдущей версии ..................... 144
Отключение репликации перед обновлением или
переносом .......................................................................... 145
Завершение работы службы Symantec Endpoint Protection
Manager ............................................................................. 145
Модернизация Symantec Endpoint Protection Manager ................... 146
Включение репликации после переноса или обновления ............. 147
Обновление программного обеспечения клиента ........................ 148
Обновление клиентов с помощью функции AutoUpgrade ............. 149
Обновление программного обеспечения клиента с помощью
политики параметров LiveUpdate ......................................... 150
Сведения о переходе к Symantec Endpoint Protection или Symantec
Network Access Control ......................................................... 151
Сведения об обновлении программного обеспечения
клиентов Symantec Endpoint Protection с помощью
Symantec Network Access Control ..................................... 152
Сведения об обновлении программного обеспечения
клиентов Symantec Network Access Control с помощью
Symantec Endpoint Protection .......................................... 152

Глава 8 Перенос Symantec AntiVirus и Symantec Client


Security .......................................................................... 153
Перенос из Symantec AntiVirus и Symantec Client Security .............. 154
Поддерживаемые и неподдерживаемые варианты
миграции .......................................................................... 157
Поддерживаемые варианты миграции ................................. 157
Блокированные варианты миграции .................................... 157
Неподдерживаемые варианты миграции ............................. 158
Сведения о миграции Центрального карантина .................... 158
12 Оглавление

Подготовка устаревших экземпляров к переносу ......................... 158


Подготовка старых версий продукта .................................... 159
Сведения о подготовке старых версий Symantec
10.x/3.x ........................................................................ 162
Отказ от сохранения групп и параметров клиентов и
серверов ............................................................................ 164
Сведения о переносе групп и параметров .................................... 164
Сведения о параметрах, перенос которых не выполняется ............ 168
Сведения о пакетах и развертывании ......................................... 168
Сведения об установочных пакетах клиентов, создаваемых
в ходе переноса ............................................................ 169
Экспорт и формат списка имен компьютеров клиентов для
переноса ...................................................................... 170
Сведения о открытии сетевых портов для миграции ............. 172
Подготовка компьютеров клиентов к миграции .................... 172
Перенос параметров групп серверов и клиентов .......................... 173
Сведения о проверке обновлений в перенесенных
политиках .......................................................................... 175
Сведения о миграции неуправляемых клиентов ......................... 175
Информация о миграции неуправляемых клиентов с
помощью компакт-диска продукта ................................ 175
Миграция неуправляемых клиентов с помощью
экспортированных пакетов ........................................... 176
Сведения о новых и измененных компонентов для
администраторов старых версий ......................................... 178

Глава 9 Перенос действующего программного


обеспечения Symantec Sygate .............................. 181
Сведения о переходе на Symantec Endpoint Protection 11.x ............ 182
Сведения о переносе сервера и программного обеспечения
управления Symantec Sygate .......................................... 182
Сведения о переносе устаревшего клиента Symantec
Sygate .......................................................................... 184
Сведения о переходе к Symantec Network Access Control 11.x ......... 185
Сведения о переносе устаревшего программного
обеспечения сервера Symantec Sygate ............................. 185
Сведения о переносе устаревшего клиента Symantec
Sygate .......................................................................... 186
Сведения об обновлении компонента Enforcer ............................ 186
Сценарии переноса серверов ...................................................... 187
Перенос установленного экземпляра, использующего один
сервер управления ........................................................ 187
Оглавление 13

Перенос установленного экземпляра, использующего одну


базу данных Microsoft SQL и несколько серверов
управления .................................................................. 188
Перенос установленного экземпляра, использующего
несколько встроенных баз данных и серверов
управления .................................................................. 189
Перенос установленного экземпляра, использующего
несколько баз данных SQL и серверов управления ........... 189
Сведения о сценариях переноса серверов управления .................. 191
Перенос серверов управления .............................................. 191
Остановка серверов, реализующих функции распределения
нагрузки и восстановления после сбоя, перед переносом
данных ........................................................................ 192
Отключение репликации перед переносом данных ............... 193
Включение репликации после переноса ................................ 193
Изменения пользовательского интерфейса и функций консоли
после переноса ................................................................... 194
Перенос консолей удаленного управления .................................. 195
О настройке перенесенных и новых политик ............................... 195
Сведения об удалении защиты клиентов паролем из параметров
группы .............................................................................. 196
Перенос устаревшего клиента Symantec Sygate ........................... 196

Раздел 4 Приложения ................................................................ 199

Приложение A Свойства и компоненты установки Symantec


Endpoint Protection .................................................... 201
Сведения о свойствах и компонентах установки .......................... 201
Сведения о настройке файла Setaid.ini .................................. 202
О настройке командной строки MSI ..................................... 203
Компоненты клиента Symantec Endpoint Protection ...................... 204
Свойства установки клиента Symantec Endpoint Protection ........... 206
Параметры Windows Installer ..................................................... 206
Свойства Центра обеспечения безопасности Windows .................. 208
Как проверить наличие ошибок с помощью файла журнала ........ 209
Определение точки сбоя установки ............................................ 210
Примеры команд для установки клиента ................................... 211

Приложение B Восстановление после аварии .................................... 213


Подготовка к восстановлению после аварии ............................... 213
Выполнение восстановления после аварии ................................. 215
14 Оглавление

Восстановление Symantec Endpoint Protection Manager ................. 216


Восстановление сертификата сервера ......................................... 216
Восстановление подключения клиента ...................................... 217
Восстановление связи с клиентами с помощью резервной
копии базы данных ....................................................... 218
Восстановление связи с клиентами при отсутствии
резервной копии базы данных ....................................... 219

Алфавитный указатель ................................................................................ 221


Раздел 1
Введение, требования и
планирование

■ Глава 1. Symantec Endpoint Protection и Symantec Network Access Control:


введение

■ Глава 2. Требования к системе и установке

■ Глава 3. Планирование установки


16
Глава 1
Symantec Endpoint
Protection и Symantec
Network Access Control:
введение
В этой главе рассмотрены следующие вопросы:

■ О программе Symantec Endpoint Protection

■ О программе Symantec Network Access Control

■ Компоненты Symantec Endpoint Protection и Symantec Network Access


Control

■ Основные возможности Symantec Endpoint Protection и Symantec Network


Access Control

■ Ресурсы технической поддержки

О программе Symantec Endpoint Protection


В Symantec Endpoint Protection защита от вирусов используется в сочетании
с расширенными средствами защиты от угроз для превентивной защиты
компьютеров от известных и новых угроз.
Symantec Endpoint Protection обеспечивает защиту от вредоносных программ,
в том числе вирусов, червей, троянских коней, программ-шпионов и
программ показа рекламы. Этот продукт способен блокировать даже
наиболее изощренные атаки, действующие в обход традиционной защиты,
18 Symantec Endpoint Protection и Symantec Network Access Control: введение
О программе Symantec Network Access Control

такие как руткиты, неизвестные атаки и видоизменяющиеся


программы-шпионы. Symantec Endpoint Protection позволяет обеспечить
детализированное управление приложениями и устройствами. Symantec
Endpoint Protection обеспечивает несколько уровней защиты для конечных
вычислительных устройств.
Symantec Endpoint Protection полностью совместим с продуктом Symantec
Network Access Control и может применяться вместе с ним сразу после
приобретения Symantec Network Access Control.
В программное обеспечение Symantec может входить Symantec Network
Access Control. В состав Symantec Network Access Control входит также
Symantec Endpoint Protection Manager, который предоставляет среду для
установки и обслуживания Symantec Endpoint Protection и Symantec Network
Access Control. Symantec Network Access Control разрешает доступ к сети
только тем клиентам, которые соответствуют внутренним политикам
безопасности организации. Symantec Endpoint Protection работает вместе с
Symantec Network Access Control, но приобрести их можно отдельно.

О программе Symantec Network Access Control


Symantec Network Access Control разрешает доступ к сети только тем
клиентам, которые соответствуют внутренним политикам безопасности
компании. Для проверки соответствия компьютеров в Symantec Network
Access Control используется политика целостности хоста и необязательный
Symantec Enforcer. Несоответствующие клиенты будут перенаправлены на
сервер исправления. Сервер исправлений загружает необходимые
программы, исправления, обновления описаний вирусов и т.п.. для
устранения несоответствия компьютера-клиента. Symantec Network Access
Control также постоянно отслеживает изменения состояния соответствия
конечных систем сети.
Symantec Network Access Control может применяться как дополнение к
продукту Symantec Endpoint Protection. В оба этих продукта входит Symantec
Endpoint Protection Manager, который предоставляет среду для установки
и обслуживания клиентов Symantec Endpoint Protection и Symantec Network
Access Control. Клиент Symantec Endpoint Protection защищает конечные
системы сети от известных и новых угроз.
Дополнительная информация об устройстве Enforcer приведена в книге
Руководство по реализации Enforcer для Symantec Network Access Control.
Symantec Endpoint Protection и Symantec Network Access Control: введение 19
Компоненты Symantec Endpoint Protection и Symantec Network Access Control

Компоненты Symantec Endpoint Protection и


Symantec Network Access Control
В Табл. 1-1 перечислены компоненты Symantec Endpoint Protection и Symantec
Network Access Control.

Табл. 1-1 Компоненты продукта

Компонент Описание

Symantec Endpoint Protection Symantec Endpoint Protection Manager предназначен


Manager для централизованного управления клиентскими
компьютерами, которые подключаются к сети
компании.
В Symantec Endpoint Protection Manager имеются
следующие программы:

■ Программное обеспечение консоли


координирует и управляет политиками
безопасности и клиентскими компьютерами.
■ Программное обеспечение сервера служит для
защищенной передачи данных между
клиентскими компьютерами и консолью.

База данных В базе данных хранятся политики безопасности и


события. База данных устанавливается на
компьютере, на котором находится Symantec
Endpoint Protection Manager.

Клиент Symantec Endpoint Клиент Symantec Endpoint Protection активирует


Protection технологии защиты на клиентских компьютерах.
Он работает на серверах, настольных и портативных
компьютерах, которые требуют защиты.

Клиент Symantec Network Клиент Symantec Network Access Control


Access Control обеспечивает защиту соответствия требованиям
сети на клиентских компьютерах на основе
применения проверок целостности хоста и средств
самостоятельной активации. Кроме того, клиент
сообщает о состоянии целостности хоста
компоненту Symantec Enforcer.

Дополнительные сведения приведены в книге


Руководство клиента Symantec Endpoint Protection
и Symantec Network Access Control.
20 Symantec Endpoint Protection и Symantec Network Access Control: введение
Компоненты Symantec Endpoint Protection и Symantec Network Access Control

Компонент Описание

Symantec Enforcer Symantec Enforcer представляет собой аппаратное


(необязательное) устройство, позволяющее блокировать доступ к
сети для компьютеров, не соответствующих
внутренним требованиям безопасности.
Несоответствующим требованиям компьютерам
можно разрешить доступ к конкретным сегментам
сети с целью исправления или полностью запретить
доступ к таким компьютерам.

Сервер LiveUpdate Сервер LiveUpdate загружает определения,


(необязательный) сигнатуры и обновления продукта с сервера
Symantec LiveUpdate и распределяет обновления
клиентским компьютерам.

Дополнительные сведения приведены в книге


Администратор Symantec LiveUpdate.

Центральный карантин Центральный карантин получает подозрительные


(необязательный) файлы и неисправленные зараженные объекты от
клиентов Symantec Endpoint Protection. Затем
центральный карантин передает образец в службу
Symantec Security Response, который анализирует
его. Если угроза оказывается новой, то Symantec
Security Response создает обновление защиты.

Дополнительные сведения приведены в книге


Центральный карантин Symantec: Руководство по
реализации.
Symantec Endpoint Protection и Symantec Network Access Control: введение 21
Основные возможности Symantec Endpoint Protection и Symantec Network Access Control

Рис. 1-1 Компоненты продукта в сети

Компьютеры с
клиентом Symantec
Endpoint Protection или
Symantec Network
Access Control,
подключенные через
туннель VPN
Интернет

Брандмауэр

Локальная сеть
Ethernet

Symantec Endpoint Protection Компьютеры с клиентом


Manager с клиентом Symantec Symantec Endpoint Protection
Endpoint Protection или Symantec или Symantec Network Access
Network Access Control Control

Основные возможности Symantec Endpoint


Protection и Symantec Network Access Control
В Табл. 1-2 приведены основные возможности Symantec Endpoint Protection
и Symantec Network Access Control.
22 Symantec Endpoint Protection и Symantec Network Access Control: введение
Основные возможности Symantec Endpoint Protection и Symantec Network Access Control

Табл. 1-2 Основные возможности продукта

Возможности Описание

Защита на уровне Продукт имеет следующие возможности:


предприятия
■ Проверка клиентского компьютера на наличие вирусов
и угроз безопасности.
■ Обнаружение и устранение побочных эффектов от
известных вирусов, червей, троянских коней,
программ-шпионов, программ показа рекламы и руткитов.
■ Анализ особенностей в поведении процессов,
позволяющий обнаружить как известные, так и
неизвестные вирусы и угрозы безопасности.
■ Предотвращение несанкционированного доступа
пользователей к частным компьютерам и сетям,
подключенным к Интернету.
■ Очистка, удаление и помещение в карантин зараженных
файлов.
■ Автоматическое выявление и блокировка сетевых атак.

Управление Предусмотрены следующие возможности:

■ Готовые конфигурации для предприятий любого


масштаба.
■ Одна консоль, с которой можно увидеть развертывание
клиента целиком.
■ Symantec Endpoint Protection Manager согласовывает связь
между консолью и клиентом и регистрацию событий в
журнале.
■ Учетные записи администратора, предоставляющие
доступ к консоли.
■ Загрузка с LiveUpdate новых описаний вирусов и
обновлений продуктов.

Переход к новой Предусмотрены следующие возможности:


версии
■ Параметры групп и политик из старых версий
программного обеспечения Symantec.
■ Обновления клиентских компьютеров с помощью мастера
установки клиента.

Активация клиента Предусмотрены следующие возможности:

■ Перед тем как разрешить компьютеру подключение к


корпоративной сети, проверяет, надежно ли он защищен
и соответствует ли он установленным требованиям.
■ Исправляет несовместимые клиентские компьютеры.
Symantec Endpoint Protection и Symantec Network Access Control: введение 23
Ресурсы технической поддержки

Ресурсы технической поддержки


В Табл. 1-3 перечислены веб-сайты Symantec с дополнительной
информацией.

Табл. 1-3 Веб-сайты Symantec

Тип информации Адрес веб-сайта

Пробная версия Symantec Endpoint http://www.symantec.com/ru/ru/business/theme.jsp?themeid=downloads


Protection

База знаний http://www.symantec.com/business/support/overview.jsp?pid=54619

Выпуски http://www.symantec.com/business/support/overview.jsp?pid=52788

Обновление руководств и
документации

Контактная информация

Информация о выпуске и
дополнения к ней

Обновления и сведения о вирусах http://www.symantec.com/ru/ru/security_response/


и других угрозах

Свежая информация о продукте http://www.symantec.com/ru/ru/business/

Форумы Symantec Endpoint http://www.symantec.com/connect/security/forums


Protection
http://www.symantec.com/connect/security/forums/network-access-control

Бесплатное техническое обучение http://www.symantec.com/education/endpointsecurity


по сети
24 Symantec Endpoint Protection и Symantec Network Access Control: введение
Ресурсы технической поддержки
Глава 2
Требования к системе и
установке
В этой главе рассмотрены следующие вопросы:

■ Требования к системе

■ Требования к интернационализации

■ Поддержка VMware

■ Сведения о поддержке Microsoft Virtual Server

■ Сведения о совместимости Symantec Endpoint Protection Manager с


другими продуктами

Требования к системе
Перед началом установки Symantec Endpoint Protection Manager необходимо
ознакомиться с требованиями к системе и программному обеспечению.
Убедитесь, что компьютеры, которые планируется использовать,
удовлетворяют этим требованиям и могут обеспечивать связь между
сервером управления и клиентами.
Для установки программного обеспечения Symantec необходимы особые
протоколы, операционные системы, пакеты обновления и программное и
аппаратное обеспечение. Все компьютеры, на которых планируется
установить программное обеспечение Symantec, должны соответствовать
требованиям, указанным для операционной системы и
интернационализации, либо превосходить эти требования.
26 Требования к системе и установке
Требования к системе

Примечание: Установка в каталоги, имена которых содержат двухбайтовые


символы, а также установка из таких каталогов, не поддерживается.

См. "Системные требования к Symantec Endpoint Protection Manager и


встроенной базе данных" на стр. 26.
См. "Системные требования для Symantec Endpoint Protection Manager и
консоли " на стр. 30.
См. " Системные требования к удаленной консоли Symantec Endpoint
Protection" на стр. 32.
См. "Системные требования к клиентскому программному обеспечению
Symantec Endpoint Protection" на стр. 35.
См. "Системные требования к клиентскому программному обеспечению
Symantec Network Access Control" на стр. 38.
См. "Сведения о клиенте Symantec AntiVirus для Linux " на стр. 42.
См. "Системные требования для консоли карантина" на стр. 42.
См. "Системные требования для сервера Центрального карантина" на стр. 43.

Системные требования к Symantec Endpoint Protection Manager и


встроенной базе данных
Консоль устанавливается вместе с Symantec Endpoint Protection Manager.
Требования к системе и установке 27
Требования к системе

Табл. 2-1 Системные требования к Symantec Endpoint Protection Manager


и встроенной базе данных

Компонент 32-bit 64-bit

Процессор Для большинства систем: 1 ГГц Intel Поддерживаются процессоры со


Pentium III следующим быстродействием:

■ 2 ГГц для Small Business Server 2008


Premium Edition
■ 2,5 ГГц для Essential Business Server
2008 Premium Edition
1 ГГц в 64-разрядных системах
поддерживается только для следующих
процессоров:

■ Intel Xeon с поддержкой Intel EM64T


■ Intel Pentium IV с поддержкой EM64T
■ AMD 64-Bit Opteron
■ AMD 64-Bit Athlon

Примечание: Itanium не поддерживается.


28 Требования к системе и установке
Требования к системе

Компонент 32-bit 64-bit

Операционная Поддерживаются следующие Поддерживаются следующие


система операционные системы: операционные системы:
■ Windows 2000 Server/Advanced ■ Windows XP Professional с пакетом
Server/Datacenter Server/Small Business обновления 1 или более поздним
Server с пакетом обновления 3 или Примечание: В режиме передачи
более поздним данных Windows XP поддерживает
■ Windows XP Professional с пакетом ограниченное число одновременных
обновления 1 или более поздним пользователей. Режим получения
Примечание: В режиме передачи данных на серверах Windows XP
данных Windows XP поддерживает позволяет одновременно работать до
ограниченное число одновременных 100 клиентам. Дополнительная
пользователей. Режим получения информация приведена в разделе
данных на серверах Windows XP Устранение неполадок соединений в
позволяет одновременно работать до Symantec Endpoint Protection Manager
100 клиентам. Дополнительная 11.x на веб-сайте службы поддержки
информация приведена в разделе Symantec.
Устранение неполадок соединений в ■ Windows Server 2003 Standard
Symantec Endpoint Protection Manager Edition/Enterprise Edition/Datacenter
11.x на веб-сайте службы поддержки Edition/Storage Edition/Web Edition/
Symantec. Small Business Server
■ Windows Server 2003 Standard ■ Windows Server 2008 Standard/Windows
Edition/Enterprise Edition/Datacenter Server 2008 Enterprise/Windows Server
Edition/Storage Edition/Web Edition/ 2008 Datacenter/Windows Web Server
Small Business Server 2008 (поддерживается R2 и все пакеты
■ Windows Server 2008 Standard/Windows обновлений)
Server 2008 Enterprise/Windows Server ■ Windows Essential Business Server 2008
2008 Datacenter/Windows Web Server Standard Edition/Windows Essential
2008 (поддерживаются все пакеты Business Server 2008 Premium Edition
обновлений) (поддерживается R2 и все пакеты
обновлений)
■ Windows Small Business Server 2008
Standard Edition/Windows Small Business
Server 2008 Premium Edition
(поддерживается R2 и все пакеты
обновлений)
Примечание: Если применяются службы
Microsoft Clustering для сервера Symantec
Endpoint Protection Manager, то клиент
Symantec Endpoint Protection Manager
необходимо установить на локальном
томе.
Требования к системе и установке 29
Требования к системе

Компонент 32-bit 64-bit

Оперативная Для большинства систем: не менее 1 ГБ Необходим следующий объем


память оперативной памяти (рекомендуется 2-4 оперативной памяти:
ГБ)
■ Для большинства систем: не менее 1
ГБ оперативной памяти (рекомендуется
2-4 ГБ)
■ Не менее 4 ГБ оперативной памяти для
всех вариантов Windows Small Business
Server 2008 и Windows Essential Business
Server 2008

Жесткий диск Для большинства систем: 4 ГБ для сервера Необходим следующий объем дисковой
и 4 ГБ дополнительно для базы данных памяти:

■ Для большинства систем: 4 ГБ для


сервера и 4 ГБ дополнительно для базы
данных
■ Small Business Server 2008: 60 ГБ для
сервера
■ Essential Business Server 2008: 45 ГБ для
сервера

Экран Видеоадаптер и монитор VGA (640x480) Видеоадаптер и монитор VGA (640x480)


или с более высоким разрешением или с более высоким разрешением

База данных В состав Symantec Endpoint Protection В состав Symantec Endpoint Protection
Manager входит встроенная база данных. Manager входит встроенная база данных.
Кроме того, можно выбрать одну из Кроме того, можно выбрать одну из
следующих версий Microsoft SQL Server: следующих версий Microsoft SQL Server:

■ Microsoft SQL Server 2000 с пакетом ■ Microsoft SQL Server 2000 с пакетом
обновления 4 или более поздним обновления 3 или более поздним
■ Microsoft SQL Server 2005 с пакетом ■ Microsoft SQL Server 2005 с пакетом
обновления 2 обновления 2
■ Microsoft SQL Server 2008 ■ Microsoft SQL Server 2008

Примечание: Microsoft SQL Server не Примечание: Microsoft SQL Server не


является обязательным компонентом. является обязательным компонентом.
30 Требования к системе и установке
Требования к системе

Компонент 32-bit 64-bit

Прочие требования Помимо вышеперечисленного должны Помимо вышеперечисленного должны


быть выполнены следующие требования: быть выполнены следующие требования:
■ Сервер Internet Information Services ■ Сервер Internet Information Services
версии не ниже 5.0 с включенными версии не ниже 5,1 с включенными
службами Интернета службами Интернета
■ Internet Explorer 6.0 или более поздней ■ Internet Explorer 6.0 или более поздней
версии версии
■ Статический IP-адрес (рекомендуется) ■ Статический IP-адрес (рекомендуется)

Системные требования для Symantec Endpoint Protection Manager


и консоли
Symantec Endpoint Protection Manager и консоль устанавливаются на всех
серверах, настроенных в сети в качестве дополнительных сайтов. Под
дополнительными сайтами понимаются любые добавленные сайты,
например партнер по репликации или дополнительный сайт для аварийного
переключения либо распределения нагрузки.

Табл. 2-2 Системные требования для Symantec Endpoint Protection Manager


и консоли

Компонент 32-bit 64-bit

Процессор Для большинства систем: 1 ГГц Intel Поддерживаются процессоры со


Pentium III следующим быстродействием:

■ 2 ГГц для Small Business Server 2008


Premium Edition
■ 2,5 ГГц для Essential Business Server
2008 Premium Edition
1 ГГц в 64-разрядных системах
поддерживается только для следующих
процессоров:

■ Intel Xeon с поддержкой Intel EM64T


■ Intel Pentium IV с поддержкой EM64T
■ AMD 64-Bit Opteron
■ AMD 64-Bit Athlon

Примечание: Itanium не поддерживается.


Требования к системе и установке 31
Требования к системе

Компонент 32-bit 64-bit

Операционная Поддерживаются следующие Поддерживаются следующие


система операционные системы: операционные системы:
■ Windows 2000 Server/Advanced ■ Windows XP Professional с пакетом
Server/Datacenter Server/Small Business обновления 1 или более поздним
Server с пакетом обновления 3 или Примечание: В режиме передачи
более поздним данных Windows XP поддерживает
■ Windows XP Professional с пакетом ограниченное число одновременных
обновления 1 или более поздним пользователей. Режим получения
Примечание: В режиме передачи данных на серверах Windows XP
данных Windows XP поддерживает позволяет одновременно работать до
ограниченное число одновременных 100 клиентам. Дополнительная
пользователей. Режим получения информация приведена в разделе
данных на серверах Windows XP Устранение неполадок соединений в
позволяет одновременно работать до Symantec Endpoint Protection Manager
100 клиентам. Дополнительная 11.x на веб-сайте службы поддержки
информация приведена в разделе Symantec.
Устранение неполадок соединений в ■ Windows Server 2003 Standard
Symantec Endpoint Protection Manager Edition/Enterprise Edition/Datacenter
11.x на веб-сайте службы поддержки Edition/Storage Edition/Web Edition/
Symantec. Small Business Server
■ Windows Server 2003 Standard ■ Windows Server 2008 Standard/Windows
Edition/Enterprise Edition/Datacenter Server 2008 Enterprise/Windows Server
Edition/Storage Edition/Web Edition/ 2008 Datacenter (поддерживается R2 и
Small Business Server все пакеты обновлений)
■ Windows Server 2008 Standard/Windows ■ Windows Essential Business Server 2008
Server 2008 Enterprise/Windows Server Standard Edition/Windows Essential
2008 Datacenter (поддерживаются все Business Server 2008 Premium Edition
пакеты обновлений) (поддерживается R2 и все пакеты
■ Windows 7 обновлений)
■ Windows Small Business Server 2008
Standard Edition/Windows Small Business
Server 2008 Premium Edition
(поддерживается R2 и все пакеты
обновлений)
■ Windows 7

Примечание: Если применяются службы


Microsoft Clustering для сервера Symantec
Endpoint Protection Manager, то клиент
Symantec Endpoint Protection Manager
необходимо установить на локальном
томе.
32 Требования к системе и установке
Требования к системе

Компонент 32-bit 64-bit

Оперативная Для большинства систем: не менее 1 ГБ Необходим следующий объем


память оперативной памяти (рекомендуется 2-4 оперативной памяти:
ГБ)
■ Для большинства систем: не менее 1
ГБ оперативной памяти (рекомендуется
2-4 ГБ)
■ Не менее 4 ГБ оперативной памяти для
всех вариантов Windows Small Business
Server 2008 и Windows Essential Business
Server 2008

Жесткий диск Для большинства систем: 4 ГБ Необходим следующий объем дисковой


памяти:

■ Для большинства систем: 4 ГБ


■ Small Business Server 2008: 60 ГБ
■ Essential Business Server 2008: 45 ГБ

Экран Видеоадаптер и монитор XGA (1024x768) Видеоадаптер и монитор XGA (1024x768)


или с более высоким разрешением или с более высоким разрешением

Прочие требования Помимо вышеперечисленного должны Помимо вышеперечисленного должны


быть выполнены следующие требования: быть выполнены следующие требования:

■ Сервер Internet Information Services ■ Сервер Internet Information Services


версии не ниже 5.0 с включенными версии не ниже 5,1 с включенными
службами Интернета службами Интернета
■ На компьютерах с Internet Information ■ На компьютерах с Internet Information
Services версии 7.0 и выше ((Windows 7, Services версии 7.0 и выше ((Windows 7,
Windows Server 2008) также должны Windows Server 2008) также должны
быть установлены CGI, ASP.net и IIS 6.0 быть установлены CGI, ASP.net и IIS 6.0
Management Compatibility. Management Compatibility.
■ Internet Explorer 6.0 или более поздней ■ Internet Explorer 6.0 или более поздней
версии версии
■ Статический IP-адрес (рекомендуется) ■ Статический IP-адрес (рекомендуется)

Системные требования к удаленной консоли Symantec Endpoint


Protection
Удаленная консоль Symantec Endpoint Protection предъявляет пониженные
требования. Они описаны в следующей таблице.
Требования к системе и установке 33
Требования к системе

Табл. 2-3 Системные требования к удаленной консоли Symantec Endpoint


Protection

Компонент 32-bit 64-bit

Процессор Для большинства систем: 1 ГГц Intel Поддерживаются процессоры со


Pentium III следующим быстродействием:

■ 2 ГГц для Small Business Server 2008


Premium Edition
■ 2,5 ГГц для Essential Business Server
2008 Premium Edition
1 ГГц в 64-разрядных системах
поддерживается только для следующих
процессоров:

■ Intel Xeon с поддержкой Intel EM64T


■ Intel Pentium IV с поддержкой EM64T
■ AMD 64-Bit Opteron
■ AMD 64-Bit Athlon

Примечание: Itanium не поддерживается.


34 Требования к системе и установке
Требования к системе

Компонент 32-bit 64-bit

Операционная Поддерживаются следующие Поддерживаются следующие


система операционные системы: операционные системы:
■ Windows 2000 ■ Windows XP Professional с пакетом
Professional/Server/Advanced обновления 1 или более поздним
Server/Datacenter Server/Small Business Примечание: В режиме передачи
Server с пакетом обновления 3 или данных Windows XP поддерживает
более поздним ограниченное число одновременных
■ Windows XP Professional с пакетом пользователей. Режим получения
обновления 1 или более поздним данных на серверах Windows XP
Примечание: В режиме передачи позволяет одновременно работать до
данных Windows XP поддерживает 100 клиентам. Дополнительная
ограниченное число одновременных информация приведена в разделе
пользователей. Режим получения Устранение неполадок соединений в
данных на серверах Windows XP Symantec Endpoint Protection Manager
позволяет одновременно работать до 11.x на веб-сайте службы поддержки
100 клиентам. Дополнительная Symantec.
информация приведена в разделе ■ Windows Server 2003 Standard
Устранение неполадок соединений в Edition/Enterprise Edition/Datacenter
Symantec Endpoint Protection Manager Edition/Storage Edition/Web Edition/
11.x на веб-сайте службы поддержки Small Business Server
Symantec. ■ Windows Vista (все версии x64)
■ Windows Server 2003 Standard ■ Windows 7 (все версии x64)
Edition/Enterprise Edition/Datacenter Windows Server 2008 Standard/Windows

Edition/Storage Edition/Web Edition/ Server 2008 Enterprise/Windows Server
Small Business Server 2008 Datacenter/Windows Web Server
■ Windows Vista (все версии x86) 2008. Windows Server 2008
■ Windows 7 (все версии x86) (поддерживается R2 и все пакеты
■ Windows Server 2008 Standard/Windows обновлений)
Server 2008 Enterprise/Windows Server ■ Windows Essential Business Server 2008
2008 Datacenter/Windows Web Server Standard Edition/Windows Essential
2008 (поддерживаются все пакеты Business Server 2008 Premium Edition
обновлений) (поддерживается R2 и все пакеты
обновлений)
■ Windows Small Business Server 2008
Standard Edition/Windows Small Business
Server 2008 Premium Edition
(поддерживается R2 и все пакеты
обновлений)
Требования к системе и установке 35
Требования к системе

Компонент 32-bit 64-bit

Оперативная Для большинства систем: не менее 1 ГБ Необходим следующий объем


память оперативной памяти (рекомендуется 2-4 оперативной памяти:
ГБ)
■ Для большинства систем: не менее 1
ГБ оперативной памяти (рекомендуется
2-4 ГБ)
■ Не менее 4 ГБ оперативной памяти для
всех вариантов Windows Small Business
Server 2008 и Windows Essential Business
Server 2008

Жесткий диск 15 МБ 15 МБ

Экран Видеоадаптер и монитор VGA (640x480) Видеоадаптер и монитор VGA (640x480)


или с более высоким разрешением или с более высоким разрешением

Браузер ■ Internet Explorer 6.0 или более поздней ■ Internet Explorer 6.0 или более поздней
версии версии

Системные требования к клиентскому программному обеспечению


Symantec Endpoint Protection
Установку клиента должен выполнять администратор компьютера или
домена Windows. Программа установки продукта Symantec запускает вторую
программу установки для создания и запуска служб, а также для изменения
реестра.
36 Требования к системе и установке
Требования к системе

Табл. 2-4 Системные требования к клиентскому программному


обеспечению Symantec Endpoint Protection

Компонент 32-bit 64-bit

Процессор Для большинства систем: 1 ГГц Intel Поддерживаются процессоры со


Pentium III следующим быстродействием:

■ 2 ГГц для Small Business Server 2008


Premium Edition
■ 2,5 ГГц для Essential Business Server
2008 Premium Edition
1 ГГц в 64-разрядных системах
поддерживается только для следующих
процессоров:

■ Intel Xeon с поддержкой Intel EM64T


■ Intel Pentium IV с поддержкой EM64T
■ AMD 64-Bit Opteron
■ AMD 64-Bit Athlon

Примечание: Itanium не поддерживается.


Требования к системе и установке 37
Требования к системе

Компонент 32-bit 64-bit

Операционная Поддерживаются следующие Поддерживаются следующие


система операционные системы: операционные системы:
■ Windows 2000 ■ Windows XP Professional с пакетом
Professional/Server/Advanced обновления 1 или более поздним
Server/Datacenter Server/Small Business Примечание: В режиме передачи
Server с пакетом обновления 3 или данных Windows XP поддерживает
более поздним ограниченное число одновременных
■ Windows XP Professional/XP Embedded пользователей. Режим получения
с пакетом обновления 1 или более данных на серверах Windows XP
поздним позволяет одновременно работать до
Примечание: В режиме передачи 100 клиентам. Дополнительная
данных Windows XP поддерживает информация приведена в разделе
ограниченное число одновременных Устранение неполадок соединений в
пользователей. Режим получения Symantec Endpoint Protection Manager
данных на серверах Windows XP 11.x на веб-сайте службы поддержки
позволяет одновременно работать до Symantec.
100 клиентам. Дополнительная ■ Windows Server 2003 Standard
информация приведена в разделе Edition/Enterprise Edition/Datacenter
Устранение неполадок соединений в Edition/Storage Edition/Small Business
Symantec Endpoint Protection Manager Server
11.x на веб-сайте службы поддержки ■ Windows Vista (все версии x64 и пакеты
Symantec. обновлений)
■ Windows Server 2003 Standard ■ Windows 7 (все версии x64)
Edition/Enterprise Edition/Datacenter Windows Server 2008 Standard/Windows

Edition/Storage Edition/Web Edition/ Server 2008 Enterprise/Windows Server
Small Business Server 2008 Datacenter/Windows Web Server
■ Windows Vista (все версии x86 и все 2008 (поддерживается R2 и все пакеты
пакеты обновлений) обновлений)
■ Windows 7 (все версии x86) ■ Windows Essential Business Server 2008
■ Базовые системы Windows для Standard Edition/Windows Essential
устаревших моделей ПК Business Server 2008 Premium Edition
■ Windows Server 2008 Standard/Windows (поддерживается R2 и все пакеты
Server 2008 Enterprise/Windows Server обновлений)
2008 Datacenter/Windows Web Server ■ Windows Small Business Server 2008
2008 (поддерживаются все пакеты Standard Edition/Windows Small Business
обновлений) Server 2008 Premium Edition
(поддерживается R2 и все пакеты
обновлений)
38 Требования к системе и установке
Требования к системе

Компонент 32-bit 64-bit

Оперативная Необходим следующий объем Необходим следующий объем


память оперативной памяти: оперативной памяти:
■ Не менее 256 Мб оперативной памяти ■ Для большинства систем: не менее 1
(рекомендуется 1 Гб) для Windows XP, ГБ оперативной памяти (рекомендуется
Windows XP Embedded и базовых систем 2-4 ГБ)
Windows для устаревших моделей ПК ■ Не менее 4 ГБ оперативной памяти для
■ Не менее 1 Гб оперативной памяти всех вариантов Windows Small Business
(рекомендуется 2-4 Гб) для Windows Server 2008 и Windows Essential Business
Vista, Windows 7, Windows Server 2003 Server 2008
(все издания) и Windows Server 2008
(все издания)

Жесткий диск 600 МБ 700 МБ

Экран Видеоадаптер и монитор VGA (640x480) Видеоадаптер и монитор XVGA (1024x768)


или с более высоким разрешением или с более высоким разрешением

Прочие требования Internet Explorer 6.0 или более поздней Internet Explorer 6.0 или более поздней
версии версии
Клиенты Terminal Server, подключаемые
к компьютеру с антивирусной защитой,
дополнительно предъявляют следующие
требования:

■ Клиент Microsoft Terminal Server RDP


(Remote Desktop Protocol)
■ Клиент Citrix Metaframe (ICA) 1.8 или
более поздней версии, если на Terminal
Server применяется сервер Citrix
Metaframe

Примечание: Мастер развертывания методом целевой рассылки не


проверяет, установлен ли на компьютере Internet Explorer 6.0 или более
поздней версии. Если на целевом компьютере не установлена правильная
версия Internet Explorer, установка будет прервана без предупреждения.

Системные требования к клиентскому программному обеспечению


Symantec Network Access Control
Установку клиента Symantec должен выполнять администратор компьютера
или домена Windows. Программа установки продукта Symantec запускает
Требования к системе и установке 39
Требования к системе

вторую программу установки для создания и запуска служб, а также для


изменения реестра.

Табл. 2-5 Системные требования к клиентскому программному


обеспечению Symantec Network Access Control

Компонент 32-разрядный 64-разрядный

Процессор Для большинства систем: 1 ГГц Intel Поддерживаются процессоры со


Pentium III следующим быстродействием:

■ 2 ГГц для Small Business Server 2008


Premium Edition
■ 2,5 ГГц для Essential Business Server
2008 Premium Edition
1 ГГц в 64-разрядных системах
поддерживается только для следующих
процессоров:

■ Intel Xeon с поддержкой Intel EM64T


■ Intel Pentium IV с поддержкой EM64T
■ AMD 64-Bit Opteron
■ AMD 64-Bit Athlon

Примечание: Itanium не поддерживается.


40 Требования к системе и установке
Требования к системе

Компонент 32-разрядный 64-разрядный

Операционная Поддерживаются следующие Поддерживаются следующие


система операционные системы: операционные системы:
■ Windows 2000 Server/Advanced ■ Windows XP Professional с пакетом
Server/Datacenter Server/Small Business обновления 1 или более поздним
Server с пакетом обновления 3 или Примечание: В режиме передачи
более поздним данных Windows XP поддерживает
■ Windows XP Professional/XP Embedded ограниченное число одновременных
с пакетом обновления 1 или более пользователей. Режим получения
поздним данных на серверах Windows XP
Примечание: В режиме передачи позволяет одновременно работать до
данных Windows XP поддерживает 100 клиентам. Дополнительная
ограниченное число одновременных информация приведена в разделе
пользователей. Режим получения Устранение неполадок соединений в
данных на серверах Windows XP Symantec Endpoint Protection Manager
позволяет одновременно работать до 11.x на веб-сайте службы поддержки
100 клиентам. Дополнительная Symantec.
информация приведена в разделе ■ Windows Server 2003 Standard
Устранение неполадок соединений в Edition/Enterprise Edition/Datacenter
Symantec Endpoint Protection Manager Edition/Storage Edition/Web Edition/
11.x на веб-сайте службы поддержки Small Business Server
Symantec. ■ Windows Vista (все версии x64 и пакеты
■ Windows Server 2003 Standard обновлений)
Edition/Enterprise Edition/Datacenter ■ Windows 7 (все версии x64)
Edition/Storage Edition/Web Edition/ Windows Server 2008 Standard/Windows

Small Business Server Server 2008 Enterprise/Windows Server
■ Windows Vista (все версии x86 и все 2008 Datacenter/Windows Web Server
пакеты обновлений) 2008 (поддерживается R2 и все пакеты
■ Windows 7 (все версии x86) обновлений)
■ Windows Server 2008 Standard/Windows ■ Windows Essential Business Server 2008
Server 2008 Enterprise/Windows Server Standard Edition/Windows Essential
2008 Datacenter/Windows Web Server Business Server 2008 Premium Edition
2008 (поддерживаются все пакеты (поддерживается R2 и все пакеты
обновлений) обновлений)
■ Windows Small Business Server 2008
Standard Edition/Windows Small Business
Server 2008 Premium Edition
(поддерживается R2 и все пакеты
обновлений)
Требования к системе и установке 41
Требования к системе

Компонент 32-разрядный 64-разрядный

Оперативная Необходим следующий объем Необходим следующий объем


память оперативной памяти: оперативной памяти:
■ Не менее 256 Мб оперативной памяти ■ Для большинства систем: не менее 1
(рекомендуется 1 Гб) для Windows XP ГБ оперативной памяти (рекомендуется
и базовых систем Windows для 2-4 ГБ)
устаревших моделей ПК ■ Не менее 4 ГБ оперативной памяти для
■ Не менее 1 Гб оперативной памяти всех вариантов Windows Small Business
(рекомендуется 2-4 Гб) для Windows Server 2008 и Windows Essential Business
Vista, Windows 7, Windows Server 2003 Server 2008
(все издания) и Windows Server 2008
(все издания)

Жесткий диск 600 МБ 700 МБ

Дисплей Видеоадаптер и монитор VGA (640x480) Видеоадаптер и монитор Super VGA


или с более высоким разрешением (1024x768) или с более высоким
разрешением
Видеоадаптер и монитор Super VGA
(1024x768) или с более высоким
разрешением

Прочие требования Internet Explorer 6.0 или более поздней Internet Explorer 6.0 или более поздней
версии версии
Клиенты Terminal Server, подключаемые
к компьютеру с антивирусной защитой,
дополнительно предъявляют следующие
требования:

■ Клиент Microsoft Terminal Server RDP


(Remote Desktop Protocol)
■ Клиент Citrix Metaframe (ICA) 1.8 или
более поздней версии, если на Terminal
Server применяется сервер Citrix
Metaframe

Примечание: Мастер развертывания методом целевой рассылки не


проверяет, установлен ли на компьютере Internet Explorer 6.0 или более
поздней версии. Если на целевом компьютере не установлена правильная
версия Internet Explorer, установка будет прервана без предупреждения.
42 Требования к системе и установке
Требования к системе

Сведения о клиенте Symantec AntiVirus для Linux


Клиент Symantec AntiVirus для Linux можно установить на неуправляемых
клиентах в средах с Symantec Endpoint Protection. Благодаря функциям
автоматической защиты и сканирования файловой системы (вручную или
автоматически по расписанию) клиент Symantec AntiVirus для Linux
предоставляет постоянную защиту файлов от вирусов.
Поддерживаются следующие операционные системы:
■ Red Hat Enterprise Linux 3.x, 4.x, 5.x
■ SuSE Linux Enterprise (для серверов/рабочих станций) 9.x, 10.x
■ Novell Open Enterprise Server (OES/OES2)
■ Ubuntu 7.x, 8.x
■ Debian 4.x
■ Fedora 10.x
■ VMWare ESX 2.5.x, 3.x
Сведения о системных требованиях, об установке в операционной системе
Linux и об интерфейсе командной строки приведены в книге Symantec
AntiVirus for Linux: Руководство по внедрению.
Сведения о работе с клиентом Symantec AntiVirus в ОС Linux приведены в
книге Symantec AntiVirus for Linux: Руководство по работе с клиентом.
Эти руководства находятся в папке docs на компакт-диске с клиентом
Symantec AntiVirus для Linux.

Системные требования для консоли карантина


Консоль карантина предъявляет следующие требования.

Табл. 2-6 Системные требования для консоли карантина

Компонент 32-разрядный

Процессор 600 МГц Intel Pentium III


Требования к системе и установке 43
Требования к системе

Компонент 32-разрядный

Операционная система Поддерживаются следующие операционные системы:

■ Windows 2000 Professional/Server/Advanced Server/Datacenter


Server/Small Business Server с пакетом обновления 3 или более
поздним
■ Windows XP Professional с пакетом обновления 1 или более поздним
■ Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter
Edition/Web Edition
■ Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business
Edition/Enterprise Edition/Ultimate Edition
■ Windows 7 (x86)
■ Windows Server 2008 Standard Edition/Enterprise Edition/Datacenter
Edition/Web Edition (Core и Full)

Оперативная память 64 МБ оперативной памяти

Жесткий диск 35 МБ

Дисплей Видеоадаптер и монитор Super VGA (1024x768) или с более высоким


разрешением

Прочие требования Помимо вышеперечисленного должны быть выполнены следующие


требования:

■ Internet Explorer 5.5 с пакетом обновления 2 или более поздней версии


■ Microsoft Management Console версии 1.2 или более поздней
Если консоль MMC еще не установлена, то потребуется
дополнительно 3 МБ дискового пространства (10 МБ во время
установки).

Замечание об операционных Консоль карантина не была протестирована в 64-разрядных


системах операционных системах.

Системные требования для сервера Центрального карантина


Ниже описаны требования сервера Центрального карантина.

Табл. 2-7 Системные требования для сервера Центрального карантина

Компонент 32-разрядный 64-разрядный

Процессор 600 МГц Intel Pentium III Не протестировано


44 Требования к системе и установке
Требования к интернационализации

Компонент 32-разрядный 64-разрядный

Операционная Поддерживаются следующие Не протестировано


система операционные системы:
■ Windows 2000
Professional/Server/Advanced
Server/Datacenter Server/Small Business
Server с пакетом обновления 3 или
более поздним
■ Windows XP Professional с пакетом
обновления 1 или более поздним
■ Windows Server 2003 Standard
Edition/Enterprise Edition/Datacenter
Edition/Web Edition
■ Windows Vista (x86) Home Basic
Edition/Home Premium Edition/Business
Edition/Enterprise Edition/Ultimate
Edition

Оперативная 128 МБ оперативной памяти Не протестировано


память

Жесткий диск 40 МБ, от 500 МБ до 4 ГБ для объектов в Не протестировано


карантине и 250 МБ для файла подкачки

Дисплей Видеоадаптер и монитор Super VGA Не протестировано


(1024x768) или с более высоким
разрешением

Прочие требования ■ Internet Explorer 5.5 с пакетом Не протестировано


обновления 2 или более поздней версии

Требования к интернационализации
При установке Symantec Endpoint Protection Manager в среде со смешанными
языками или с языком, отличным от английского, действует ряд
ограничений. При планировании установки можно воспользоваться
приведенными ниже инструкциями по интернационализации (I18N).
Требования к системе и установке 45
Требования к интернационализации

Табл. 2-8 Инструкции по интернационализации

Компоненты Требования

Имена компьютеров, Символы, не входящие в английский алфавит,


доменов, серверов и поддерживаются со следующими ограничениями:
рабочих групп
■ Для имен, содержащих двухбайтовые символы или
символы из второй половины таблицы ASCII, может не
работать функция поиска неуправляемых компьютеров.
Сюда входят имена хостов, доменов и имена
пользователей.
См. "Установка клиента с помощью функции поиска
неуправляемых компьютеров " на стр. 113.
■ Имена с двухбайтовыми символами или символами из
второй половины таблицы ASCII могут неправильно
отображаться в консоли или пользовательском
интерфейсе клиента Symantec Endpoint Protection Manager.
■ Длина имен хостов с двухбайтовыми символами или
символами из второй половины таблицы ASCII не должна
превышать максимально допустимую длину для NetBIOS.
Если имя хоста длиннее, чем допускается для NetBIOS, то
страницы "Домашняя", "Мониторы" и "Отчеты" в консоли
Symantec Endpoint Protection Manager будут
недоступными.
■ Клиентский компьютер, названный именем с
двухбайтовыми символами или символами из второй
половины таблицы ASCII, не сможет работать в качестве
Поставщика групповых обновлений.
46 Требования к системе и установке
Требования к интернационализации

Компоненты Требования

Символы В следующих ситуациях допустимо применение только


английского символов английского алфавита:
алфавита
■ Развертывание пакета клиента на удаленном компьютере.
■ Указание папки данных сервера на странице Мастера
настройки сервера управления.
■ Как определить путь для установки Symantec Endpoint
Protection Manager.
■ Указание идентификационных данных при
развертывании клиента на удаленном компьютере.
■ Указание имени группы. Для групп, имена которых
содержат символы, не входящие в английский алфавит,
можно создать клиентские пакеты. Однако, эти пакеты
нельзя будет развернуть с помощью Мастера
развертывания методом рассылки.
■ Передача символов, не входящих в английский алфавит,
на клиентские компьютеры. Некоторые не входящие в
английский алфавит символы, полученные с сервера,
могут неправильно отображаться в пользовательском
интерфейсе клиента. Например, имя расположения,
содержащее двухбайтовые символы, будет неправильно
отображаться на клиентских компьютерах, имена которых
не содержат двухбайтовые символы.

Окно "Информация Не используйте двухбайтовые символы или символы из


о пользователе" на второй половины таблицы ASCII при отправке отзывов в окне
компьютере-клиенте "Информация о пользователе" на компьютере-клиенте после
установки экспортированного пакета.

Включение Для включения обработки в пакетном режиме при


поддержки I18N в использовании базы данных SQL 200 необходима поддержка
SQL 2000 двухбайтовых символов, символов из второй половины
таблицы ASCII или смешанных сред.

В SQL 2000 можно включить поддержку I18n. В Symantec


Endpoint Protection Manager откройте следующий файл:
c:\...\Symantec Endpoint Protection
Manager\tomcat\etc\conf.properties. Добавьте в файл
следующую строку: scm.log.batchmode=1. Сохраните и
закройте файл. Перезапустите службу Symantec Endpoint
Protection Manager.
Требования к системе и установке 47
Поддержка VMware

Поддержка VMware
Программное обеспечение Symantec поддерживается системой VMware.

Табл. 2-9 Поддержка VMware

Программное Поддержка VMware


обеспечение Symantec

Symantec Endpoint Сервер управления поддерживается в следующих версиях


Protection Manager, VMware:
консоль и компоненты
■ VMware WS 5.0 (рабочая станция) или более поздняя
базы данных
версия
■ VMware GSX 3.2 (промышленного класса) или более
поздняя версия
■ VMware ESX 2.5 или более поздняя версия
■ VMware VMotion
Сервер управления поддерживается в следующих гостевых
операционных системах VMware:

■ Windows 2000 Professional/Server/Advanced Server с


пакетом обновления не ниже 3 (только консоль)
■ Windows Server 2003 Editions
■ Windows Server 2003 x64 Editions
■ Windows XP Home Edition/Professional (только консоль)
■ Windows XP Professional x64 Edition (только консоль)

■ Windows Server 2008 SP2, R2, Small Business


Server/Essential Business Server 2008
■ Windows Vista x86 и x64
48 Требования к системе и установке
Сведения о поддержке Microsoft Virtual Server

Программное Поддержка VMware


обеспечение Symantec

Клиенты Symantec Компоненты клиентов поддерживаются в следующих


Endpoint Protection и версиях VMware:
Symantec Network Access
■ VMware WS 5.0 (рабочая станция) или более поздняя
Control.
версия
■ VMware GSX 3.2 (промышленного класса) или более
поздняя версия
■ VMware ESX 2.5 или более поздняя версия
■ VMware VMotion
Компоненты клиентов поддерживаются в следующих
гостевых операционных системах VMware:

■ Windows 2000 Professional/Server/Advanced Server


■ Windows Server 2003 x86 и x64
■ Windows Server 2008 x86 и x64
■ XP Professional/Home Edition Windows
■ XP Professional x64 Edition

■ Windows Vista x86 и x64

Сведения о поддержке Microsoft Virtual Server


Программное обеспечение Symantec поддерживается на следующих
виртуальных серверах Microsoft:
■ Microsoft Virtual Server 2005
■ Windows Server 2008 Hyper-V

Сведения о совместимости Symantec Endpoint


Protection Manager с другими продуктами
Некоторые продукты могут вступать в конфликт с Symantec Endpoint
Protection при установке их на том же сервере. Если один или несколько
перечисленных ниже продуктов установлены на том же сервере, потребуется
настроить установленный на нем Symantec Endpoint Protection Manager:
■ Symantec Backup Exec 10, 10D или 11D
■ Symantec Brightmail
■ Symantec Enterprise Vault
Требования к системе и установке 49
Сведения о совместимости Symantec Endpoint Protection Manager с другими продуктами

■ Symantec Ghost Solution Suite 2.0


■ Symantec Mail Security for Exchange
■ Symantec NetBackup
■ Microsoft Outlook Web Access
■ Microsoft SharePoint
■ Службы обновления Microsoft Windows
В большинстве случаев для параллельной работы этих программ с Symantec
Endpoint Protection потребуется изменить номера портов.
Информация об изменениях конфигурации приведена в следующем
документе из электронной базы знаний Symantec Knowledge Base: О
проблемах совместимости Symantec Endpoint Security (документ
2008012814460048).
50 Требования к системе и установке
Сведения о совместимости Symantec Endpoint Protection Manager с другими продуктами
Глава 3
Планирование установки
В этой главе рассмотрены следующие вопросы:

■ Сведения о выборе типа базы данных

■ Сведения о брандмауэрах клиентов и портах связи

■ Сведения о выключении и изменении брандмауэра Windows

■ Сведения о подготовке компьютеров к удаленному развертыванию

■ Подготовка сервера Windows Server 2003 к установке с помощью


подключения к удаленному рабочему столу

■ Подготовка клиентских компьютеров к установке

■ Обязательные перезапуски компьютера при установке и переносе данных

Сведения о выборе типа базы данных


Symantec Endpoint Protection Manager использует базу данных для хранения
информации о клиентах и параметрах. База данных создается в процессе
настройки. Прежде чем устанавливать сервер управления, необходимо
выбрать используемый тип. Приступать к использованию консоли можно
только после того, как сервер управления будет настроен для работы с базой
данных.
52 Планирование установки
Сведения о брандмауэрах клиентов и портах связи

Табл. 3-1 Типы баз данных, используемых Symantec Endpoint Protection


Manager

Тип базы данных Описание

Встроенная база данных Встроенная база данных входит в комплект поставки


Symantec Endpoint Protection Manager. Файлы встроенной
базы данных входят в состав файлов установки,
находящихся на диске продукта.

Встроенная база данных отличается простотой


установки и настройки и поддерживает до 5 000
клиентов.

См. "О параметрах встроенной базы данных" на стр. 67.

База данных Microsoft SQL Прежде чем устанавливать Symantec Endpoint Protection
Server Manager, необходимо установить Microsoft SQL Server.

Приобретение и установка Microsoft SQL Server


оправданы по следующим причинам:

■ В вашем обслуживании нуждается более 5 000


клиентов. Каждый сервер управления,
использующий Microsoft SQL Server, может
поддерживать до 50000 клиентов. Если у вашей
организации насчитывается более 50 000 клиентов,
можно установить еще один сервер управления.
■ Вам необходима поддержка режимов
восстановления после сбоя и распределения
нагрузки.
См. "Сведения о восстановлении после сбоя и
распределении нагрузки" на стр. 83.

При создании базы данных Microsoft SQL Server в первую


очередь необходимо установить экземпляр Microsoft
SQL Server и настроить его для подключения к серверу
управления. Если планируется настройка
дополнительных серверов управления для репликации,
то для сервера управления рекомендуется выбрать базу
данных SQL Server.

См. "О параметрах конфигурации Microsoft SQL Server"


на стр. 72.

Сведения о брандмауэрах клиентов и портах связи


Если на серверах управления и клиентах применяется брандмауэр, то для
управления ими необходимо открыть определенные порты, через которые
Планирование установки 53
Сведения о брандмауэрах клиентов и портах связи

серверы управления и клиенты будут обмениваться данными. Вместо этого


можно разрешить программе Rtvscan.exe на всех компьютерах отправлять
и принимать данные через брандмауэр. Для удаленной установки
инструментов сервера управления и клиентов необходимо, чтобы был
открыт порт TCP с номером 139.

Табл. 3-2 Порты для установки и подключения клиентов и серверов

Функция Компонент Протокол и порт

Развертывание с Symantec Endpoint Protection TCP 139 и 445 на серверах


помощью мастера Manager и клиенты управления и клиентах
развертывания
UDP 137 и 138 на серверах
методом рассылки
управления и клиентах

Непривилегированные
порты TCP на серверах
управления и клиентах

Функция Найти Symantec Endpoint Protection TCP 139 и 445 на серверах


неуправляемые Manager и клиенты управления
компьютеры
Непривилегированные
порты TCP в клиентах

Трафик поставщика Symantec Endpoint Protection TCP 2967 на всех устройствах


обновлений группы Manager и поставщики Примечание: Это порт по
обновлений группы умолчанию, его можно
Поставщики обновлений групп изменить.
и клиенты
54 Планирование установки
Сведения о брандмауэрах клиентов и портах связи

Функция Компонент Протокол и порт

Обычное Symantec Endpoint Protection Экземпляр SEPM с


подключение Manager и клиенты веб-сайтом по умолчанию,
TCP 80 на серверах
управления

Экземпляр SEPM с
отдельным веб-сайтом, по
умолчанию - TCP 8014 на
серверах управления,
значение можно изменить

Непривилегированные
порты TCP в клиентах
Примечание: Порт 80
можно изменить на TCP 443
(HTTPS).

Менеджер ожидает приема


сообщений на порте Tomcat
по умолчанию, TCP 8005.

Обычное Удаленные консоли Symantec TCP 8443 на серверах


подключение Endpoint Protection Manager и управления
Symantec Endpoint Protection
Непривилегированные
Manager
порты TCP и порт 9090 на
консолях
Примечание: Этот номер
порта настраивается
администратором.

Репликация Сайт-сайт между серверами TCP 8443 между серверами


баз данных баз данных

Установка удаленной Symantec Endpoint Protection TCP 9090 на удаленных


консоли Symantec Manager и удаленная консоль серверах управления
Endpoint Protection Symantec Endpoint Protection
Непривилегированные
Manager Manager
порты TCP на удаленных
консолях
Примечание: Этот номер
порта настраивается
администратором.
Планирование установки 55
Сведения о брандмауэрах клиентов и портах связи

Функция Компонент Протокол и порт

Связь с внешней Удаленные серверы Microsoft TCP 1433 на удаленных


базой данных SQL и Symantec Endpoint серверах Microsoft SQL
Protection Manager
Непривилегированные
порты TCP на серверах
управления
Примечание: По
умолчанию применяется
порт 1433.

Связь с Symantec Symantec Endpoint Protection TCP 1812 на серверах


Network Access Manager и Enforcer управления
Control Enforcer
Непривилегированные
порты TCP на Enforcer
Примечание: Серверы
RADIUS также применяют
порт 1812, поэтому не
устанавливайте Symantec
Endpoint Protection Manager
на том же сервере. В
Symantec Endpoint Protection
Manager этот порт нельзя
изменить.

Идентификация клиента с
помощью Enforcer в UDP 39
999

Мастер переноса и Symantec Endpoint Protection TCP 139, TCP 445,


развертывания Manager и серверы управления непривилегированные
Symantec устаревших версий порты TCP и UDP 137 на
серверах управления

TCP 139, TCP 445,


непривилегированные
порты TCP и UDP 137 на
старых серверах управления
Symantec

LiveUpdate Клиенты и серверы LiveUpdate Непривилегированные


порты TCP в клиентах

TCP 80 на серверах
LiveUpdate
56 Планирование установки
Сведения о выключении и изменении брандмауэра Windows

Сведения о выключении и изменении


брандмауэра Windows
В большинстве версий Windows предусмотрен брандмауэр, который может
запретить определенные типы обмена данными между продуктами
Symantec. Если эти брандмауэры включены, то может оказаться
невозможным установить клиент на удаленных компьютерах с помощью
средств удаленной установки. Если в вашей сети есть компьютеры с такими
операционными системами, настройте их брандмауэры таким образом,
чтобы они разрешали необходимые соединения. Версии Windows без
брандмауэров: Windows XP без Пакета обслуживания 2 или последующих
и Windows 2000.
Для применения брандмауэра Windows его необходимо настроить для
поддержки соединений, открыв соответствующие порты или указав
безопасные программы.
Прежде чем устанавливать клиент с удаленного компьютера, разрешите
отправлять данные из портов TCP 1024-5000 на порты TCP 139 и 445 на
клиентах. Функция проверки с учетом состояния автоматически разрешит
передачу данных, передаваемых в обратном направлении. Также на
клиентах необходимо разрешить прием данных из портов TCP 1024-5000
сервера на порт TCP 139 и разрешить отправку данных на порты TCP
1024-5000 сервера из порта TCP 139. Для соединений по старому протоколу
требуется открыть порт UDP 2967 на всех компьютерах.
См. "Сведения о брандмауэрах Windows и Symantec" на стр. 56.
См. "Сведения о выключении брандмауэра Windows" на стр. 57.
См. "Сведения об изменении брандмауэра Windows Vista, Windows Server
2008 и Windows 7" на стр. 57.

Сведения о брандмауэрах Windows и Symantec


При установке брандмауэра Symantec программа установки автоматически
выключает активные брандмауэры Windows. Если брандмауэр Symantec не
устанавливается, то состояние брандмауэров Windows не изменяется.
Брандмауэр в Windows Vista, Windows Server 2008 и Windows 7 поддерживает
протоколы IPv4 и IPv6. Брандмауэр Symantec поддерживает только протокол
IPv4. Однако в применяемом по умолчанию наборе правил брандмауэра
Symantec есть правило, блокирующее весь трафик IPv6.
Планирование установки 57
Сведения о выключении и изменении брандмауэра Windows

Предупреждение! Не удаляйте правило, блокирующее трафик IPv6. Не


изменяйте действие его фильтра с Блокировать на Разрешить.

Это правило создано для протокола Ethernet. Если просмотреть службы


правила, а затем добавить службу, то можно получить доступ к протоколу
Ethernet. После этого можно выбрать протокол IPv6 для протокола Ethernet.

Сведения о выключении брандмауэра Windows


В большинстве версий Windows есть брандмауэр, который называется
Windows Firewall. Этот брандмауэр может препятствовать удаленной
установке и обмену данными между серверами управления и клиентами.
Отключать брандмауэр Windows не обязательно, если вы можете создать
и настроить правила для того, чтобы открыть соответствующие порты,
разрешающие развертывание. Если вы не можете создать и настроить
правила брандмауэра, отключите брандмауэр Windows, прежде чем
приступать к удаленному развертыванию программного обеспечения
клиента.

Примечание: В состав Windows XP с пакетом обновления 1 входит брандмауэр


Windows, который называется Internet Connection Firewall (Брандмауэр
подключения к Интернету).

После установки программного обеспечения клиента брандмауэр Windows


можно отключить. В Windows Server 2008 Server Core брандмауэр Windows
можно выключить командой netsh.
См. "Сведения о брандмауэрах клиентов и портах связи" на стр. 52.

Сведения об изменении брандмауэра Windows Vista, Windows


Server 2008 и Windows 7
В операционных системах Windows Vista, Windows Server 2008 и Windows 7
предусмотрен брандмауэр, который включен по умолчанию. Работа этого
брандмауэра может воспрепятствовать удаленной установке клиента из
консоли Symantec Endpoint Protection Manager и других средств удаленной
установки. Брандмауэр Windows необходимо настроить таким образом,
чтобы он не мешал компонентам взаимодействовать друг с другом.
Необходимо настроить брандмауэр Windows перед установкой программного
обеспечения клиента. Кроме того, можно отключить брандмауэр Windows
на клиентах на время установки клиента.
58 Планирование установки
Сведения о подготовке компьютеров к удаленному развертыванию

Для того, чтобы брандмауэр Windows не препятствовал установке клиента


в Windows Vista, Windows Server 2008 и Windows 7, необходимо
предварительно разрешить в настройках брандмауэра общий доступ к
файлам и принтерам.

Примечание: Во время установки клиента в системе Window Vista брандмауэр


Windows автоматически изменяется, чтобы разрешить определенным
процессам доступ к данной сети и Интернету. Пользователю не требуется
вносить никакие другие изменения вручную.

Сведения о подготовке компьютеров к удаленному


развертыванию
Может потребоваться изменить некоторые параметры для операционной
системы на клиентских компьютерах, на которых следует развернуть клиент.

Табл. 3-3 Параметры конфигурации операционной системы клиента для


удаленного развертывания

Операционная система клиента Необходимая конфигурация

Windows XP в рабочей группе Выключите простой общий доступ к


файлам. Простой общий доступ к файлам
может препятствовать развертыванию
клиента.

Windows Vista, Windows Server 2008 и ■ Выключите мастер общего доступа к


Windows 7 файлам
■ Включите поиск компьютеров в сети
с помощью окна "Сеть и общий
доступ".
■ Проверьте наличие повышенного
уровня прав доступа у вашей учетной
записи.

Windows Vista, Windows Server 2008 и Учетная запись, применяемая для


Windows 7 в домене Active Directory развертывания клиента, должна
являться администратором домена и
иметь повышенные права доступа на
клиентском компьютере.
Планирование установки 59
Подготовка сервера Windows Server 2003 к установке с помощью подключения к удаленному рабочему столу

Подготовка сервера Windows Server 2003 к


установке с помощью подключения к удаленному
рабочему столу
Для установки и нормальной работы Symantec Endpoint Protection Manager
необходим доступ к системному реестру. Для установки программного
обеспечения с помощью подключения к удаленному рабочему столу следует
разрешить удаленное управление на сервере, к которому будет
осуществляться подключение. Затем можно подключиться к этому серверу
с удаленного компьютера с помощью сеанса удаленной консоли или путем
дублирования сеанса консоли.
Дополнительная информация об удаленном рабочем столе и службах
терминала приведена в документации Windows.

Подготовка клиентских компьютеров к установке


Перед установкой программного обеспечения клиента на компьютеры
необходимо проанализировать состояние этих компьютеров.
В Табл. 3-4 перечислены условия, которые необходимо принять во внимание
перед началом процесса установки клиентского программного обеспечения:

Табл. 3-4 Задачи по подготовке клиентских компьютеров к установке

Задачи Описание

Перед установкой или Некоторые угрозы могут помешать установке или


модернизацией на работе клиента. Те компьютеры, на которых
клиентских компьютерах отсутствует антивирусный сканер, можно проверить
избавьтесь от вирусов и на наличие вирусов с помощью Symantec Security
устраните риски. Response. Если в ходе такой проверки будет
обнаружен вирус, вам будет предложено
ознакомиться с инструкциями по устранению этого
вируса вручную (при условии, что такие инструкции
есть в энциклопедии вирусов). Средство проверки
компьютера на наличие вирусов можно запустить со
следующего веб-сайта Symantec Security Response:

http://www.symantec.com/ru/ru/security_response/
60 Планирование установки
Обязательные перезапуски компьютера при установке и переносе данных

Задачи Описание

Проверьте, установлено ли Это могут быть другие программы защиты от вирусов,


на ваших компьютерах от нежелательной рекламы или от
программное обеспечение программ-шпионов. Наличие таких программ может
защиты, разработанное привести к снижению производительности и
другими компаниями эффективности работы клиента. Symantec не
рекомендует применять две антивирусные
программы на одном компьютере. Применение двух
программ защиты от рекламы или
программ-шпионов или двух брандмауэров также
может вызвать проблемы. Эта рекомендация особенно
важна, если обе программы обеспечивают постоянную
защиту. В этом случае они будут конкурировать за
ресурсы компьютера и нерационально расходовать
эти ресурсы на сканирование и исправление одних и
тех же файлов.

Разверните программное Тестовой средой может быть отдельная сеть с


обеспечение клиента в компьютерами, моделирующими рабочую среду.
тестовой среде. Также можно использовать небольшую группу
компьютеров из рабочей сети

См. "Настройка и развертывание программного


обеспечения клиента" на стр. 104.

Обязательные перезапуски компьютера при


установке и переносе данных
В некоторых случаях для завершения установки программного обеспечения
Symantec Endpoint Protection требуется перезапуск компьютера.
Перезапуск компьютера требуется в следующих ситуациях:
■ Все компьютеры клиентов, на которых не установлен MSI 3.1. Обновление
клиента до MSI 3.1, если эта версия не запущена и требуется перезапуск.
■ Установка клиента Symantec Endpoint Protection вместе с защитой от
сетевых угроз и брандмауэром.
■ Перенос сервера Symantec Sygate Enterprise Protection.
Раздел 2
Установка

■ Глава 4. Установка и настройка Symantec Endpoint Protection Manager

■ Глава 5. Установка программного обеспечения клиента Symantec

■ Глава 6. Установка серверов карантина и LiveUpdate


62
Глава 4
Установка и настройка
Symantec Endpoint
Protection Manager
В этой главе рассмотрены следующие вопросы:

■ Установка продукта, выполняемая впервые

■ О параметрах встроенной базы данных

■ Установка и настройка Symantec Endpoint Protection Manager со


встроенной базой данных

■ О параметрах конфигурации Microsoft SQL Server

■ Сведения о режимах идентификации базы данных Microsoft SQL

■ Установка и настройка Symantec Endpoint Protection Manager с базой


данных SQL Server

■ Сведения об установке нескольких экземпляров Symantec Endpoint


Protection Manager

■ Установка дополнительных консолей Symantec Endpoint Protection


Manager

■ Сведения о восстановлении после сбоя и распределении нагрузки

■ Сведения об установке и настройке Symantec Endpoint Protection Manager


для переключения после сбоя или распределения нагрузки

■ Замена встроенной базы данных на базу данных SQL Server


64 Установка и настройка Symantec Endpoint Protection Manager
Установка продукта, выполняемая впервые

■ Сведения об установке и настройке Symantec Endpoint Protection Manager


для репликации

■ Сведения об удалении программы Symantec Endpoint Protection Manager


из системы

Установка продукта, выполняемая впервые


Описанные ниже основные шаги применяются в случае, когда продукт
впервые устанавливается на компьютере.

Табл. 4-1 Процесс установки продукта

Шаг Действие Описание

Шаг 1 Изучение требований к Проверьте, удовлетворяет ли этим


системе и к установке требованиям сеть и компьютеры, на
которых планируется провести установку.

См. "Требования к системе" на стр. 25.

Шаг 2 Планирование и подготовка Выберите тип базы данных, составьте план


к установке развертывания и подготовьте компьютеры
клиентов.

См. "Сведения о восстановлении после сбоя


и распределении нагрузки" на стр. 83.

См. "Сведения о подготовке компьютеров


к удаленному развертыванию" на стр. 58.

См. "Подготовка клиентских компьютеров


к установке" на стр. 59.

Шаг 3 Установить Symantec Запустите программу установки с диска


Endpoint Protection Manager продукта. Сначала будет установлено
программное обеспечение для сервера
управления. Затем выполняется настройка
сервера управления и создается база
данных. Следуйте инструкциям для
выбранного типа базы данных.

См. "Установка и настройка Symantec


Endpoint Protection Manager со встроенной
базой данных" на стр. 68.

См. "Установка и настройка Symantec


Endpoint Protection Manager с базой данных
SQL Server" на стр. 78.
Установка и настройка Symantec Endpoint Protection Manager 65
Установка продукта, выполняемая впервые

Шаг Действие Описание

Шаг 4 Создание и развертывание


установочного пакета
клиента
66 Установка и настройка Symantec Endpoint Protection Manager
Установка продукта, выполняемая впервые

Шаг Действие Описание

После настройки базы данных предлагается


запустить мастер переноса и
развертывания. Этот мастер создает и
рассылает стандартный установочный
пакет клиента.

Вместо этого можно сделать следующее:

■ Запустить мастер переноса и


развертывания позднее из меню Пуск.
■ Создать и развернуть программное
обеспечение клиента позднее с
помощью утилиты консоли "Найти
неуправляемые компьютеры".
См. "Установка клиента с помощью
функции поиска неуправляемых
компьютеров " на стр. 113.

В тестовой среде можно создать и


установить эти пакеты. Такие клиенты
добавляются в группу "Стандартная" и
применяют политики по умолчанию.

Если рабочая среда состоит из большого


числа компьютеров, то может
потребоваться создать нестандартные
политики безопасности. После этого можно
создать настроенные установочные пакеты
клиентов и развернуть их на компьютерах
клиентов.
Примечание: Если установка выполняется
путем обновления Symantec Endpoint
Protection, то заново разворачивать клиент
не требуется. Во время установки Symantec
Network Access Control функции Symantec
Network Access Control активируются на
клиенте без развертывания.

См. "Сведения об установке программного


обеспечения клиента Symantec" на стр. 102.

См. "Настройка и развертывание


программного обеспечения клиента"
на стр. 104.

См. "Создание пакетов установки клиента"


на стр. 110.
Установка и настройка Symantec Endpoint Protection Manager 67
О параметрах встроенной базы данных

Шаг Действие Описание

См. "Развертывание клиента с помощью


мастера развертывания методом рассылки"
на стр. 112.

О параметрах встроенной базы данных


При настройке Symantec Endpoint Protection Manager для работы со
встроенной базой данных можно указать приведенные ниже значения.
См. "Установка и настройка Symantec Endpoint Protection Manager со
встроенной базой данных" на стр. 68.

Табл. 4-2 Параметры встроенной базы данных

Параметр По умолчанию Описание

Выберите параметры Использовать ■ Создать отдельный веб-сайт


конфигурации пользовательский веб-сайт Выключает веб-сайт по умолчанию IIS и создает
веб-сайта IIS веб-сервер Symantec для Symantec Endpoint
Protection Manager.
■ Порт TCP
Порт, применяемый для пользовательского
веб-сайта. Необходимо убедиться, что
применяемый порт не блокируется брандмауэром.
■ Использовать веб-сайт по умолчанию
Устанавливает веб-приложение IIS Symantec
Endpoint Protection в стандартном веб-сайте IIS.
Сайт работает с любыми веб-приложениями,
установленными на веб-сайте.

Имя сервера имя локального хоста Имя компьютера, на котором работает Symantec
Endpoint Protection Manager.

Порт сервера 8443 Номер порта, на котором Symantec Endpoint Protection


Manager ожидает приема запросов.

Порт веб-консоли 9090 Порт HTTP, применяемый для подключения к


удаленной консоли.

Папка данных \\Program Files\Symantec Каталог, в который Symantec Endpoint Protection


сервера Endpoint Protection Manager помещает данные, в том числе резервные
Manager\data копии, репликации журналов и другие файлы. Если
этот каталог не существует, то он будет создан при
установке.
68 Установка и настройка Symantec Endpoint Protection Manager
Установка и настройка Symantec Endpoint Protection Manager со встроенной базой данных

Параметр По умолчанию Описание

Имя сайта Сайт имя локального хоста Имя сайта, содержащего все настроенные компоненты,
работающие в Symantec Endpoint Protection Manager.

Пароль для Нет Пароль, применяемый для шифрования данных,


шифрования которыми обмениваются Symantec Endpoint Protection
Manager, клиенты и дополнительные устройства
Enforcer. Пароль может состоять из 1-32
алфавитно-цифровых символов и должен быть указан.

Если сервер работает в обычном режиме, то в качестве


пароля для шифрования применяется пароль учетной
записи администратора.

Запишите этот пароль и сохраните его в надежном


месте. После создания базы данных изменить или
восстановить этот пароль будет невозможно. Этот
пароль также потребуется при восстановлении после
сбоев, если для восстановления нет резервной копии
базы данных.

См. "Подготовка к восстановлению после аварии"


на стр. 213.

Пользователь admin Имя пользователя по умолчанию, применяемое для


первого входа на консоль Symantec Endpoint Protection
Manager.

(изменить невозможно)

Пароль Нет Пароль, указанный для учетной записи


администратора при настройке сервера.

Адрес электронной Нет На указанный адрес будут направляться уведомления


почты системы.
(необязательно)

Установка и настройка Symantec Endpoint


Protection Manager со встроенной базой данных
Установка со встроенной базой данных - наиболее простой способ установки
Symantec Endpoint Protection Manager. Встроенная база данных поддерживает
до 5 000 клиентов. При настройке сервера управления в обычном режиме
встроенная база данных выбирается автоматически.
Установка Symantec Endpoint Protection Manager проходит в три этапа.
Установка и настройка Symantec Endpoint Protection Manager 69
Установка и настройка Symantec Endpoint Protection Manager со встроенной базой данных

■ Вначале устанавливается сервер управления и консоль.


■ Затем выполняется настройка сервера управления и создание базы
данных.
■ На третьем этапе создается программное обеспечение клиента, которое
разворачивается на компьютерах. Программное обеспечение клиента
можно развернуть как в ходе установки сервера управления, так и
позднее. Программное обеспечение клиента должно быть развернуто
на компьютере, на котором запущен сервер управления.
См. "Настройка и развертывание программного обеспечения клиента"
на стр. 104.
Для каждого этапа предусмотрен отдельный мастер. После завершения
работы каждого мастера отображается запрос о необходимости запуска
следующего мастера.
Как установить
1 Вставьте компакт-диск продукта в дисковод и запустите программу
установки.
2 В окне приветствия выполните одно из следующих действий:
■ Для установки в Symantec Endpoint Protection выберите Установить
Symantec Endpoint Protection Manager.
■ Для установки в Symantec Network Access Control выберите
Установить Symantec Network Access Control и Установить Symantec
Endpoint Protection Manager.

3 В окне приветствия мастера установки нажмите кнопку Далее.


Будет выполнена проверка компьютера на соответствие минимальным
системным требованиям. Если компьютер не пройдет проверку,
отобразится соответствующее сообщение. В такой ситуации можно
нажать Да и продолжить установку Symantec Endpoint Protection
Manager, но производительность может быть очень низкой.
4 В окне "Лицензионное соглашение" выберите Я согласен с условиями
лицензионного соглашения. Нажмите кнопку Далее.
5 На панели "Целевая папка" подтвердите или измените показанный
каталог установки, затем нажмите Далее.
6 На панели "Выберите веб-сайт" выполните нужное действие:
■ Для настройки веб-сервера Symantec Endpoint Protection Manager IIS
в качестве единственного веб-сервера на этом компьютере выберите
Создать отдельный веб-сайт, затем примите или измените Порт
TCP.
70 Установка и настройка Symantec Endpoint Protection Manager
Установка и настройка Symantec Endpoint Protection Manager со встроенной базой данных

■ Для настройки веб-сервера Symantec Endpoint Protection Manager IIS


для работы с другими веб-сайтами на этом компьютере выберите
Использовать веб-сайт по умолчанию.

7 Нажмите кнопку Далее.


8 В окне, подтверждающем готовность к установке программы, нажмите
кнопку Установить.
9 По завершении установки откроется окно "Работа мастера установки
завершена". Нажмите Готово.
Мастер настройки сервера управления запустится спустя несколько
секунд. Перезагрузите компьютер, когда это будет предложено сделать.
После входа в систему автоматически появится окно мастера.
10 Следуйте инструкциям для выбранного режима настройки: Обычного
или Расширенного.
Как настроить Symantec Endpoint Protection Manager со встроенной базой
данных в обычном режиме
1 В окне мастера настройки сервера управления выберите Простой и
нажмите Далее.
2 Укажите пароль и его подтверждение (не менее 6 символов). При
необходимости укажите адрес электронной почты администратора.
Необходимо задать пароль учетной записи администратора, которая
использовалась для входа на консоль Symantec Endpoint Protection
Manager. Этот пароль также применяется как пароль шифрования при
восстановлении после аварии или добавлении дополнительных
компонентов Enforcer. Пароль для шифрования нельзя изменить после
установки. Он не меняется даже при изменении пароля администратора.
Запишите этот пароль, если Symantec Endpoint Protection
устанавливается в рабочей среде.
3 Нажмите кнопку Далее.
4 На панели с обзором конфигурации показаны значения, которые будут
применяться в процессе установки Symantec Endpoint Protection Manager.
Распечатайте эти параметры или нажмите Далее.
Подождите, пока программа установки создаст базу данных. Это может
занять несколько минут.
5 В окне "Работа мастера настройки сервера управления завершена"
выполните одно из следующих действий:
■ Для развертывания клиента с помощью мастера переноса и
развертывания выберите Да и нажмите кнопку Готово.
Установка и настройка Symantec Endpoint Protection Manager 71
Установка и настройка Symantec Endpoint Protection Manager со встроенной базой данных

См. "Настройка и развертывание программного обеспечения клиента"


на стр. 104.
■ Для того чтобы сначала открыть консоль Symantec Endpoint Protection
Manager, а затем приступить к развертыванию клиента, выберите
Нет и нажмите кнопку Готово.
Как настроить Symantec Endpoint Protection Manager со встроенной базой
данных в расширенном режиме
1 В окне мастера настройки сервера управления выберите Расширенный
и нажмите Далее.
2 Выберите число клиентов, которые будут обслуживаться сервером, и
нажмите кнопку Далее.
Количество клиентов можно выбрать только при первой установке
Symantec Endpoint Protection Manager на данный компьютер.
3 Выберите Установить первый сайт и нажмите Далее
4 В окне с информацией о сервере измените или оставьте значения по
умолчанию и нажмите Далее.
5 В окне выбора имени сайта измените или оставьте имя по умолчанию
в поле "Имя сайта" и нажмите Далее.
6 В окне выбора пароля шифрования укажите пароль и его подтверждение
и нажмите Далее.
Запишите этот пароль и сохраните его в надежном месте. После создания
базы данных изменить или восстановить этот пароль будет невозможно.
Этот пароль также потребуется при восстановлении после сбоев, если
для восстановления нет резервной копии базы данных.
После установки Symantec Endpoint Protection Manager и знакомства с
административными задачами следует защитить файлы, применяемые
для шифрования, на случай восстановления после сбоя.
См. "Подготовка к восстановлению после аварии" на стр. 213.
7 В окне выбора типа базы данных отметьте вариант Встроенная база
данных и нажмите кнопку Далее.
72 Установка и настройка Symantec Endpoint Protection Manager
О параметрах конфигурации Microsoft SQL Server

8 В окне настройки учетной записи администратора системы укажите


пароль длиной не менее 6 символов и его подтверждение. При
необходимости укажите адрес электронной почты администратора.
Нажмите кнопку Далее.
Указанное имя пользователя и пароль необходимо будет ввести для
входа в консоль в первый раз.
Подождите, пока программа установки создаст базу данных. Это может
занять несколько минут.
9 В окне "Работа мастера настройки сервера управления завершена"
выполните одно из следующих действий:
■ Для развертывания клиента с помощью мастера переноса и
развертывания выберите Да и нажмите кнопку Готово.
См. "Настройка и развертывание программного обеспечения клиента"
на стр. 104.
■ Для того чтобы сначала открыть консоль Symantec Endpoint Protection
Manager, а затем приступить к развертыванию клиента, выберите
Нет и нажмите кнопку Готово.

О параметрах конфигурации Microsoft SQL Server


Если Symantec Endpoint Protection Manager устанавливается с базой данных
Microsoft SQL Server, то необходимо выполнить ряд особых требований к
конфигурации сервера SQL Server. Продукт Symantec Endpoint Protection
Manager можно установить с локальной или с удаленной базой данных.
См. "Установка и настройка Symantec Endpoint Protection Manager с базой
данных SQL Server" на стр. 78.
Перед созданием базы данных Symantec рекомендует установить новый
экземпляр SQL Server, соответствующий требованиям Symantec,
предъявляемым в процессе установки и настройки. Базу данных можно
установить и в текущем экземпляре при условии, что этот экземпляр
правильно настроен. Неправильная настройка может привести к сбою во
время установки базы данных. Например, если в SQL выбрано упорядочение
с учетом регистра символов, то во время установки произойдет сбой.

Предупреждение! Symantec Endpoint Protection Manager отправляет имя


пользователя базы данных и пароль Microsoft SQL Server в незашифрованном
виде. Для защиты связи с Microsoft SQL Server разместите оба сервера в
безопасной подсети.
Установка и настройка Symantec Endpoint Protection Manager 73
О параметрах конфигурации Microsoft SQL Server

Табл. 4-3 Необходимые параметры конфигурации сервера SQL

Параметр конфигурации требование для установки

Имя экземпляра Не оставляйте имя по умолчанию. Создайте


другое имя, например, SEPM.

По умолчанию при установке Symantec


Endpoint Protection Manager в экземпляре
сервера SQL создается база данных с именем
Sem5. Экземпляру имя по умолчанию не
присваивается. Это поддерживается, но может
привести к ошибкам при установке
нескольких экземпляров на одном
компьютере.

Настройка идентификации Смешанный режим или режим


идентификации Windows

См. "Сведения о режимах идентификации


базы данных Microsoft SQL " на стр. 77.

Пароль sa Этот пароль следует задать для режима


идентификации "Mixed Mode".

Активный протокол TCP/IP

IP-адреса для TCP/IP (только для Включить IP1 и IP2


сервера SQL Server 2005 и 2008)

Номера портов TCP/IP для IP1, IP2 и Оставьте пустым поле "TCP Dynamic Ports" и
IPALL (только для сервера SQL Server укажите порт в поле "TCP Port". Порт по
2005 и 2008) умолчанию - это 1433. Этот порт указывается
при создании базы данных.

В базе данных Symantec Endpoint Protection


Manager не предусмотрена поддержка
динамических портов.

Удаленные соединения (только SQL Эта функция должна быть включена. Кроме
Server 2005 и 2008) того, должен быть задан протокол TCP/IP.

Если база данных находится на удаленном сервере, следует также


установить на компьютере с Symantec Endpoint Protection Manager
клиентские компоненты SQL Server.
Во время установки Symantec Endpoint Protection Manager необходимо задать
параметры для базы данных. Эти значения нужно выбрать до начала
установки.
74 Установка и настройка Symantec Endpoint Protection Manager
О параметрах конфигурации Microsoft SQL Server

Табл. 4-4 Параметры базы данных Microsoft SQL Server

Параметр По умолчанию Описание

Выберите параметры Использовать веб-сайт по ■ Использовать веб-сайт по умолчанию


конфигурации умолчанию Устанавливает веб-приложение IIS Symantec
веб-сайта IIS Endpoint Protection в стандартном веб-сайте IIS.
Сайт работает с любыми веб-приложениями,
установленными на веб-сайте.
■ Порт TCP
Порт для созданного веб-сайта.
■ Создать отдельный веб-сайт
Выключает веб-сайт по умолчанию IIS и создает
веб-сервер Symantec для Symantec Endpoint
Protection Manager.

Имя сервера имя локального хоста Имя компьютера, на котором работает Symantec
Endpoint Protection Manager.

Порт сервера 8443 Номер порта, на котором Symantec Endpoint Protection


Manager ожидает приема данных.

Порт веб-консоли 9090 Порт HTTP, применяемый для подключения к


удаленной консоли.

Папка данных C:\Program Files\Symantec Каталог, в который Symantec Endpoint Protection


сервера Endpoint Protection Manager помещает данные, в том числе резервные
Manager\data копии, репликации и другие файлы. Если этот каталог
не существует, то он будет создан при установке.

Имя сайта Сайт имя локального хоста Имя сайта, содержащего все настроенные компоненты,
работающие в Symantec Endpoint Protection Manager.

Пароль для Нет Пароль, применяемый для шифрования данных,


шифрования которыми обмениваются Symantec Endpoint Protection
Manager, клиенты и дополнительные устройства
Enforcer. Пароль может состоять из 1-32
алфавитно-цифровых символов и должен быть указан.

Запишите этот пароль и сохраните его в надежном


месте. После создания базы данных изменить или
восстановить этот пароль будет невозможно. Этот
пароль также потребуется при восстановлении после
сбоев, если для восстановления нет резервной копии
базы данных.

См. "Подготовка к восстановлению после аварии"


на стр. 213.
Установка и настройка Symantec Endpoint Protection Manager 75
О параметрах конфигурации Microsoft SQL Server

Параметр По умолчанию Описание

Сервер базы данных имя локального хоста Имя Microsoft SQL Server и необязательное имя
экземпляра. Если сервер базы данных был установлен
с экземпляром по умолчанию, не имеющим имени, то
укажите имя хоста или его IP-адрес. Если сервер базы
данных был установлен с экземпляром, имеющим
имя, то укажите имя хоста\экземпляр или
IP-адрес\экземпляр. Имя хоста может использоваться
только при правильно настроенном DNS.

Если установка выполняется на удаленном сервере


базы данных, то сначала необходимо установить
компоненты клиента SQL Server на компьютере, на
котором работает Symantec Endpoint Protection Manager.

Порт SQL Server 1433 Порт для отправления и получения трафика к серверу
SQL Server.

Значение 0 для порта указывает, что используется


случайный порт, номер которого уточняется в процессе
работы. Это значение не поддерживается.

Имя базы данных sem5 Имя создаваемой базы данных.

Пользователь sem5 Имя создаваемой учетной записи пользователя базы


данных. Это учетная запись роли обычного
пользователя, которому будут предоставлены права
на чтение и запись. Имя может содержать буквы,
цифры и специальные символы ~#%_+=|:./.
Специальные символы `!@$^&*()-{}[]\\<;>,?
недопустимы. Недопустимы также следующие имена:
sysadmin, server admin, setupadmin, securityadmin,
processadmin, dbcreator, diskadmin, bulkadmin.

Пароль Нет Пароль, связанный с учетной записью пользователя


базы данных. В имени могут содержаться буквы,
цифры и символы ~#%_+=|:./. Специальные символы
`!@$^&*()-{}[]\\<;>,? недопустимы.
76 Установка и настройка Symantec Endpoint Protection Manager
О параметрах конфигурации Microsoft SQL Server

Параметр По умолчанию Описание

Папка клиента SQL SQL Server 2000: C:\Program Каталог средства SQL Client, в котором находится файл
Files\Microsoft SQL bcp.exe.
Server\80\Tools\Binn
SQL Server 2005: C:\Program
Files\Microsoft SQL
Server\90\Tools\Binn

SQL Server 2008: C:\Program


Files\Microsoft SQL
Server\100\Tools\Binn

Имя администратора Нет Имя создаваемой учетной записи администратора


БД сервера базы данных, обычно sa.

Пароль Нет Пароль пользователя базы данных.


администратора БД

Папка данных БД Автоматически Расположение каталога с данными SQL Server. При


определяется при щелчке на установке на удаленном сервере идентификатор тома
кнопке По умолчанию должен совпадать с идентификатором на удаленном
сервере.
SQL Server 2000: C:\Program
Files\Microsoft SQL ■ Если именованный экземпляр установлен на SQL
Server\MSSQL\Data Server 2000, то имя экземпляра прибавляется к
MSSQL через знак доллара. Например,
SQL Server 2005: C:\Program
\MSSQL$имя-экземпляра\Data.
Files\Microsoft SQL
■ Если именованный экземпляр установлен на SQL
Server\MSSQL.1\MSSQL\Data
Server 2005, то имя экземпляра прибавляется к
SQL Server 2008: C:\Program MSSQL через точку и численный идентификатор.
Files\Microsoft SQL Server\ Например, \MSSQL.1\имя-экземпляра\Data.
MSSQL10.MSSQLSERVER\ ■ Если именованный экземпляр установлен на SQL
MSSQL\Data Server 2008, то имя экземпляра прибавляется к
MSSQL10. Например,
\MSSQL10.имя-экземпляра\Data.
Примечание: При щелчке на кнопке "По умолчанию"
будет показан правильный каталог установки, если
правильно указаны сервер базы данных и имя
экземпляра. Если при щелчке на кнопке "По
умолчанию" правильный каталог установки не будет
показан, то создание базы данных будет невозможно.

Имя пользователя admin Имя пользователя по умолчанию, применяемое для


администратора первого входа на консоль Symantec Endpoint Protection
Manager.

(изменить невозможно)
Установка и настройка Symantec Endpoint Protection Manager 77
Сведения о режимах идентификации базы данных Microsoft SQL

Параметр По умолчанию Описание

Пароль Нет Пароль администратора, заданный в конфигурации


администратора сервера.

Адрес электронной Нет На указанный адрес будут направляться уведомления


почты системы.
(необязательно)

Сведения о режимах идентификации базы данных


Microsoft SQL
Symantec Endpoint Protection Manager поддерживает два режима
идентификации базы данных Microsoft SQL:
■ Режим идентификации Windows
■ Смешанный режим
Сервер Microsoft SQL можно настроить для работы в режиме идентификации
Windows или в смешанном режиме идентификации. В смешанном режиме
идентификации разрешается использовать идентификационные данные
Windows или SQL. Если сервер SQL настроен для работы в смешанном
режиме, идентификация Symantec Endpoint Protection Manager может
выполняться в режиме идентификации Windows или в смешанном режиме.
Если сервер SQL настроен для работы в режиме идентификации Windows,
идентификация Symantec Endpoint Protection Manager должна выполняться
в том же режиме.
Для удаленных соединений базы данных с использованием режима
идентификации Windows действуют следующие требования:
■ При развертывании в среде Active Directory Symantec Endpoint Protection
Manager должен находиться в одном домене Windows с сервером SQL.
■ При развертывании в среде рабочих групп для локальных компьютеров
и удаленных компьютеров должны использоваться одни
идентификационные данные Windows.
См. "О параметрах конфигурации Microsoft SQL Server" на стр. 72.
78 Установка и настройка Symantec Endpoint Protection Manager
Установка и настройка Symantec Endpoint Protection Manager с базой данных SQL Server

Установка и настройка Symantec Endpoint


Protection Manager с базой данных SQL Server
При настройке Symantec Endpoint Protection Manager для работы с базой
данных SQL Server можно указать локальный либо удаленный SQL Server.
Symantec Endpoint Protection Manager можно установить на локальном
компьютере с Microsoft SQL Server 2000/2005 или 2008 и затем создать базу
данных Symantec Endpoint Protection Manager на локальном SQL Server. В
качестве альтернативы, Symantec Endpoint Protection Manager можно
установить на компьютере, на котором не установлен Microsoft SQL Server
2000, 2005 или 2008. В этом случае база данных Symantec Endpoint Protection
Manager создается на удаленном сервере SQL.
В любом случае, проверьте правильность настройки соответствующих
компонентов SQL Server.

Примечание: Microsoft SQL Server 2000 поддерживается только в


англоязычной версии Windows.

Примечание: При создании новой базы данных SQL Server автоматически


переводит базу данных в режим простого восстановления и включает Auto
Shrink.

См. "О параметрах конфигурации Microsoft SQL Server" на стр. 72.


Для того, чтобы установить Symantec Endpoint Protection Manager:
1 Вставьте компакт-диск продукта в дисковод и запустите программу
установки.
2 В окне Приветствие выполните одно из следующих действий:
■ Для установки для Symantec Endpoint Protection нажмите кнопку
Установить Symantec Endpoint Protection Manager.
■ Для установки для Symantec Network Access Control нажмите кнопку
Установить Symantec Network Access Control, а затем - Установить
Symantec Endpoint Protection Manager.
Установка и настройка Symantec Endpoint Protection Manager 79
Установка и настройка Symantec Endpoint Protection Manager с базой данных SQL Server

3 В окне Приветствие мастера установки нажмите кнопку Далее.


Будет выполнена проверка компьютера на соответствие минимальным
системным требованиям. Если компьютер не пройдет проверку,
отобразится соответствующее сообщение. В такой ситуации можно
нажать Да и продолжить установку Symantec Endpoint Protection
Manager, но производительность может быть очень низкой.
4 В окне Лицензионное соглашение выберите Я согласен с условиями
лицензионного соглашения. Затем нажмите кнопку Далее.
5 На панели Целевая папка подтвердите или измените показанный
каталог установки, затем нажмите Далее.
6 На панели Выберите веб-сайт выполните нужное действие:
■ Для настройки веб-сервера IIS Symantec Endpoint Protection Manager
в качестве единственного веб-сервера на этом компьютере выберите
Создать отдельный веб-сайт. Подтвердите или измените
отображаемый номер порта TCP.
■ Для настройки веб-сервера IIS Symantec Endpoint Protection Manager
для работы с другими веб-сайтами на этом компьютере выберите
Использовать веб-сайт по умолчанию.

7 Нажмите кнопку Далее.


8 В окне Все готово к установке программы нажмите кнопку Установить.
9 По завершении установки откроется окно "Работа мастера установки
завершена". Нажмите Готово.
Мастер настройки сервера запустится спустя примерно 15 секунд.
Перезагрузите компьютер, когда это будет предложено сделать. При
входе в систему автоматически откроется окно мастера настройки
сервера.
Как настроить Symantec Endpoint Protection Manager для работы с базой данных
Microsoft SQL Server
1 В окне Мастеранастройкисерверауправления выберите Расширенный
и нажмите Далее.
2 Выберите число клиентов, которые будут обслуживаться сервером, и
нажмите кнопку Далее.
3 Выберите Установить первый сайт и нажмите Далее
4 На панели Сведения о сервере подтвердите или измените стандартные
значения, затем нажмите Далее.
80 Установка и настройка Symantec Endpoint Protection Manager
Установка и настройка Symantec Endpoint Protection Manager с базой данных SQL Server

5 В окне Информация о сайте в поле "Имя сайта" измените или оставьте


имя по умолчанию и нажмите Далее.
6 В окне Создать пароль шифрования введите пароль в соответствующих
полях и нажмите Далее.
Запишите этот пароль и сохраните его в надежном месте. После создания
базы данных изменить или восстановить этот пароль будет невозможно.
Этот пароль также потребуется при восстановлении после сбоев, если
для восстановления нет резервной копии базы данных.
7 В окне Выбор типа базы данных выберите вариант Microsoft SQL Server
и нажмите кнопку Далее.
8 Выполните одно из следующих действий:
■ Если база данных не существует, выберите вариант Создать новую
базу данных (рекомендуется).
■ Если база данных уже существует, выберите вариант Применять
существующую базу данных.
В существующей базе данных должны быть определены группы файлов
PRIMARY, FG_CONTENT, FG_LOGINFO, FG_RPTINFO и FG_INDEX.
Пользователю базы данных должны быть предоставлены права
db_ddladmin, db_datareader и db_datawriter. Если эти требования не
удовлетворены, установка не будет выполнена. Рекомендуется создать
новую базу данных.
9 Нажмите кнопку Далее.
10 В окне Информация о Microsoft SQL Server укажите значения для
следующих полей:
■ Сервер базы данных
При создании нового экземпляра укажите его в формате имя-сервера
или IP-адрес\экземпляр.
■ Порт SQL Server
■ Имя базы данных
■ Пользователь
■ Пароль
■ Подтверждение пароля (только при создании базы данных)
■ Папка SQL Client
■ Администратор БД (только при создании базы данных)
■ Пароль администратора БД (только при создании базы данных)
Установка и настройка Symantec Endpoint Protection Manager 81
Сведения об установке нескольких экземпляров Symantec Endpoint Protection Manager

■ Папка данных БД

11 Нажмите кнопку Далее.


12 Укажите и подтвердите пароль для учетной записи администратора
Symantec Endpoint Protection Manager. При необходимости укажите
адрес электронной почты администратора.
13 Нажмите кнопку Далее.
14 В окне Предупреждение прочитайте информацию о передаче
незащищенных данных по сети и нажмите OK.
15 В окне Настройка завершена выполните одно из следующих действий:
■ Для развертывания клиента с помощью мастера переноса и
развертывания или мастера развертывания методом рассылки
выберите Да.
См. "Развертывание клиента с помощью мастера развертывания
методом рассылки" на стр. 112.
■ Для того, чтобы сначала открыть консоль Symantec Endpoint
Protection Manager и развернуть клиент позднее, выберите Нет.
После того, как вы установите Symantec Endpoint Protection Manager и
освоите задачи, касающиеся администрирования, необходимо
установить защиту криптографических файлов. Эти файлы необходимы
для восстановления после сбоя. Также следует записать пароль
шифрования, указанный в ходе установки Symantec Endpoint Protection
Manager.
См. "Подготовка к восстановлению после аварии" на стр. 213.

Сведения об установке нескольких экземпляров


Symantec Endpoint Protection Manager
Symantec Endpoint Protection Manager состоит из двух веб-приложений. Для
работы одного из них требуется продукт Microsoft Internet Information
Services, который должен быть установлен до установки Symantec Endpoint
Protection Manager. Другое веб-приложение работает под управлением
сервера Apache Tomcat, который устанавливается автоматически. Symantec
Endpoint Protection Manager включает в себя встроенную базу данных и
консоль Symantec Endpoint Protection Manager. Встроенную базу данных
можно установить автоматически или установить базу данных в отдельном
экземпляре Microsoft SQL Server 2000/2005.
См. "Сведения о выборе типа базы данных" на стр. 51.
82 Установка и настройка Symantec Endpoint Protection Manager
Установка дополнительных консолей Symantec Endpoint Protection Manager

См. "Установка и настройка Symantec Endpoint Protection Manager со


встроенной базой данных" на стр. 68.
См. "Установка и настройка Symantec Endpoint Protection Manager с базой
данных SQL Server" на стр. 78.
В небольшой внутренней сети организации в пределах одного
географического расположения достаточно установить один экземпляр
Symantec Endpoint Protection Manager. В территориально распределенной
сети может потребоваться установить дополнительные экземпляры
Symantec Endpoint Protection Manager, предназначенные для распределения
нагрузки и пропускной способности. В очень большой сети можно
установить дополнительные экземпляры Symantec Endpoint Protection
Manager с дополнительными базами данных и настроить репликацию
между ними. Для обеспечения дополнительной избыточности можно
установить дополнительные экземпляры Symantec Endpoint Protection
Manager, предназначенные для восстановления после сбоя.
См. "Установка дополнительных консолей Symantec Endpoint Protection
Manager" на стр. 82.

Установка дополнительных консолей Symantec


Endpoint Protection Manager
Для того, чтобы можно было удаленно входить в Symantec Endpoint
Protection Manager и управлять им, можно установить дополнительные
консоли управления на дополнительных компьютерах. Для работы консолей
требуется программное обеспечение среды выполнения Java (Java Runtime).
Если на компьютере не обнаружена требуемая версия среды выполнения
Java, она будет установлена автоматически. В параметрах Internet Explorer
может потребоваться разрешить выполнение ActiveX и Java для начала
установки.
См. "Сведения об установке нескольких экземпляров Symantec Endpoint
Protection Manager" на стр. 81.

Примечание: Установочные пакеты клиента, экспортированные с удаленной


консоли, сохраняются на том компьютере, на котором запущена консоль.
Консоль управления также устанавливается на компьютерах, которые
используются для распределения нагрузки и переключения после аварии.
Установка и настройка Symantec Endpoint Protection Manager 83
Сведения о восстановлении после сбоя и распределении нагрузки

Как установить дополнительные консоли Symantec Endpoint Protection Manager


1 Запустите Internet Explorer на компьютере, на котором следует
установить консоль управления.
2 В поле URL введите один из следующих идентификаторов компьютера,
на котором запущен Symantec Endpoint Protection Manager:
■ http://имя-компьютера:9090
■ http://IP-адрес-компьютера:9090
При настройке сервера для веб-консоли по умолчанию задается порт
9090. Номер порта веб-консоли можно изменить с помощью функции
Изменения конфигурации сервера управления в Мастере настройки
сервера управления.
3 В окне Консоли Symantec Endpoint Protection Manager щелкните на
ссылке Щелкните здесь для загрузки и установки Java 6, обновление
14.
Система может запросить разрешение на установку ActiveX.
4 Если появится предупреждение безопасности, нажмите кнопку
Установить.
5 Выполните инструкции мастера установки и нажмите кнопку Готово.
6 В окне браузера щелкните на ссылке Щелкните здесь для загрузки и
входа в Symantec Endpoint Protection Manager.
Если этой ссылки нет, обновите страницу или повторно подключитесь
к ней.
7 В окне Предупреждение о безопасности выберите Выполнить.
8 В окне Создать ярлык выберите Да.
Нажмите кнопку Настроить для открытия окна настройки Java.
9 В окне входа в систему введите имя и пароль пользователя Symantec
Endpoint Protection Manager, а затем нажмите Вход в систему.
10 Завершите процедуру идентификации.

Сведения о восстановлении после сбоя и


распределении нагрузки
Можно установить несколько серверов управления, взаимодействующих
с одним Microsoft SQL Server, и настроить их для восстановления после сбоя
или распределения нагрузки. Если настроено восстановление после сбоя,
84 Установка и настройка Symantec Endpoint Protection Manager
Сведения о восстановлении после сбоя и распределении нагрузки

то в случае отказа одного сервера связь с клиентом будет осуществляться


через другой сервер. Если настроено распределение нагрузки, общая нагрузка
распределяется между серверами с автоматическим восстановлением в
случае отказа одного из них.
См. "Сведения об установке и настройке Symantec Endpoint Protection Manager
для переключения после сбоя или распределения нагрузки " на стр. 85.

Рис. 4-1 Восстановление после сбоя и распределение нагрузки

Клиенты

1 2

Symantec Endpoint Symantec Endpoint


Protection Manager Protection Manager

Microsoft SQL Server

Примечание: На этой иллюстрации представлены компоненты в различных


подсетях. Серверы управления и серверы баз данных могут находиться в
одних и тех же подсетях.

На этом рисунке серверам присвоены номера 1 и 2, что означает поддержку


восстановления после сбоя. В этом примере все клиенты обмениваются
данными с сервером 1. В случае его отключения обмен данными
осуществляется через сервер 2, пока не будет восстановлен сервер 1. На
этом рисунке база данных представлена в виде удаленной системы, однако
ее можно также установить на компьютере с Symantec Endpoint Protection
Manager.
Установка и настройка Symantec Endpoint Protection Manager 85
Сведения об установке и настройке Symantec Endpoint Protection Manager для переключения после сбоя или
распределения нагрузки

Сведения об установке и настройке Symantec


Endpoint Protection Manager для переключения
после сбоя или распределения нагрузки
Конфигурации восстановления после сбоев и распределения нагрузки
поддерживаются только при работе с Microsoft SQL Server. Конфигурации
восстановления после сбоев применяются для обеспечения связи, когда
клиенты не могут подключиться к Symantec Endpoint Protection Manager.
Распределение нагрузки позволяет распределить функции управления
клиентами между серверами Symantec Endpoint Protection Manager. Для
настройки функции распределения нагрузки и восстановления после сбоя
необходимо указать приоритеты серверов управления.
См. "Сведения о восстановлении после сбоя и распределении нагрузки"
на стр. 83.
Нагрузка распределяется между серверами, для которых в списке серверов
управления указан приоритет 1. Если приоритет 1 имеют несколько серверов,
клиенты случайным образом выбирают один из них для установления
связи. Если все серверы с приоритетом 1 недоступны, клиенты
подключаются к серверу с приоритетом 2.

Примечание: При установке сервера для переключения после сбоев или


распределения нагрузки устанавливается консоль управления.

Установка и настройка серверов для восстановления после сбоев и


распределения нагрузки выполняется в два этапа. Сначала на компьютере
устанавливается Symantec Endpoint Protection Manager и добавляется к
существующему сайту. После этого войдите в консоль Symantec Endpoint
Protection Manager и настройте новый Symantec Endpoint Protection Manager.
См. "Установка сервера Symantec Endpoint Protection Manager в режиме для
восстановления после сбоев или распределения нагрузки " на стр. 85.
См. "Настройка восстановления после сбоя и распределения нагрузки для
Symantec Endpoint Protection Manager" на стр. 87.

Установка сервера Symantec Endpoint Protection Manager в режиме


для восстановления после сбоев или распределения нагрузки
Конфигурации Symantec Endpoint Protection Managerдля восстановления
после сбоев и распределения нагрузки поддерживаются только при работе
с Microsoft SQL Server. Файлы SQL Server Native Client также необходимо
86 Установка и настройка Symantec Endpoint Protection Manager
Сведения об установке и настройке Symantec Endpoint Protection Manager для переключения после сбоя или
распределения нагрузки

установить на компьютере, на котором установлен сайт для восстановления


после сбоев или распределения нагрузки.
См. "Сведения о восстановлении после сбоя и распределении нагрузки"
на стр. 83.
Серверы для восстановления после сбоев или распределения нагрузки не
устанавливаются при первой настройке сайта Symantec Endpoint Protection
Manager для работы с встроенной базой данных.
Как выполнить установку сервера Symantec Endpoint Protection Manager в
режиме для восстановления после сбоев или распределения нагрузки
1 Установите Symantec Endpoint Protection Manager.
2 В окне мастера настройки сервера управления выберите Расширенный
и нажмите Далее.
3 Выберите число клиентов, которые будут обслуживаться сервером, и
нажмите кнопку Далее.
Выберите Установить дополнительный сервер управления в
существующем сайте и нажмите кнопку Далее.
4 В окне "Сведения о сервере" измените или оставьте значения по
умолчанию и нажмите Далее.
5 В окне "Информация о Microsoft SQL" укажите значения для удаленного
сервера в следующих полях:
■ Сервер базы данных\экземпляр
■ Порт SQL Server
■ Имя базы данных
■ Пользователь
■ Пароль
■ Путь к SQL Client (на локальном компьютере)
Если в этом поле еще не указан правильный путь, то скорее всего
программа Microsoft SQL Client Utility не установлена или
установлена неверно.

6 Нажмите кнопку Далее.


7 Укажите и подтвердите пароль для учетной записи администратора
Symantec Endpoint Protection Manager. При необходимости укажите
адрес электронной почты администратора.
8 Нажмите кнопку Далее.
Установка и настройка Symantec Endpoint Protection Manager 87
Сведения об установке и настройке Symantec Endpoint Protection Manager для переключения после сбоя или
распределения нагрузки

9 В окне предупреждения прочитайте сообщение и нажмите OK.


10 В окне "Настройка сервера управления завершена" нажмите кнопку
Готово.

Настройка восстановления после сбоя и распределения нагрузки


для Symantec Endpoint Protection Manager
По умолчанию всем серверам Symantec Endpoint Protection Manager
присваивается одинаковый приоритет при настройке для восстановления
после сбоев и распределения нагрузки. Если после установки необходимо
изменить приоритет по умолчанию, можно воспользоваться консолью
Symantec Endpoint Protection Manager. Восстановление после сбоев и
распределение нагрузки можно настроить только в том случае, если сайт
включает несколько серверов управления.
См. "Сведения о восстановлении после сбоя и распределении нагрузки"
на стр. 83.
Как настроить режим восстановления после сбоя и распределения нагрузки
для Symantec Endpoint Protection Manager
1 В консоли Symantec Endpoint Protection Managerвыберите Политики.
2 В окне "Показать политики" справа от поля "Компоненты политики"
щелкните на стрелке вверх, чтобы она превратилась в стрелку вниз.
Затем выберите Списки серверов управления.
3 На панели "Задачи" выберите Добавить список серверов управления.
4 В окне "Списки серверов управления" в разделе "Серверы управления"
нажмите Добавить > Новый приоритет столько раз, какой приоритет
следует добавить.
5 В списке "Серверы управления" выберите Приоритет 1.
6 Нажмите кнопку Добавить > Новый сервер.
7 В окне "Добавить сервер управления" введите полное доменное имя
или IP-адрес Symantec Endpoint Protection Manager в поле "Адрес
сервера".
Если указывается IP-адрес, то он должен быть статическим, чтобы все
клиенты имели возможность обработать этот IP-адрес.
8 Нажмите кнопку ОК.
9 Выполните одно из следующих действий:
■ Для настройки распределения нагрузки между серверами выберите
Приоритет 1.
88 Установка и настройка Symantec Endpoint Protection Manager
Замена встроенной базы данных на базу данных SQL Server

■ Для настройки восстановления после сбоя с помощью других


серверов выберите Приоритет 2.

10 Нажмите кнопку Добавить > Новый сервер.


11 В окне "Добавить сервер управления" введите полное доменное имя
или IP-адрес Symantec Endpoint Protection Manager в поле "Адрес
сервера".
Если указывается IP-адрес, то он должен быть статическим и
распознаваемым всеми клиентами.
12 Нажмите кнопку ОК.
13 Также можно изменить приоритет сервера, чтобы скорректировать
конфигурацию для распределения нагрузки или восстановления после
сбоя. Выберите сервер и выполните одно из следующих действий:
■ Нажмите кнопку Вверх.
■ Нажмите кнопку Вниз.

14 В окне "Списки серверов управления" нажмите кнопку OK.


Затем необходимо применить к группе Список серверов управления.
Как применить список серверов управления
1 В панели "Списки серверов управления"в разделе "Имя" выделите
созданный список.
2 В нижней части окна в области задач выберите пункт Присвоитьсписок.
3 В окне "Применить список серверов управления" выберите группы, для
которых следует применить этот список.
4 Нажмите кнопку Присвоить.
5 В окне "Присвоить список серверов управления" нажмите кнопку OK.

Замена встроенной базы данных на базу данных


SQL Server
Иногда требуется заменить встроенную базу данных на базу данных SQL
Server. Некоторые функции, например, репликация, доступны только при
условии, что Symantec Endpoint Protection Manager настроен для работы с
базой данных SQL Server. Замена встроенной базы данных на базу данных
SQL Server также может способствовать преобразованию пробного
развертывания в рабочую сеть.
Ниже собран порядок действий, которые требуется выполнить:
Установка и настройка Symantec Endpoint Protection Manager 89
Замена встроенной базы данных на базу данных SQL Server

■ Создайте резервные копии файла сертификата хранилища ключей Java


и файла server.xml вне каталога \Symantec\Symantec Endpoint Protection
Manager\.
См. "Создание резервной копии хранилища ключей и файла server.xml
" на стр. 90.
■ Создайте резервную копию встроенной базы данных и переместите либо
скопируйте файл .zip резервной копии в новое расположение. По
умолчанию применяется путь C:\Program Files\Symantec\Symantec
Endpoint Protection Manager\data\backup.
См. "Создание резервной копии встроенной базы данных" на стр. 90.
■ Установите экземпляр SQL Server 2000, SQL Server 2005 или SQL Server
2008.
См. "О параметрах конфигурации Microsoft SQL Server" на стр. 72.
■ Удалите Symantec Endpoint Protection Manager и встроенную базу данных,
выбрав в мастере удаления функцию "Изменить".
См. "Удаление Symantec Endpoint Protection Manager со встроенной базой
данных." на стр. 91.
■ Повторная установка Symantec Endpoint Protection Manager с базой данных
SQL Server
Symantec Endpoint Protection Manager должен быть заново установлен
на прежнем компьютере или на компьютере с исходным IP-адресом или
именем хоста.
■ Восстановите сертификат хранилища ключей Java.
См. "Восстановление исходного файла хранилища ключей Java" на стр. 93.
■ Повторная настройка Symantec Endpoint Protection Manager с базой
данных SQL Server.
См. "Перенастройка Symantec Endpoint Protection Manager с базой данных
SQL Server." на стр. 94.

Примечание: Выполните процедуры обновления сначала на тестовых, и


только потом на рабочих компьютерах.

Предупреждение! Не начинайте обновление, пока не будет создан правильно


сформированный файл восстановления после аварии. Не пытайтесь
выполнить обновление, если резервная копия хранилища ключей, файла
server.xml и базы данных не сохранена вне каталога \Symantec\Symantec
Endpoint Protection Manager\. В процессе удаления эти файлы будут удалены.
90 Установка и настройка Symantec Endpoint Protection Manager
Замена встроенной базы данных на базу данных SQL Server

См. "Подготовка к восстановлению после аварии" на стр. 213.

Создание резервной копии хранилища ключей и файла server.xml


Если подготовка к восстановлению после аварии не выполнена, перед
удалением Symantec Endpoint Protection Manager из системы необходимо
скопировать или переместить файлы хранилища ключей и server.xml. При
удалении эти файлы будут удалены в их исходном расположении.
См. "Подготовка к восстановлению после аварии" на стр. 213.
Как создать резервную копию хранилища ключей и файла server.xml
◆ Скопируйте или переместите все файлы из следующего каталога в
другой каталог, не являющийся подкаталогом \Symantec\Symantec
Endpoint Protection Manager\
\Symantec\Symantec Endpoint Protection Manager\Server Private Key
Backup\
Файлы называются keystore_дата.jks и server_дата.xml

Создание резервной копии встроенной базы данных


Создайте резервную копию существующей встроенной базы данных для
модернизации системы и защиты от потери данных. Например, после
перенастройки сервера управления во время модернизации можно
восстановить эту базу данных на сервере Microsoft SQL Server.
Как создать резервную копию встроенной базы данных
1 На компьютере, на котором работает встроенная база данных, выберите
Пуск > Программы > Symantec Endpoint Protection Manager > Резервное
копирование и восстановление базы данных.
2 В окне "Database Backup and Restore" нажмите кнопку Создатьрезервную
копию.
Операция резервного копирования может занять несколько минут.
Файлы резервной копии будут иметь расширение .zip и будут сохранены
в каталоге \\Program Files\Symantec\Symantec Endpoint Protection
Manager\data\backup\.
3 Нажмите кнопку ОК.
Установка и настройка Symantec Endpoint Protection Manager 91
Замена встроенной базы данных на базу данных SQL Server

4 По окончании резервного копирования нажмите кнопку Выход.


5 Переместите или скопируйте файл резервной копии в другое
расположение, которое не является вложенной папкой установочной
папки \Symantec\Symantec Endpoint Protection Manager.
В ином случае обновление не будет выполнено, поскольку файл
резервной копии удаляется во время удаления приложения.

Установка экземпляра Microsoft SQL 2000, 2005 или 2008


Microsoft SQL Server 2000, 2005 или 2008 можно установить с
идентификацией Windows или идентификацией сервера SQL. Необходимо
знать сетевой порт сервера. Номер этого порта потребуется указать при
повторной установке Symantec Endpoint Protection Manager с базой данных
Microsoft SQL Server.
Как установить экземпляр Microsoft SQL 2000, 2005 или 2008
■ Экземпляр Microsoft SQL Server следует устанавливать и настраивать на
компьютере, на котором работает Symantec Endpoint Protection Manager
и встроенная база данных, но можно установить и на другом компьютере.
См. "О параметрах конфигурации Microsoft SQL Server" на стр. 72.
См. "Сведения о режимах идентификации базы данных Microsoft SQL "
на стр. 77.
См. "Установка и настройка Symantec Endpoint Protection Manager с базой
данных SQL Server" на стр. 78.

Удаление Symantec Endpoint Protection Manager со встроенной


базой данных.
Symantec Endpoint Protection Manager удаляется с помощью утилиты
Windows "Установка и удаление программ".
Как удалить Symantec Endpoint Protection Manager со встроенной базой данных.
1 Выберите Пуск > Настройка > Панель управления > Установка и
удаление программ.
2 В окне "Установка и удаление программ" выберите Symantec Endpoint
Protection Manager > Изменить.
3 В окне приветствия нажмите кнопку Далее.
4 В окне "Обслуживание программ" отметьте вариант Удалить и нажмите
кнопку Далее.
92 Установка и настройка Symantec Endpoint Protection Manager
Замена встроенной базы данных на базу данных SQL Server

5 В окне "Удалить" отметьте вариант Удалить базу данных вместе с


продуктом и нажмите кнопку Далее.
6 В окне "Удалить программу" выберите Удалить.
Если появится сообщение об ошибке доступа к файлу, перезапустите
компьютер и повторите процедуру, не входя в Symantec Endpoint
Protection Manager.

Переустановка Symantec Endpoint Protection Manager с базой


данных Microsoft SQL
При повторной установке Symantec Endpoint Protection Manager с базой
данных Microsoft SQL необходимо указать исходный пароль шифрования.
Этот пароль должен храниться в файле для восстановления после сбоев.
Если это не так, то необходимо будет обратиться к тому, кто знает этот
пароль.
Как переустановить Symantec Endpoint Protection Manager с базой данных
Microsoft SQL
1 Откройте файл для восстановления после сбоев.

2 Вставьте диск продукта и начните установку Symantec Endpoint


Protection Manager с базой данных Microsoft SQL Server.
См. "Установка и настройка Symantec Endpoint Protection Manager с базой
данных SQL Server" на стр. 78.
3 Когда откроется страница "Мастер настройки сервера управления",
выберите Установить первый сайт и нажмите кнопку Далее.
4 Продолжайте установку, вводя те же значения, что и для встроенной
базы данных. Например, введите имя сервера и номер порта, указанные
при установке встроенной базы данных. Введите тот же пароль
шифрования, который был указан при установке встроенной базы
данных, и т.д. Эти значения требуются для правильного обновления
файла sylink.xml.
5 По окончании установки, когда откроется окно "Мастер настройки
сервера управления завершил работу", выберите Нет и нажмите кнопку
Готово.
6 Войдите в Symantec Endpoint Protection Manager.
Установка и настройка Symantec Endpoint Protection Manager 93
Замена встроенной базы данных на базу данных SQL Server

Восстановление исходного файла хранилища ключей Java


Файл хранилища ключей содержит открытые сертификаты, используемые
для защищенных соединений. Файл хранилища ключей используется как
часть процесса восстановления после аварии. Он также используется во
время перехода от встроенной базы данных к базе данных SQL Server. Для
восстановления этого файла необходим пароль личного ключа. Этот пароль
должен храниться в правильном файле восстановления после сбоя, если
таковой был создан в ходе начальной установки. Этот пароль также
содержится в файле server_системное-время.xml.
См. "Подготовка к восстановлению после аварии" на стр. 213.
Как восстановить исходный файл хранилища ключей Java
1 Войдите в консоль и выберите Администратор.
2 На панели "Администратор" выберите Серверы в списке "Задачи".
3 В разделе "Показать серверы" разверните пункт "Локальный сайт" и
щелкните на имени компьютера, идентифицирующем локальный сайт.
4 В разделе "Задачи" выберите Управление сертификатом сервера.
5 В окне приветствия нажмите кнопку Далее.
6 На панели "Управление сертификатом сервера" выберите пункт
Обновить сертификат сервера и нажмите кнопку Далее.
7 В области "Выберите тип импортируемого сертификата" выберите
Хранилище ключей JKS и нажмите Далее.
Если применяется другой тип сертификата, выберите нужный тип.
8 На панели "Хранилище ключей JKS" нажмите кнопку Обзор, выберите
сохраненный файл хранилища ключей keystore_отметка-времени.jks
и нажмите кнопку OK.
9 Откройте текстовый файл с информацией для восстановления после
аварии и скопируйте из него пароль к хранилищу ключей.
10 Перейдите в окно "Хранилище ключей JKS" и вставьте пароль к
хранилищу в поля "Хранилище ключей" и "Ключ".
Поддерживается только вставка путем нажатия клавиш Ctrl + V.
11 Нажмите Далее.
Если появилось сообщение о том, что файл хранилища ключей
недопустим, значит были введены неверные пароли. Скопируйте пароль
еще раз.
94 Установка и настройка Symantec Endpoint Protection Manager
Замена встроенной базы данных на базу данных SQL Server

12 На панели "Завершено" нажмите кнопку Готово.


13 Выйдите из консоли.

Перенастройка Symantec Endpoint Protection Manager с базой


данных SQL Server.
Необходимо знать сетевой порт SQL Server. Номер этого порта потребуется
указать при настройке Symantec Endpoint Protection Manager с базой данных
SQL Server.
См. "О параметрах конфигурации Microsoft SQL Server" на стр. 72.
При повторной установке Symantec Endpoint Protection Manager с базой
данных SQL Server необходимо указать исходный пароль шифрования. Этот
пароль должен храниться в файле для восстановления после сбоев. Если
это не так, то необходимо будет обратиться к тому, кто знает этот пароль.
Как перенастроить Symantec Endpoint Protection Manager с базой данных SQL
Server.
1 Выберите Пуск > Настройка > Панель управления >
Администрирование > Службы.
2 В окне "Службы" на правой панели щелкните правой кнопкой мыши
на службе Symantec Endpoint Protection Manager и выберите пункт
Стоп.
3 Выберите Пуск > Программы > Symantec Endpoint ProtectionManager
> Резервное копирование и восстановление базы данных.
4 В окне "Database Backup and Restore" выберите Восстановить.
5 В командной строке нажмите кнопку Да.
6 В окне "Выбрать файл для резервного копирования" выберите базу
данных, которую следует восстановить, и нажмите кнопку OK.
7 После восстановления базы данных нажмите кнопку Выход.
8 Выберите Пуск > Программы > Symantec Endpoint ProtectionManager
> Мастер настройки сервера управления.
9 В панели приветствия выберите опцию Перенастроить сервер
управления и нажмите кнопку Далее.
Установка и настройка Symantec Endpoint Protection Manager 95
Сведения об установке и настройке Symantec Endpoint Protection Manager для репликации

10 Завершите изменение конфигурации.


Вводимые значения должны соответствовать значениям, которые были
введены при установке Symantec Endpoint Protection Manager. Например,
при создании именованного экземпляра к имени хоста следует
прибавить имя этого экземпляра следующим образом:
имя_хоста/имя_экземпляра
11 Войдите в Symantec Endpoint Protection Manager и нажмите Клиенты.
12 Щелкните правой кнопкой мыши на каждой группе и выберите
Выполнить команду над группой > Обновить содержимое.
Если по истечении получаса клиенты не начнут отвечать, перезапустите
их.

Сведения об установке и настройке Symantec


Endpoint Protection Manager для репликации
Репликация поддерживается как при работе со встроенной базой данных,
так и при работе с Microsoft SQL Server. Конфигурации с репликацией
обеспечивают избыточность. При репликации создается точная копия
данных какой-либо базы данных в другой базе данных. Если одна из баз
данных прекращает работу, то управление клиентами не нарушается, так
как все данные клиента имеются в другой базе данных.
Установка и настройка серверов для репликации выполняется в два этапа.
Если сайт уже создан, то сначала необходимо установить новый Symantec
Endpoint Protection Manager и базу данных для репликации с существующим
экземпляром Manager. Потом в консоли Symantec Endpoint Protection Manager
настраиваются данные и расписание репликации.
Для репликации можно выбрать журналы и пакеты. Пакеты также включают
обновления описаний вирусов, компонентов клиента и программ клиента.
Общий объем пакетов и обновлений может достигать нескольких гигабайт,
если загружаются обновления на нескольких языках. Поэтому при настройке
репликации необходимо оценить объем данных и нагрузку на сеть. Обычно
объем одного пакета достигает 180 мегабайт в сжатом виде.
Можно установить и настроить встроенный сервер базы данных вместе с
Microsoft SQL Server для репликации. В этом случае данные будут
дублироваться между базами данных, т.е. они будут содержать одинаковую
информацию, желательно на разных серверах баз данных на разных
компьютерах. В случае отказа одного сервера базы данных можно
продолжить управление сайтом с помощью исправного сервера базы
данных.
96 Установка и настройка Symantec Endpoint Protection Manager
Сведения об установке и настройке Symantec Endpoint Protection Manager для репликации

Примечание: Symantec Endpoint Protection Manager настраивает репликацию


и управляет ею. Эта репликация не является внутренней репликацией
сервера SQL.

На следующем рисунке серверы Symantec Endpoint Protection Manager


управляют своими клиентами. В случае отключения одного из серверов
для управления его клиентами будет применяться другой сервер.

Рис. 4-2 Пример репликации.

Symantec Endpoint
Symantec Endpoint
Protection Manager
Protection Manager

Клиенты Клиенты

См. "Установка Symantec Endpoint Protection Manager для репликации"


на стр. 96.

Установка Symantec Endpoint Protection Manager для репликации


Серверы для репликации можно установить как при работе со встроенной
базой данных, так и при работе с Microsoft SQL Server. Прежде чем установить
базу данных Microsoft SQL Server для репликации, необходимо установить
Microsoft SQL Server.
См. "Сведения об установке и настройке Symantec Endpoint Protection Manager
для репликации" на стр. 95.
Как установить Symantec Endpoint Protection Manager для репликации
1 Установите Symantec Endpoint Protection Manager.
2 На панели "Мастер настройки сервера управления" нажмите
Дополнительно.
Установка и настройка Symantec Endpoint Protection Manager 97
Сведения об установке и настройке Symantec Endpoint Protection Manager для репликации

3 Выберите число клиентов, которые будут обслуживаться сервером, и


нажмите кнопку Далее.
Эта панель отображается только при первой установке Symantec Endpoint
Protection Manager на компьютере.
4 Выберите Установить дополнительный сайт и нажмите Далее
5 На панели "Сведения о сервере" подтвердите или измените стандартные
значения, затем нажмите Далее.
6 Примите или измените имя в поле "Имя сайта" и нажмите Далее.
7 В окне "Информация о репликации" введите следующие значения:

Имя сервера репликации IP-адрес или имя удаленного Symantec


Endpoint Protection Manager

Порт сервера репликации Значение по умолчанию - 8443.

Имя администратора Имя пользователя с правами


администратора для входа в консоль

Пароль Укажите пароль для введенного имени


администратора

8 Нажмите Далее.
9 В окне предупреждения о сертификате нажмите Да.
10 В окне "Выбор сервера базы данных" выберите один из следующих
вариантов и нажмите Далее.
■ Выберите Встроенная база данных и завершите установку.
См. "Установка и настройка Symantec Endpoint Protection Manager со
встроенной базой данных" на стр. 68.
■ Выберите Microsoft SQL Server и завершите установку.
См. "Установка и настройка Symantec Endpoint Protection Manager с
базой данных SQL Server" на стр. 78.
См. "Как настроить Symantec Endpoint Protection Manager для
репликации" на стр. 97.

Как настроить Symantec Endpoint Protection Manager для


репликации
Настройка серверов для репликации выполняется в консоли Symantec
Endpoint Protection Manager. При этом используются идентификационные
98 Установка и настройка Symantec Endpoint Protection Manager
Сведения об удалении программы Symantec Endpoint Protection Manager из системы

данные администратора, указанные для первого сайта, предназначенного


для репликации.
Как настроить Symantec Endpoint Protection Manager для репликации
1 На компьютере, на котором установлен продукт Symantec Endpoint
Protection Manager в качестве дополнительного сайта, войдите в систему
консоли Symantec Endpoint Protection Manager.
2 В консоли выберите Администратор, затем выберите Серверы.
3 В разделе "Просмотреть серверы" разверните узел "Локальный сайт",
затем "Партнер по репликации", щелкните правой кнопкой мыши на
значке Сайт <удаленный-хост> и выберите пункт Изменить свойства.
4 В окне "Свойства партнера по репликации" укажите параметры для
журналов, пакетов и частоты репликации и нажмите кнопку OK.
За дополнительной информацией об этих параметрах обратитесь к
контекстной справке и руководству администратора Symantec Endpoint
Protection и Symantec Network Access Control.
5 Щелкните правой кнопкой мыши на значке Сайт <удаленный-хост> и
выберите пункт Реплицировать сейчас.
6 Нажмите кнопку Да.
7 Нажмите кнопку ОК.

Сведения об удалении программы Symantec


Endpoint Protection Manager из системы
При удалении Symantec Endpoint Protection Manager будут удалены все
компоненты Symantec, кроме экспортированных пакетов установки клиента.
Однако вы можете указать, что необходимо сохранить встроенную базу
данных, базу данных Microsoft SQL Server и файлы резервных копий. В
любой конфигурации файлы резервной копии базы данных находятся на
компьютере, на котором работает Symantec Endpoint Protection Manager.
Удаление Symantec Endpoint Protection Manager выполняется с помощью
стандартной функции Windows "Установка и удаление программ". Для
удаления базы данных выберите вариант "Изменить". При выборе варианта
"Удалить" база данных будет сохранена.
Перед удалением программы Symantec Endpoint Protection Manager,
настроенной для репликации, необходимо выключить репликацию. После
выключения репликации можно перезагрузить компьютер, с которого
Установка и настройка Symantec Endpoint Protection Manager 99
Сведения об удалении программы Symantec Endpoint Protection Manager из системы

необходимо удалить Symantec Endpoint Protection Manager, и только потом


выполнить процедуру удаления.

Примечание: Необходимо будет вручную удалить все каталоги, содержащие


экспортированные пакеты установки клиента, включая созданные мастером
переноса и развертывания. Также вручную следует удалить все файлы и
каталоги резервных копий, а также содержащие личные ключи,
сертификаты и файлы базы данных.
100 Установка и настройка Symantec Endpoint Protection Manager
Сведения об удалении программы Symantec Endpoint Protection Manager из системы
Глава 5
Установка программного
обеспечения клиента
Symantec
В этой главе рассмотрены следующие вопросы:

■ Сведения об установке программного обеспечения клиента Symantec

■ Настройка и развертывание программного обеспечения клиента

■ Сведения об установке неуправляемого программного обеспечения


клиента

■ Создание пакетов установки клиента

■ Сведения о развертывании программного обеспечения клиента с


помощью сетевого диска

■ Развертывание клиента с помощью мастера развертывания методом


рассылки

■ Установка клиента с помощью функции поиска неуправляемых


компьютеров

■ Импорт списка компьютеров из текстового файла

■ Сведения об установке и развертывании программного обеспечения с


помощью Altiris

■ Параметры установки других фирм

■ Запуск клиента Symantec Endpoint Protection

■ Сведения об удалении клиента Symantec Endpoint Protection из системы


102 Установка программного обеспечения клиента Symantec
Сведения об установке программного обеспечения клиента Symantec

Сведения об установке программного обеспечения


клиента Symantec
На клиенте можно установить следующие продукты: Symantec Endpoint
Protection и Symantec Network Access Control.
См. "Сведения об установке компонентов защиты на клиенте" на стр. 102.
См. "Сведения о программном обеспечении клиента Symantec Network Access
Control" на стр. 103.
См. "Сведения о развертывании 32-разрядных и 64-разрядных клиентов"
на стр. 104.

Примечание: Для установки Symantec Endpoint Protection требуется не менее


500 МБ свободного места на диске. Если свободного места на диске меньше,
установка выполнена не будет.

См. "Настройка и развертывание программного обеспечения клиента"


на стр. 104.

Сведения об установке компонентов защиты на клиенте


Symantec Endpoint Protection содержит множество компонентов, установка
которых выполняется по желанию пользователя. При установке Symantec
Endpoint Protection можно выбрать следующие компоненты:
■ Базовые файлы
Этот компонент является обязательным для всех вариантов установки.
■ Защита от вирусов и программ-шпионов
Устанавливает базовое программное обеспечение защиты от вирусов и
программ-шпионов и позволяет выбрать компонент защиты электронной
почты от вирусов:
■ Защита электронной почты от вирусов

Примечание: Для повышения производительности программа


установки Symantec Endpoint Protection не устанавливает
автоматическую защиту почты в Интернете на серверных
операционных системах Microsoft. Например, эту функцию нельзя
установить на компьютере с Windows Server 2003.

■ Превентивная защита от угроз


Установка программного обеспечения клиента Symantec 103
Сведения об установке программного обеспечения клиента Symantec

Не устанавливает базовое программное обеспечение, но позволяет


выбрать следующие компоненты:
■ Превентивное сканирование TruScan
■ Управление приложениями и устройствами

■ Защита от угроз из сети


Эта опция не устанавливает базовое программное обеспечение, но
позволяет выбрать компонент "Брандмауэр и и предотвращение
вторжений".

Примечание: Symantec Endpoint Protection также устанавливает программное


обеспечение Symantec Network Access Control, но оно не активировано. После
обновленияSymantec Endpoint Protection Manager для Symantec Network
Access Control компонент клиента Symantec Network Access Control
автоматически появится в пользовательском интерфейсе клиента. Таким
образом, если на компьютере уже установлена программа Symantec Endpoint
Protection, и вы приобрели Symantec Network Access Control, устанавливать
программное обеспечение Symantec Network Access Control не требуется.
Если на компьютере клиента установлена программа Symantec Network
Access Control, и вы приобрели Symantec Endpoint Protection, необходимо
установить программное обеспечение клиента. Удалять Symantec Network
Access Control не требуется.

Сведения о программном обеспечении клиента Symantec Network


Access Control
Symantec Network Access Control — это продукт нового поколения,
заменяющий продукты Symantec Network Access Control версии 5.x и Sygate
Secure Enterprise 4.1. Symantec Network Access Control состоит из модуля
проверки целостности хоста и дополнительного программно-аппаратного
комплекса Symantec Enforcer. Основная задача Symantec Network Access
Control состоит в проверке соответствия клиентов внутренним политикам
безопасности. Для проверки на соответствие применяются политики
целостности хоста, созданные пользователем. Политики целостности хоста
в сочетании с аппаратным компонентом проверки позволяют блокировать
доступ к сети для компьютеров, не соответствующих внутренним
требованиям безопасности. Клиенты, не соответствующие требованиям,
могут направляться программой на сервер исправления, позволяющий
загрузить необходимые программы, исправления, обновления описаний
вирусов и т.п.
104 Установка программного обеспечения клиента Symantec
Настройка и развертывание программного обеспечения клиента

Если на клиенте выполняется Symantec Endpoint Protection и добавлен


Symantec Network Access Control, то устанавливать клиент Symantec Network
Access Control не требуется. После обновления Symantec Endpoint Protection
Manager для Symantec Network Access Control компоненты Symantec Network
Access Control автоматически появятся в клиентах.

Сведения о развертывании 32-разрядных и 64-разрядных клиентов


Группы могут содержать как 32-, так и 64-разрядные клиенты. Однако на
клиентах необходимо отдельно устанавливать 32- и 64-разрядные пакеты.
32-разрядные клиенты не работают с 64-разрядными пакетами, и наоборот,
64-разрядные клиенты не работают с 32-разрядными пакетами из-за
несоответствия версий.
Если в среде работают клиенты Symantec Endpoint Protection и клиенты
Symantec Network Access Control, то рекомендуется помещать их в разные
группы. Не рекомендуется помещать клиенты Symantec Endpoint Protection
в группу, содержащую клиенты Symantec Network Access Control. Если
установлен Symantec Endpoint Protection Manager для Symantec Network
Access Control, то клиенты Symantec Endpoint Protection автоматически
поддерживают Symantec Network Access Control.
При создании пакетов установки клиента на сервере управления можно
указать группу для клиентов. Если пакет устанавливается повторно и в нем
указана другая группа, клиенты по-прежнему будут входить в состав
исходной группы. Клиенты не будут включены в новую группу. Клиентов
можно только перенести в новые группы с помощью сервера управления.

Настройка и развертывание программного


обеспечения клиента
Мастер переноса и развертывания позволяет настроить пакет программного
обеспечения клиента. Затем для развертывания пакета программного
обеспечения клиента может применяться мастер развертывания методом
рассылки.

Примечание: В ходе установки потребуется указать каталог, куда будут


помещены установочные файлы. Рекомендуется создать этот каталог перед
началом процедуры. Установку должен выполнять администратор домена
или рабочей группы Windows.
Установка программного обеспечения клиента Symantec 105
Настройка и развертывание программного обеспечения клиента

При развертывании клиента на компьютерах, защищенных брандмауэром


и работающих под управлением Windows XP, Windows Vista или Windows
Server 2008, необходимо учитывать дополнительные факторы. Брандмауэр
должен разрешать удаленное развертывания через порты TCP 139 и 445.
Также на компьютерах рабочих групп, работающих под управлением
Windows XP, необходимо выключить простой общий доступ к файлам. В
Windows Vista и Windows Server 2008 действуют дополнительные требования.
См. "Сведения о выключении и изменении брандмауэра Windows" на стр. 56.
См. "Сведения о подготовке компьютеров к удаленному развертыванию"
на стр. 58.
С помощью функции "Найти неуправляемые компьютеры" можно найти
компьютеры, на которых не установлено программное обеспечение клиента,
а затем установить на них клиент.
См. "Установка клиента с помощью функции поиска неуправляемых
компьютеров " на стр. 113.
Как настроить клиент
1 Запустите мастер переноса и развертывания и выполните одно из
следующих действий:
■ Откройте меню "Пуск" и выберите Программы > Symantec Endpoint
Protection Manager > Мастер переноса и развертывания.
В зависимости от версии Windows путь может отличаться.
■ На последней панели мастера настройки сервера управления
нажмите кнопку Да, а затем — Готово.
См. "Установка и настройка Symantec Endpoint Protection Manager со
встроенной базой данных" на стр. 68.

2 В окне "Вас приветствует мастер переноса и развертывания" нажмите


кнопку Далее.
3 В окне Что необходимо сделать выберите действие Развернуть клиент
(только Symantec Endpoint Protection) и нажмите кнопку Далее.
4 В следующем окне выберите пункт Укажите имя новой группы, в
которую следует добавить клиенты, введите имя группы и нажмите
кнопку Далее.
Эта группа будет показана на консоли после развертывания
программного обеспечения клиента и входа на консоль.
5 В следующем окне отмените выбор тех типов защиты, которые не
требуется устанавливать (только в Symantec Endpoint Protection), и
нажмите кнопку Далее.
106 Установка программного обеспечения клиента Symantec
Сведения об установке неуправляемого программного обеспечения клиента

6 В следующем окне укажите параметры установки для пакетов, файлов


и взаимодействия с пользователем.
7 Нажмите кнопку Обзор, укажите каталог, в который следует поместить
файлы установки, и нажмите кнопку Открыть.
8 Нажмите кнопку Далее.
9 В следующей панели выберите Да и нажмите кнопку Готово.
Создание и экспорт пакета установки для группы может занять
несколько минут. Потом откроется мастер развертывания методом
рассылки.
Как развернуть клиент с помощью мастера развертывания методом рассылки
1 В окне мастера развертывания методом рассылки разверните узлы в
списке Доступные компьютеры, выберите компьютеры для установки
программного обеспечения клиента, и нажмите кнопку Добавить >.
2 В окне идентификации удаленного клиента введите имя пользователя
и пароль, а затем нажмите OK.
Следует указать имя и пароль пользователя, который определен в
домене или рабочей группе Windows, содержащей компьютеры.
3 После того как все компьютеры будут выбраны и показаны на правой
панели, нажмите кнопку Готово.
См. "Запуск клиента Symantec Endpoint Protection" на стр. 127.

Сведения об установке неуправляемого


программного обеспечения клиента
Клиенты могут быть управляемыми или неуправляемыми.. Если
программное обеспечение клиента не нуждается в управлении с помощью
сервера управления, то можно установить неуправляемый клиент. Однако
установка неуправляемого клиента Symantec Network Access Control не
рекомендуется.
Неуправляемый клиент можно установить следующими способами:
■ С помощью программы установки на установочном диске
■ Развертывание пакетов установки клиентов с автономным управлением
с помощью Symantec Endpoint Protection Manager
■ С помощью мастера развертывания методом рассылки с компакт-диска
инструментальных средств.
Установка программного обеспечения клиента Symantec 107
Сведения об установке неуправляемого программного обеспечения клиента

Установка программного обеспечения для неуправляемого клиента


с компакт-диска продукта
Программное обеспечение для неуправляемого клиента Symantec Endpoint
Protection можно установить, запустив файл Setup.exe на компакт-диске
продукта.. Запустится мастер установки, который установит клиентское
ПО.
В режиме Server Core системы Windows Server 2008 поддерживается только
интерфейс командной строки. Однако в этом режиме также можно
управлять установкой с помощью средств удаленного управления. Установку
клиентского ПО с компакт-диска можно выполнить как на локальном
компьютере, так и с удаленного.

Примечание: В Windows Vista и Windows Server 2008 нажимайте кнопку


Продолжить в окнах управления учетными записями пользователей,
которые появляются при выполнении этих процедур.

Как установить программное обеспечение для неуправляемого клиента


Symantec Endpoint Protection с компакт-диска
1 Вставьте в дисковод компакт-дисков установочный компакт-диск и
запустите программу установки, если она не запустилась автоматически.
2 Нажмите кнопку УстановитьSymantec Endpoint Protection Клиент.
3 В окне приветствия нажмите кнопку Далее.
4 В окне "Лицензионное соглашение" выберите Я согласен с условиями
лицензионного соглашения. Нажмите кнопку Далее.
5 Подтвердите, что выбрано значение Неуправляемый компьютер, затем
нажмите кнопку Далее.
Эта панель будет показана только в том случае, если программное
обеспечение клиента Symantec Endpoint Protection устанавливается на
этом компьютере впервые.
6 На панели "Тип установки" выполните нужное действие:
■ Нажмите Обычная для установки клиентского ПО с типичными
параметрами. Затем нажмите Далее.
■ Нажмите Выборочная для выбора устанавливаемых компонентов
и их установки, затем нажмите Далее.
На панели Выборочная установка выберите компоненты, которые
требуется установить, и способ их установки. Подтвердите каталог
108 Установка программного обеспечения клиента Symantec
Сведения об установке неуправляемого программного обеспечения клиента

установки или нажмите Изменить для выбора другого каталога,


затем нажмите Далее.

7 На панели "Параметры защиты" нажмите Далее.


При необходимости можно после завершения установки выключить
переключатели Включить автоматическую защиту и Запускать
LiveUpdate. Нажмите Далее.
В операционной системе Windows Vista можно также выключить
Windows Defender.
8 В окне, подтверждающем готовность к установке программы, нажмите
кнопку Установить.
9 На последней панели мастера установки нажмите кнопку Готово.
Если в ходе установки переключатель "Запускать LiveUpdate" был
включен, то по окончании установки будет запущена программа
LiveUpdate. Затем будет выведен запрос на перезагрузку компьютера.
Как установить программное обеспечение для неуправляемого клиента с
компакт-диска продукта
1 Вставьте в накопитель диск продукта и запустите программу установки,
если она не запустилась автоматически.
2 Нажмите Установить Symantec Network Access Control, затем нажмите
Установить Symantec Network Access Control.
3 В окне приветствия нажмите кнопку Далее.
4 В окне "Лицензионное соглашение" выберите Я согласен с условиями
лицензионного соглашения. Нажмите кнопку Далее.
5 На панели "Целевая папка" подтвердите или измените показанную
целевую папку, затем нажмите Далее.
6 На панели, подтверждающей готовность к установке, нажмите кнопку
Установить.
7 На последней панели мастера установки нажмите кнопку Готово.
Затем будет выведен запрос на перезагрузку компьютера.
Как установить программное обеспечение для неуправляемого 64-разрядного
клиента Symantec Endpoint Protection в 64-разрядной системе Windows Server
2008 в режиме Server Core
1 Вставьте компакт-диск продукта в дисковод.
2 Перейдите в корневой каталог на диске продукта.
3 Введите cd SEPWIN64\X64 и нажмите клавишу Enter.
Установка программного обеспечения клиента Symantec 109
Сведения об установке неуправляемого программного обеспечения клиента

4 Введите vcredist_x64.exe и нажмите Enter.


5 Перейдите в корневой каталог на диске продукта.
6 Введите Setup.exe и нажмите Enter
7 Выполняйте инструкции мастера установки.
Как установить ПО для неуправляемого клиента Symantec Endpoint Protection
в системе Windows Server 2008 в режиме Server Core (все остальные клиенты)
1 Вставьте компакт-диск продукта в дисковод.
2 Откройте командную строку.
3 Перейдите в корневой каталог компакт-диска.
4 Введите Setup.exe и нажмите Enter
5 Выполняйте инструкции мастера установки.

Развертывание программ неуправляемого клиента с помощью


консоли
Установочные пакеты неуправляемого клиента можно экспортировать из
Symantec Endpoint Protection Manager. Экспортированные пакеты не следует
присваивать группам. В противном случае после установки программного
обеспечения клиенты в группах в консоли отображаться будут. Но управлять
ими вы не сможете.

Развертывание программ неуправляемого клиента с помощью


Мастера развертывания методом рассылки
Неуправляемое программное обеспечение можно установить с помощью
Мастера развертывания методом рассылки. Мастер запускается файлом
ClientRemote.exe. Этот файл находится в каталоге
Tools\PushDeploymentWizard на компакт-диске продукта с дополнительными
инструментами.
В ответ на приглашение системы указать папку с клиентским программным
обеспечением выберите один из вариантов:
■ Для развертывания клиента Symantec Endpoint Protection выберите папку
SEP на компакт-диске.
■ Для развертывания клиента Symantec Network Access Control выберите
папку SNAC.
110 Установка программного обеспечения клиента Symantec
Создание пакетов установки клиента

Создание пакетов установки клиента


Доступны два типа пакетов:
■ Пакет установки клиента по умолчанию, который создается во время
установки Symantec Endpoint Protection Manager.
■ Настраиваемый пакет установки клиента, который создается
исключительно для определенной группы или нескольких групп. Пакет
установки этого типа может содержать настроенные политики группы
и параметры.
Любой из этих двух типов пакетов можно создать в виде 32-разрядного или
64-разрядного пакета.
При установке пакета по умолчанию, клиенты помещаются в группу
Временные, и им присваиваются политики по умолчанию. Настраиваемый
пакет обычно не присваивают группе Временные.
Создать пакеты установки клиента можно в любое время. Если вы создали
настраиваемые политики, изменять которые планируется нечасто, то можно
создать установочный пакет клиента для группы, использующей эти
политики. Этот пакет затем можно будет устанавливать на новых
компьютерах, добавляемых в группу. При этом для изменения политик не
требуется новый пакет установки клиента. Изменения в политиках
автоматически распространяются на все клиенты в группе, к которой
применяются политики.

Примечание: Установочные пакеты клиента на компьютерах под


управлением Microsoft Windows Server 2008 или Microsoft Vista (x64) следует
развертывать в режиме без вывода сообщений или автономным способом.
При развертывании установочных пакетов на компьютерах под управлением
Microsoft Vista (x86) следует использовать режим без вывода сообщений.
При выполнении развертывания без вывода данных, приложения,
встраиваемые в Symantec Endpoint Protection, например, Microsoft Outlook
и Lotus Notes, необходимо перезапустить.

Примечание: Дополнительная информация о пакетах установки клиента


приведена в книге Руководство администратора Symantec Endpoint
Protection и Symantec Network Access Control.
Установка программного обеспечения клиента Symantec 111
Сведения о развертывании программного обеспечения клиента с помощью сетевого диска

Как создать пакеты установки клиента


1 На консоли Symantec Endpoint Protection Manager выберите
Администрирование.
2 На панели задач выберите Установочные пакеты.
3 В правой части окна в списке "Имя пакета" выберите пакеты для
экспорта.
4 В левой нижней части окна в области задач выберите пункт
Экспортировать установочный пакет клиента.
5 В окне "Экспортировать пакет" нажмите кнопку Обзор.
6 В окне "Выбрать папку для экспорта" выберите каталог, в котором
следует сохранить экспортированный пакет, и нажмите кнопку OK.
7 В окне "Экспортировать пакет" укажите прочие необходимые параметры.
Для просмотра сведений о прочих параметрах, предусмотренных в этом
окне, нажмите кнопку Справка.
8 Нажмите кнопку OK.
Дополнительная информация содержится в статье Базы знаний поддержки
Symantec 2007111409432848.

Сведения о развертывании программного


обеспечения клиента с помощью сетевого диска
После экспорта установочного пакета клиента в каталогможно сделать этот
каталог общим, а пользователи затем могут отобразить этот каталог с
клиентских компьютеров. В этом случае пользователи смогут устанавливать
клиент с сетевого диска.
См. "Создание пакетов установки клиента" на стр. 110.

Примечание: Во время установки программного обеспечения клиента


Symantec Endpoint Protection сетевой диск временно отключается. Это
запланированная операция. Во время установки программного обеспечения
клиента Symantec Network Access Control сетевой диск не отключается.
112 Установка программного обеспечения клиента Symantec
Развертывание клиента с помощью мастера развертывания методом рассылки

Развертывание клиента с помощью мастера


развертывания методом рассылки
Мастер развертывания методом рассылки запускается автоматически при
выборе мастера переноса и развертывания либо из меню Пуск Windows. Вы
должны знать еще перед запуском мастера, какой именно пакет программ
клиента планируется развернуть и в какой папке он находится. Пакет
программ нужно будет выбрать во время развертывания.
Как установить программы клиента с помощью мастера развертывания
методом рассылки
1 Запустите мастер переноса и развертывания и выполните одно из
следующих действий:
■ Откройте меню "Пуск" и выберите Программы > Symantec Endpoint
Protection Manager > Мастер переноса и развертывания.
В зависимости от версии Windows путь может отличаться.
■ На последней панели мастера настройки сервера управления
нажмите кнопку Да, а затем — Готово.

2 В окне приветствия нажмите кнопку Далее.


3 Нажмите кнопку Развернуть клиент (только для Symantec Endpoint
Protection) и выберите Далее.
4 Выберите Выбрать существующий установочный пакет клиента для
развертывания и нажмите Готово.
5 На панели мастера развертывания методом рассылки нажмите кнопку
Обзор и откройте папку, содержащую установочный пакет, который
необходимо развернуть. Нажмите кнопку OK.
6 На панели "Выбрать компьютеры" в разделе "Доступные компьютеры"
выберите компьютеры для установки программного обеспечения
клиента.
Кроме того, можно импортировать рабочую группу или домен
компьютеров, а также текстовый файл со списком компьютеров.
См. "Импорт списка компьютеров из текстового файла" на стр. 115.
7 Нажмите кнопку Добавить.
Установка программного обеспечения клиента Symantec 113
Установка клиента с помощью функции поиска неуправляемых компьютеров

8 В окне идентификации удаленного клиента введите имя пользователя


и пароль, а затем нажмите OK.
Следует указать имя и пароль пользователя, который определен в
домене или рабочей группе Windows, содержащей компьютеры.
9 После того как все компьютеры будут выбраны и показаны на правой
панели, нажмите кнопку Готово.

Установка клиента с помощью функции поиска


неуправляемых компьютеров
Установить клиент можно с помощью функции "Найти неуправляемые
компьютеры" в консоли Symantec Endpoint Protection Manager. Эта утилита
позволяет найти компьютеры, на которых не установлен клиент, и затем
установить на них клиент.

Примечание: Эта утилита помещает неуправляемые компьютеры в


категорию "Неизвестно", если уровни идентификации LAN Manager
несовместимы с шестью определенными уровнями идентификации.
Symantec рекомендует работать только с уровнем Send NTLM 2 response.
Для того чтобы изменить политику, выберите Параметры локальной
политики > Параметры безопасности > Локальные политики > Настройки
безопасности > [Безопасность сети] Уровень идентификации LAN Manager.
Эта утилита не распознает правильно операционные системы Windows 2000,
будучи запущена в установке Windows Server 2003 по умолчанию. Для обхода
этого ограничения запустите службу Symantec Endpoint Protection Manager
как Administrator, а не System, в панели служб.

Предупреждение! Утилита ищет сетевые устройства и показывает их на


вкладке неизвестных компьютеров. Так, на этой вкладке будут показаны
интерфейсы маршрутизатора, обнаруженные этой утилитой. Будьте
внимательны при установке клиента на устройства, показанные на вкладке
неуправляемых компьютеров. Проверьте, являются ли эти устройства
допустимыми для установки клиента.

Программное обеспечение клиента можно развернуть и с помощью мастера


развертывания методом рассылки.
См. "Развертывание клиента с помощью мастера развертывания методом
рассылки" на стр. 112.
114 Установка программного обеспечения клиента Symantec
Установка клиента с помощью функции поиска неуправляемых компьютеров

Как установить клиент с помощью функции поиска неуправляемых


компьютеров
1 В консоли Symantec Endpoint Protection Manager выберите Клиенты.
2 На панели задач выберите Найти неуправляемые компьютеры.
3 В окне "Найти неуправляемые компьютеры" в разделе "Искать по"
выберите Диапазон IP-адресов и укажите начальный и конечный
IP-адреса.
Просмотр 100 несуществующих IP-адресов занимает примерно 5,5
минут. Можно также указать имя компьютера.
4 В окне "Идентификационные данные для входа в систему" укажите
имя пользователя, пароль и домен или рабочую группу для входа в
систему с правами администратора и установки.
5 Нажмите кнопку Найти.

6 На вкладке "Неизвестные компьютеры" или "Неуправляемые


компьютеры" выполните одно из следующих действий:
■ Выберите все компьютеры, на которых необходимо установить
клиент.
■ Нажмите кнопку Выбрать все.
Установка программного обеспечения клиента Symantec 115
Импорт списка компьютеров из текстового файла

7 В окне "Установка" выберите пакет установки, вариант установки и


устанавливаемые компоненты.
8 Для установки в группу, отличающуюся от временной, нажмите
Изменить, выберите другую группу и нажмите кнопку OK.
9 Если все готово для установки клиента, нажмите кнопку Начать
установку.

Импорт списка компьютеров из текстового файла


Можно вместо выбора компьютеров в ходе работы мастера развертывания
методом рассылки импортировать список компьютеров из текстового файла.
Можно создать текстовый файл, содержащий список IP-адресов включаемых
компьютеров. Это файл можно импортировать во время работы мастера
развертывания методом рассылки и затем развернуть программное
обеспечение клиента на указанных компьютерах.
Применяемый текстовый файл должен содержать все IP-адреса в отдельных
строках. При необходимости с помощью точки с запятой (;) или двоеточия
(:) можно превратить в комментарий те IP-адреса, которые не требуется
импортировать. Например, можно временно удалить адреса в подсети,
которая недоступна во время развертывания.

Примечание: Не рекомендуется использовать текстовый файл для IP-адресов,


присвоенных с помощью DHCP.

Как импортировать текстовый файл со списком компьютеров для выполнения


установки
1 С помощью текстового редактора (например, Блокнота), создайте новый
текстовый файл.
2 В окне выбора компьютеров нажмите кнопку Выбрать.
3 В окне сведений о клиентах нажмите кнопку Импортировать.
116 Установка программного обеспечения клиента Symantec
Сведения об установке и развертывании программного обеспечения с помощью Altiris

4 Найдите файл, содержащий список IP-адресов компьютеров, и дважды


щелкните на его имени.
Для компьютеров, поддерживающих идентификацию, может
потребоваться указать имя пользователя и пароль. Кроме того,
программа установки проверяет наличие ошибок. Вам будет предложено
просмотреть информацию об ошибках для каждого отдельного
компьютера либо сохранить ее в файле журнала для дальнейшего
просмотра и анализа.
5 Завершите установку.

Сведения об установке и развертывании


программного обеспечения с помощью Altiris
Установить и развернуть клиент Symantec можно с помощью программного
обеспечения фирмы Altiris, теперь включенной в Symantec. Altiris
предоставляет бесплатный компонент для Symantec Endpoint Protection,
который обеспечивает функции установки, интегрированного управления
клиентами и создания сводных отчетов.
Программное обеспечение Altiris упрощает защиту и обслуживание ресурсов
ИТ в организациях ИТ. Оно также предоставляет функции доставки
программного обеспечения, управления обновлениями и прочие служебные
функции. Программное обеспечение Altiris позволяет полнее включить
службы ИТ в общую структуру бизнес-задач организации, организовать
контролируемую среду безопасности, автоматизировать задачи, упростить
обслуживание и снизить затраты.
Сведения об интегрированном компоненте для Symantec Endpoint Protection
можно найти на следующем веб-сайте:
https://kb.altiris.com/article.asp?article=35819&p=1
Сведения о компании Altiris можно найти на следующем сайте:
http://www.altiris.com
Загрузить интегрированный компонент для Symantec Endpoint Protection,
а также другие продукты от Altiris можно со следующего веб-сайта:
http://www.altiris.com/Download.aspx
Установка программного обеспечения клиента Symantec 117
Параметры установки других фирм

Параметры установки других фирм


Клиент Symantec поддерживает установку, в которой для развертывания
клиента применяются средства других фирм. Однако для настройки этих
параметров требуется хорошее знание Windows и средств управления других
производителей. Как правило, заметный выигрыш от настройки
дополнительных параметров установки программного обеспечения клиента
Symantec можно получить только в очень масштабных сетях.
См. "Установка клиентов с помощью продуктов независимых
производителей" на стр. 117.
См. "Настройка установки с помощью параметров .msi" на стр. 117.
См. "Установка клиентов с помощью Microsoft SMS 2003" на стр. 117.
См. "Сведения об установке клиентов с помощью объекта групповой
политики Active Directory" на стр. 119.

Установка клиентов с помощью продуктов независимых


производителей
Клиент Symantec можно установить с помощью различных программных
продуктов независимых производителей, в том числе Microsoft Active
Directory, Tivoli, Microsoft Systems Management Server (SMS) и Novell ZENworks.
Novell ZENworks, Microsoft Active Directory и Microsoft SMS - единственные
продукты, которые были протестированы и поддерживаются.

Настройка установки с помощью параметров .msi


Пакеты установки программного обеспечения клиента Symantec
представляют собой файлы Windows Installer (.msi), для развертывания и
настройки которых можно использовать стандартные параметры Windows
Installer. Для установки клиентов в сети можно воспользоваться любыми
средствами управления средой, поддерживающими распространение
файлов .msi, такими как Active Directory и Tivoli.
См. "О настройке командной строки MSI " на стр. 203.

Установка клиентов с помощью Microsoft SMS 2003


Для установки программного обеспечения клиента Symantec может
применяться Microsoft Systems Management Server (SMS). Предполагается,
что у системного администратора уже есть опыт работы с SMS. Поэтому
здесь не приводится подробная информация об установке программного
обеспечения клиента Symantec с помощью SMS.
118 Установка программного обеспечения клиента Symantec
Параметры установки других фирм

На компьютере клиента должна быть установлена программа Microsoft


Installer 3.1. Она устанавливается автоматически только в том случае, если
пользователь запустил отдельный исполняемый файл setup.exe. При запуске
файла msi автоматическая установка не выполняется. На компьютерах,
работающих под управлением Windows Server 2003 с пакетом обновления
2 и Windows Vista, установлен Microsoft Installer не ниже 3.1. При
необходимости вначале установите WindowsInstaller-x86.exe, который
находится в установочных каталогах SEP и SNAC компакт-диска. После
установки msi 3.1 необходимо перезапустить компьютер.

Примечание: Это примечание относится к SMS версии 2.0 и более ранним.


В случае использования SMS выключите функцию Show Status Icon On The
Toolbar For All System Activity на клиентах в программе Advertised Programs
Monitor. В некоторых случаях программе Setup.exe бывает необходимо
изменить общий файл, используемый программой Advertised Programs
Monitor. Если файл занят, то установка выполнена не будет.

Для создания и распространения программного обеспечения клиента


Symantec с помощью SMS 2003 обычно выполняется следующая
последовательность действий:
■ C помощью Symantec Endpoint Protection Manager создайте пакет
установки, содержащий программное обеспечение и политики, которые
требуется установить на компьютерах клиентов. Кроме того, пакет
должен содержать файл Sylink.xml, в котором указан сервер,
используемый для управления клиентами.
■ Создайте исходный каталог и скопируйте в него файлы установки
клиента Symantec. Например, создайте исходный каталог, содержащий
файлы установки программного обеспечения клиента Symantec.
■ Создайте пакет, укажите имя и исходный каталог пакета.
■ В окне "Программа" пакета укажите исполняемый файл, запускающий
процедуру установки. Также можно указать параметры запуска MSI.
■ Разошлите программное обеспечение в определенные наборы с
рекламной информацией.
Установка программного обеспечения клиента Symantec 119
Параметры установки других фирм

Предупреждение! Необходимо включить файл Sylink.xml в установочные


пакеты клиента, созданные с помощью файлов на диске продукта.
Необходимо включить файл Sylink.xml, созданный после установки Symantec
Endpoint Protection Manager и работы с ним. В файле Sylink.xml должен быть
указан сервер управления, на который должны отправляться отчеты
клиентов. Если этот файл не включен, клиент устанавливается как
неуправляемый. В результате все клиенты устанавливаются с параметрами
по умолчанию и не взаимодействуют с сервером управления.

Дополнительную информацию о работе с SMS можно найти в документации


по продукту Microsoft Systems Management Server.

Сведения об установке клиентов с помощью объекта групповой


политики Active Directory
Можно установить клиент, используя объект групповой политики Windows
2000/2003 Active Directory Процедуры установки клиента с использованием
объекта групповой политики Active Directory предполагают, что это
программное обеспечение установлено и что используется Windows 2003
Active Directory.
Для установки программного обеспечения на компьютерах клиентов должен
быть установлен Windows Installer не ниже версии 3.1. Это требование
выполняется на компьютерах клиентов, работающих под управлением
Windows XP с пакетом обновления не ниже 2, Windows Server 2003 с пакетом
обновления не ниже 1 и Windows Vista. Если компьютер клиента не отвечает
этому требованию, Windows Installer 3.1 будет автоматически установлен
из установочных файлов.
По соображениям безопасности объект групповой политики Windows не
поддерживает начальную загрузку с помощью исполняемого файла
WindowsInstaller*.exe из установочных файлов. Таким образом, если на
компьютере отсутствует Windows Installer 3.1, запустите этот файл перед
установкой программного обеспечения клиента Symantec. Этот файл можно
запустить с помощью сценария запуска компьютера. Если выбран способ
установки GPO, необходимо решить, каким образом будут обновляться
компьютеры клиентов, на которых не установлен Windows Installer 3.1.
В программах установки клиента Symantec используются стандартные
файлы Windows Installer (.msi). В результате можно настроить установку
клиента, используя свойства .msi.
См. "Настройка установки с помощью параметров .msi" на стр. 117.
120 Установка программного обеспечения клиента Symantec
Параметры установки других фирм

Наконец,проверьте правильность настройки сервера DNS. Это ключевой


момент, так как Active Directory использует сервер DNS для подключения
к компьютеру. Для того чтобы убедиться в правильности настройки, можно
проверить связь с компьютером Windows Active Directory, а затем проверить
связь в обратном направлении (командой ping). Используйте полное
доменное имя. Если указывается только имя компьютера, то новый поиск
DNS не выполняется. Формат:
ping компьютер.полное-имя-домена.com

Табл. 5-1 Действия по установке программного обеспечения клиента с


помощью объекта групповой политики Active Directory

Шаг Действие

Шаг 1 Создайте административный установочный образ.

См. "Создание административного установочного образа" на стр. 121.

Шаг 2 Добавьте файл Sylink.xml к установочным файлам.

См. "Добавление файла Sylink.xml к установочным файлам" на стр. 121.

Шаг 3 Сохраните административный установочный образ в промежуточном


расположении.

См. "Сохранение установочных файлов в промежуточном


расположении" на стр. 122.

Шаг 4 Создайте дистрибутив программы GPO.

Перед установкой на рабочем компьютере выполните установку GPO


на нескольких тестовых компьютерах. Если DNS настроен
неправильно, установка GPO может занять больше часа.

См. "Создание дистрибутива программы GPO" на стр. 123.

Шаг 5 Создайте сценарий запуска Windows Installer 3.1.

См. "Создание сценария запуска Windows Installer 3.1" на стр. 125.

Шаг 6 Добавьте компьютеры в подразделение организации.

См. "Добавление компьютеров в подразделение организации и


установка программ" на стр. 126.

См. "Удаление программного обеспечения клиента из системы с помощью


объекта групповой политики Active Directory" на стр. 127.
Установка программного обеспечения клиента Symantec 121
Параметры установки других фирм

Создание административного установочного образа


Для установки объекта групповой политики с помощью Windows Installer
3.0 и ниже необходимо создать административные образы установочных
файлов клиента. Для версии 3.1 и выше этот образ не обязателен. Если
административный образ не создан, все равно необходимо скопировать
содержимое папки SEPс компакт-диска на компьютер.
Как создать административный установочный образ
1 Скопируйте содержимое папки SEP компакт-диска на компьютер.
2 В командной строке перейдите в папку SEP и введите команду msiexec
/a "Symantec AntiVirus.msi"

3 В окне приветствия нажмите кнопку Далее.


4 На панели выбора сетевого расположения укажите расположение, в
котором нужно создать административный установочный образ, и
нажмите кнопку Установить.
5 Нажмите кнопку Готово.

Добавление файла Sylink.xml к установочным файлам


При установке Symantec Endpoint Protection Manager создается файл
Sylink.xml. Клиенты Symantec Endpoint Protection определяют, какой
экземпляр сервера Symantec Endpoint Protection Manager применяется для
управления клиентом. Если перед установкой программного обеспечения
этот файл не был добавлен к установочным файлам, то клиенты будут
установлены как неуправляемые. Перед копированием файла необходимо
создать хотя бы одну новую группу с консолью управления. Если этого не
сделать, то согласно файлу Sylink.xml клиенты будут помещены в
стандартную группу.

Примечание: Файл Sylink.xml входит в пакеты, экспортируемые вместе с


консолью Symantec Endpoint Protection Manager.
122 Установка программного обеспечения клиента Symantec
Параметры установки других фирм

Как добавить файл Sylink.xml к установочным файлам


1 Установите Symantec Endpoint Protection Manager.
2 Найдите файл Sylink.xml в одной из исходящих папок.
По умолчанию они расположены в каталоге \\Program
Files\Symantec\Symantec Endpoint Protection
Manager\data\outbox\agent\uid\, где uid - это уникальное имя папки
пакетов, например 8F171749C0A85C820163FBAA230DBF18. Для поиска
файла Sylink.xml просмотрите файлы в разных папках uid с помощью
текстового редактора.
3 При необходимости скопируйте файл Sylink.xml на съемный носитель.
4 Файл Sylink.xml можно скопировать следующими способами:
■ Если создан административный установочный образ, замените файл
Sylink.xml в папке .\каталог-установки\Program Files\Symantec
Endpoint Protection Manager\.
■ Если административный установочный образ отсутствует,
скопируйте содержимое папки SEP компакт-диска продукта в
целевую папку на локальном компьютере. Затем добавьте в эту
папку файл Sylink.xml для создания управляемого клиента.

Сохранение установочных файлов в промежуточном


расположении
Можно сохранить установочные файлы для развертывания в
промежуточном расположении. Для этого предоставьте общий доступ к
папке, содержащей установочные файлы клиента. Присвойте полномочия
для пользователей, которые входят в систему клиентов, в которых
необходимо развернуть пакет.
Как сохранить установочные файлы в промежуточном расположении
1 При необходимости скопируйте папку, содержащую установочные
файлы клиента, в общую папку.
2 Щелкните правой кнопкой на папке и выберите Общий доступ и
безопасность.
3 В окне "Свойства" щелкните на вкладке "Общий доступ", выберите
пункт Разрешить общий доступ к папке и нажмите Права доступа.
4 В окне "Права доступа" найдите раздел "Имена пользователей или
групп", выберите Все и нажмите Удалить.
5 Нажмите кнопку Добавить.
Установка программного обеспечения клиента Symantec 123
Параметры установки других фирм

6 В разделе "Введите имена объектов для выбора" введите


Идентифицированные пользователи и нажмите Проверить имена.
7 Введите Компьютеры домена и нажмите Проверить имена. Затем
нажмите кнопку OK.
8 В окне "Права доступа" нажмите Применить. Затем нажмите кнопку
OK.

Создание дистрибутива программы GPO


Предполагается, что на компьютере уже установлена консоль Microsoft
Group Policy Management Console с пакетом обновления не ниже 1. Также
предполагается, что группа "Компьютеры" или любая другая группа,
выбранная для установки программного обеспечения клиента, уже содержит
компьютеры. Эти компьютеры можно будет перетащить в новую группу.

Примечание: Если включена функция управления учетными записями


пользователей (UAC), то для установки программного обеспечения клиента
Symantec с помощью GPO необходимо выбрать параметр Всегда
использовать повышенные права доступа во время установки в
Конфигурациикомпьютера и Конфигурациипользователя. Эти параметры
позволят всем пользователям Windows устанавливать программное
обеспечение клиента Symantec.

Как создать пакет GPO


1 На панели задач Windows выберите Пуск > Программы >
Администрирование > Управление групповой политикой.
2 В окне "Пользователи и компьютеры Active Directory" щелкните правой
кнопкой на домене в дереве консоли и выберите Пользователи и
компьютеры Active Directory.
3 В окне Пользователи и компьютеры Active Directory щелкните правой
кнопкой на домене и выберите Создать > Подразделение организации.
4 В окне "Создать объект" введите имя подразделения организации в
поле "Имя" и нажмите кнопку OK.
5 В окне "Пользователи и компьютеры Active Directory" выберите Файл
> Выход.
6 В окне "Управление групповой политикой" щелкните правой кнопкой
на созданном подразделении организации и выберите пункт Создать
и подключить GPO.
Для отображения нового подразделения необходимо обновить домен.
124 Установка программного обеспечения клиента Symantec
Параметры установки других фирм

7 В окне "Создать GPO" введите имя объекта в поле "Имя" и нажмите


кнопку OK.
8 На правой панели щелкните правой кнопкой мыши на созданном
объекте и выберите пункт Изменить.
9 На левой панели окна редактора объектов групповой политики найдите
раздел "Конфигурация компьютера" и разверните категорию Параметры
программ.
10 Щелкните правой кнопкой мыши на пункт Установка программ и
выберите пункт Создать > Пакет.
11 В окне "Открыть" введите путь UNC к папке, содержащей пакет MSI.
Введите путь в следующем формате:
\\имя-сервера\SharedDir\Symantec AntiVirus.msi

12 Нажмите кнопку Открыть.


13 В окне "Развернуть программное обеспечение" выберите Назначенный
и нажмите кнопку OK.
Пакет будет показан на правой панели окна редактора объектов
групповой политики, если выбран пункт "Установка программ".
Как настроить шаблоны пакета
1 В окне "Редактор объектов групповой политики" дерева консоли
просмотрите и включите следующие параметры:
■ Конфигурация компьютера > Административные шаблоны > Система
> Вход в систему > Всегда ожидать сеть при запуске компьютера и
входе в систему
■ Конфигурация компьютера > Административные шаблоны > Система
> Политика группы > Обработка политики установки программного
обеспечения
■ В разделе Конфигурация > Административные шаблоны >
Компоненты Windows > Windows Installer > Всегда использовать
повышенные права доступа во время установки

2 Закройте окно редактора объектов групповой политики.


3 На левой панели окна управления групповой политикой щелкните
правой кнопкой мыши на измененном объекте GPO и выберите
Активные.
Установка программного обеспечения клиента Symantec 125
Параметры установки других фирм

4 На правой панели в разделе "Фильтрация безопасности" нажмите кнопку


Добавить.
5 В разделе "Введите имя объекта для выбора" введите Компьютеры
домена и нажмите кнопку OK.

Создание сценария запуска Windows Installer 3.1


Установите Windows Installer 3.1 на компьютерах с более ранними версиями
программы. Для просмотра версии Windows Installer выполните команду
msiexec /? в командной строке. Для работы с установочным пакетом GPO
необходима программа Windows Installer 3.1. Способ установки Windows
Installer 3.1 пользователь выбирает самостоятельно.

Примечание: Пользователи с ограниченными правами доступа не могут


запускать Windows Installer 3.1; пользователи с повышенными правами
доступа не могут запускать Windows Installer 3.1. Список пользователей с
ограниченными правами доступа задается в локальной политике
безопасности.

Использование сценария запуска компьютера GPO является одним из


способов установки Windows Installer 3.1. Сценарий запуска выполняется
при запуске компьютера перед файлами установки .msi GPO. При таком
подходе следует помнить, что сценарий запуска запускает и
переустанавливает Windows Installer при каждом перезапуске компьютера.
Если установка выполняется в фоновом режиме, возможна небольшая
задержка перед появлением экрана входа в систему. Если применяется
GPO, программное обеспечение клиента Symantec устанавливается только
один раз.
Как установить Windows Installer 3.1
1 В окне "Управление групповой политикой" дерева консоли разверните
подразделение организации, щелкните правой кнопкой на пакете и
выберите Изменить.
2 В окне редактора объектов групповой политики разверните категорию
Конфигурация компьютера > Параметры Windows и выберите
Сценарии (запуск/завершение работы).
3 На правой панели выберите Запуск.
4 В окне "Свойства запуска" нажмите кнопку Показать файлы.
5 В новом окне скопируйте файл WindowsInstaller-893803-x86.exe из папки
установочных файлов GPO в окно и папку запуска.
126 Установка программного обеспечения клиента Symantec
Параметры установки других фирм

6 Вернитесь к окну "Свойства запуска" и нажмите Добавить.


7 В окне "Добавить сценарий" нажмите кнопку Обзор.
8 В окне обзора выберите исполняемый файл Windows Installer и нажмите
кнопку Открыть.
9 В окне "Добавить сценарий" введите /quiet /norestart в поле
"Параметры сценария" и нажмите кнопку OK.
10 В окне "Свойства запуска" нажмите кнопку OK.
11 Закройте окно редактора объектов групповой политики.

Добавление компьютеров в подразделение организации


и установка программ
Можно добавлять программы в подразделение организации. Процесс
установки программного обеспечения клиента запускается при перезапуске
компьютера. Он будет завершен к моменту входа пользователя в систему.
Однако политика группы не может обновиться мгновенно, ее
распространение может занять некоторое время. Тем не менее в этой
процедуре предусмотрены команды, позволяющие вручную обновить
политику на компьютерах клиентов.
Как добавить компьютеры в подразделение организации и установить
программное обеспечение
1 На панели задач Windows выберите Пуск > Программы >
Администрирование > Пользователи и компьютеры Active Directory.
2 В окне "Пользователи и компьютеры Active Directory" найдите
компьютеры, которые требуется добавить в подразделение организации,
созданное для установки GPO.
Сначала компьютеры появятся в подразделении организации
"Компьютеры".
3 Перетащите их в подразделение, созданное для установки.
4 Закройте окно "Пользователи и компьютеры Active Directory".
5 Для быстрого применения изменений на компьютерах клиентов (для
тестирования) откройте командную строку.
6 Введите одну из следующих команд и нажмите Enter.
■ На компьютерах с Windows 2000 введите secedit /refreshpolicy
machine_policy.
Установка программного обеспечения клиента Symantec 127
Запуск клиента Symantec Endpoint Protection

■ На компьютерах с Windows XP и более поздними ОС введите


gpupdate.

7 Нажмите кнопку OK.

Удаление программного обеспечения клиента из системы с


помощью объекта групповой политики Active Directory
Программное обеспечение клиента, установленное с помощью Active
Directory, также можно удалить из системы.
Как удалить программное обеспечение клиента из системы с помощью объекта
групповой политики Active Directory
1 На панели задач Windows выберите Пуск > Программы >
Администрирование > Управление групповой политикой.
В применяемой версии Windows меню "Пуск" может включать пункт
"Все программы", а не "Программы".
2 В окне "Управление групповой политикой" дерева консоли разверните
домен, разверните узел Конфигурация компьютера, разверните
Параметры программ, щелкните правой кнопкой мыши на Установке
программ и выберите Свойства.
3 На вкладке Дополнительно выберите параметр Удалить приложение,
если оно находится вне области управления и нажмите кнопку OK.
4 На правой панели щелкните правой кнопкой мыши на пакете программ
и выберите Удалить.
5 В окне "Удалить программы" выберите параметр Немедленно удалить
программы из системы и нажмите кнопку OK.
6 Закройте окно редактора объектов групповой политики и окно
"Управление групповой политикой".
Программы будут удалены из системы при перезапуске компьютера.

Запуск клиента Symantec Endpoint Protection


Пользовательский интерфейс клиента можно запустить на компьютере
(управляемом или неуправляемом) с помощью меню "Пуск" Windows. Также
можно дважды щелкнуть на значке в панели задач Windows.
В системе Windows Server 2008 Server Core поддерживается только интерфейс
командной строки. Кроме этого, можно запустить пользовательский
интерфейс клиента вручную, выполнив файл SymCorpUI.exe из каталога
установки Symantec Endpoint Protection.
128 Установка программного обеспечения клиента Symantec
Сведения об удалении клиента Symantec Endpoint Protection из системы

Как запустить клиент Symantec Endpoint Protection


◆ Выполните одно из следующих действий:
■ В меню Пуск Windows выберите Пуск > Все программы > Symantec
Endpoint Protection > Symantec Endpoint Protection.
■ В меню Пуск Windows выберите Пуск > Все программы > Symantec
Network Access Control > Symantec Network Access Control.
■ В области уведомлений на панели задач Windows дважды щелкните
мышью на значке Symantec Endpoint Protection или Symantec Network
Access Control.
Как запустить клиент Symantec Endpoint Protection в системе Windows Server
2008 Server Core
1 В командной строке выполните нужное действие:
■ На 32-разрядных серверах под управлением Windows Server 2008
Server Core выполните команду:
cd C:\Program Files\Symantec\Symantec Endpoint Protection

■ На 64-разрядных серверах под управлением Windows Server 2008


Server Core выполните команду:
cd C:\Program Files (x86)\Symantec\Symantec Endpoint Protection

2 Выполните следующую команду:


symcorpui

Сведения об удалении клиента Symantec Endpoint


Protection из системы
Программное обеспечение клиента можно удалить из системы с помощью
утилиты добавления и удаления программ Windows. Аппаратные устройства,
блокированные в соответствии с действующей политикой, остаются
блокированными после удаления клиента Symantec Endpoint Protection.
Для разблокирования устройств воспользуйтесь администратором устройств
Windows.

Удаление клиентского ПО из системы Windows Server 2008 в


режиме Server Core
В режиме Server Core системы Windows Server 2008 поддерживается только
интерфейс командной строки. Управление установкой в этом режиме можно
выполнять средствами удаленного управления.
Установка программного обеспечения клиента Symantec 129
Сведения об удалении клиента Symantec Endpoint Protection из системы

Как удалить клиентское ПО из системы Windows Server 2008 в режиме Server


Core
1 Запустите редактор реестра командой Regedit.
2 Откройте следующий раздел:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
3 Выделите и скопируйте имя ключа {uninstall-string} для Symantec
Endpoint Protection.
4 В командной строке выполните команду:
msiexec.exe /x {uninstall_string}
130 Установка программного обеспечения клиента Symantec
Сведения об удалении клиента Symantec Endpoint Protection из системы
Глава 6
Установка серверов
карантина и LiveUpdate
В этой главе рассмотрены следующие вопросы:

■ Сведения об установке и настройке Центрального карантина

■ Сведения о применении сервера Symantec LiveUpdate

Сведения об установке и настройке Центрального


карантина
Клиенты Symantec Endpoint Protection отправляют содержащие вирусы
данные и угрозы безопасности на сервер карантина, который затем передает
их в Symantec. Консоль карантина служит для управления сервером
карантина и операциями отправки данных. Если все файлы в сети,
помещенные в карантин, должны храниться централизованно, то установите
Центральный карантин.
В состав Центрального карантина входят сервер карантина и консоль
карантина. Сервер карантина и консоль карантина можно установить на
один или на разные компьютеры, работающие под управлением
поддерживаемых операционных систем Windows.

Примечание: Если необходимо установить сервер карантина или консоль


карантина из отдельных установочных папок компакт-диска, запустите
программу Setup.exe, а не пакет установки .msi. Применение программы
Setup.exe гарантирует, что перед запуском пакета установки .msi на целевом
компьютере будут установлены все файлы, необходимые программе
Windows Installer.
132 Установка серверов карантина и LiveUpdate
Сведения об установке и настройке Центрального карантина

Дополнительные сведенияприведены в Руководстве администратора


Центрального карантина Symantec, которое расположено на компакт-диске
продукта.
Установка Центрального карантина состоит из следующих этапов,
выполняемых в указанном порядке:
■ Установка консоли карантина
■ Установка сервера карантина
■ Настройка групп на применение Центрального карантина

Примечание: Вначале установите консоль карантина, а затем — сервер


карантина. После этого перезапустите сервер карантина.

Установка консоли карантина


Консоль карантина служит для управления операциями отправки данных
на сервер карантина.
Как установить консоль карантина
1 Вставьте установочный компакт-диск в дисковод CD-ROM на том
компьютере, на котором установлена консоль Symantec Endpoint
Protection Manager.
Если автоматический запуск установки с компакт-диска не настроен,
то запустите Setup.exe вручную.
2 В главном окне выберите Установить средства администрирования >
Установить консоль центрального карантина.
3 Для завершения установки выполните инструкции, показанные на
экране.

Установка сервера карантина


Сервер карантина получает отправленные клиентами вирусы. После
завершения установки сервера карантина необходимо перезапустить
систему.
Установка серверов карантина и LiveUpdate 133
Сведения об установке и настройке Центрального карантина

Как установить сервер карантина


1 На компьютере, предназначенном для установки сервера
карантина,загрузите установочный компакт-диск в накопитель.
Если автоматический запуск установки с компакт-диска не настроен,
то запустите Setup.exe вручную.
2 Выберите Установить средства администрирования > Установить
сервер Центрального карантина.
3 В окне приветствия нажмите кнопку Далее.
4 В окне лицензионного соглашения выберите Я принимаю условия
лицензионного соглашения и нажмите кнопку Далее.
5 В окне "Целевая папка" выполните одно из следующих действий:
■ Для применения целевой папки по умолчанию нажмите кнопку
Далее.
■ Нажмите кнопку Изменить, найдите и выберите целевую папку,
нажмите OK, а затем нажмите Далее.

6 В окне "Тип установки" выберите:


■ Интернет (рекомендуется) и нажмите кнопку Далее.
Опция электронной почты более не поддерживается.
7 В окне "Максимальный объем дисковой памяти" укажите объем
дискового пространства, который будет выделен на сервере для данных,
полученных от Центрального карантина, затем нажмите кнопку Далее.
8 В окне "Сведения о контактах" укажите название своей организации,
свой учетный номер в Symantec и контактную информацию, затем
нажмите кнопку Далее.
9 В окне "Связь через Интернет" измените адрес шлюза, если это
необходимо, затем нажмите кнопку Далее.
По умолчанию в поле "Имя шлюза" показан адрес шлюза.
10 В окне настройки предупреждений выберите пункт Включить
оповещения для применения системы AMS и нажмите кнопку Далее.
11 В окне, подтверждающем готовность к установке программы, нажмите
кнопку Установить, затем следуйте появляющимся указаниям.
12 Запишите IP-адрес или имя хоста компьютера, на котором был
установлен сервер карантина, а также номер порта.
Эти данные понадобятся при настройке программ клиентов,
пересылающих данные в Центральный карантин.
134 Установка серверов карантина и LiveUpdate
Сведения об установке и настройке Центрального карантина

Настройка групп на применение Центрального карантина


Чтобы настроить сетевые соединения Центрального карантина, необходимо
указать порт прослушивания сервера карантина. Кроме того, необходимо
создать политику антивирусной защиты, в которой должен быть указан
сервер карантина и порт, и применить ее к группе. Для настройки порта
прослушивания сервера карантина применяется консоль карантина
Symantec, а для создания политики антивирусной защиты - консоль
Symantec Endpoint Protection Manager.

Примечание: С помощью консоли карантина можно выбрать протокол IP


или SPX и указать номер порта. Следует выбрать протокол IP и номер порта
TCP. Не выбирайте протокол SPX. Указанный здесь номер порта TCP не
совпадает с тем номером, который указан для порта прослушивания сервера
в выводе команд типа netstat -a. Например, если будет указан номер порта
33, то команда netstat -a покажет порт TCP 8448. Это связано с неправильным
преобразованием из десятичного формата в шестнадцатеричный.
Дополнительные сведения приведены на следующем веб-сайте:
http://entsupport.symantec.com/docs/n2000081412370148

Как настроить сервер карантина


1 На левой панели консоли центрального карантина Symantec в дереве
каталогов консоли щелкните правой кнопкой мыши на значке
Центральный карантин Symantec и выберите пункт Свойства.
2 На вкладке "Общие" в разделе "Протоколы" выберите Мониторинг IP.
Протокол SPX больше не поддерживается.
3 В поле "Порт IP для прослушивания" введите номер порта для приема
клиентских запросов.
Следует выбрать номер порта TCP/IP. Перед вводом номера порта
следует проверить, не занят ли он в вашей сети. Например, не следует
вводить номер порта 21, так как он зарезервирован для соединений по
протоколу FTP.
4 Нажмите кнопку ОК.
Как настроить политику защиты от вирусов и программ-шпионов
1 В консоли Symantec Endpoint Protection Managerвыберите Политики.
2 На панели просмотра политик выберите значение Защита от вирусов
и программ-шпионов.
Установка серверов карантина и LiveUpdate 135
Сведения о применении сервера Symantec LiveUpdate

3 На панели задач выберите Добавить политику защиты от вирусов и


программ-шпионов.
При необходимости можно изменить существующую политику.
4 На левой панели окна политики защиты от вирусов и
программ-шпионов выберите Отправка.
5 В разделе объектов, помещенных в карантин, выберите пункт
Разрешить компьютерам клиентов автоматически отправлять
помещенные в карантин объекты на сервер карантина.
6 В поле "Имя сервера" введите полное доменное имя или IP-адрес сервера
карантина.
7 Измените или оставьте значение по умолчанию в поле "Номер порта".
8 Измените или оставьте значение по умолчанию для интервала
повторных попыток подключения к серверу карантина в поле "Повтор".
9 Нажмите кнопку ОК.
10 В окне предупреждения "Присвоить политику" нажмите кнопку Да.
11 Выберите группу для политики и нажмите Присвоить.
12 Нажмите кнопку Да, чтобы подтвердить изменение политики.

Сведения о применении сервера Symantec


LiveUpdate
Программа LiveUpdate устанавливает на компьютерах клиентов
антивирусные описания, сигнатуры обнаружения вторжений, исправления
продукта и т.д. В неуправляемых средах LiveUpdate, как правило,
настраивается для подключения непосредственно к серверам Symantec
LiveUpdate. В управляемых средах сетей небольшого и среднего размера
LiveUpdate, как правило, настраивается для подключения к Symantec
Endpoint Protection Manager.
В управляемых сетях большого размера может возникнуть проблема
снижения нагрузки на сеть через Интернет-шлюзы. В этом случае для
загрузки обновлений можно установить и настроить несколько серверов
LiveUpdate. Затем обновления передаются на серверы управления или
рассылаются непосредственно клиентам.
136 Установка серверов карантина и LiveUpdate
Сведения о применении сервера Symantec LiveUpdate

Рис. 6-1 архитектуры распределения LiveUpdate

Symantec
LiveUpdate

Сервер LiveUpdate Сервер LiveUpdate Сервер LiveUpdate

Сервер управления Прокси-сервер LiveUpdate


Группа клиентов

Группа клиентов Группа клиентов

Слева представлена простейшая в реализации архитектура. Для реализации


этой архитектуры необходимо изменить параметр сайта управления. По
середине находится более сложная архитектура. Для ее внедрения
необходимо изменить параметр сайта управления, а также настроить
политику LiveUpdate, действующую в группе. Справа расположена наиболее
сложная в реализации архитектура, в состав которой входит прокси-сервер
LiveUpdate.
Установка серверов карантина и LiveUpdate 137
Сведения о применении сервера Symantec LiveUpdate

Дополнительные сведения о реализациях архитектур LiveUpdate приведены


в книге Руководство администратора Symantec Endpoint Protection и Symantec
Network Access Control.
Обновленная информация о настройке сервера LiveUpdate приведена в
книге Руководство администратора Symantec LiveUpdate: Начало работы,
которая содержится в папке Documentation на диске продукта
138 Установка серверов карантина и LiveUpdate
Сведения о применении сервера Symantec LiveUpdate
Раздел 3
Миграция и обновление

■ Глава 7. Обновление до последнего уровня обслуживания

■ Глава 8. Перенос Symantec AntiVirus и Symantec Client Security

■ Глава 9. Перенос действующего программного обеспечения Symantec


Sygate
140
Глава 7
Обновление до
последнего уровня
обслуживания
В этой главе рассмотрены следующие вопросы:

■ Обновление программного обеспечения до нового выпуска Symantec


Endpoint Protection или Symantec Network Access Control

■ Резервное копирование базы данных

■ Переход к Microsoft SQL 2008 с предыдущей версии

■ Отключение репликации перед обновлением или переносом

■ Завершение работы службы Symantec Endpoint Protection Manager

■ Модернизация Symantec Endpoint Protection Manager

■ Включение репликации после переноса или обновления

■ Обновление программного обеспечения клиента

■ Обновление клиентов с помощью функции AutoUpgrade

■ Обновление программного обеспечения клиента с помощью политики


параметров LiveUpdate

■ Сведения о переходе к Symantec Endpoint Protection или Symantec Network


Access Control
142 Обновление до последнего уровня обслуживания
Обновление программного обеспечения до нового выпуска Symantec Endpoint Protection или Symantec Network
Access Control

Обновление программного обеспечения до нового


выпуска Symantec Endpoint Protection или
Symantec Network Access Control
Пользователь может обновить программное обеспечение до последнего
выпуска обслуживания Symantec Endpoint Protection или Symantec Network
Access Control. Прежде, чем устанавливать новую версию программного
обеспечения, необходимо выполнить ряд подготовительных действий.
В этом разделе идет речь об обновлении программного обеспечения в средах
с уже установленной версией Symantec Endpoint Protection или Symantec
Network Access Control 11.x.

Табл. 7-1 Порядок действий по обновлению до последнего выпуска


обслуживания

Шаг Действие Описание

Шаг 1 Создайте Для обеспечения целостности клиентской информации


резервную копию резервную копию рекомендуется создавать с помощью
базы данных Symantec Endpoint Protection Manager.

См. "Резервное копирование базы данных" на стр. 143.

Шаг 2 Выключите Репликацию следует выключать на всех сайтах,


репликацию настроенных в качестве партнеров по репликации. Это
позволит избежать попыток обновления базы данных
в процессе установки.

См. "Отключение репликации перед обновлением или


переносом" на стр. 145.

Шаг 3 Остановите Служба Symantec Endpoint Protection Manager должна


службу Symantec быть остановлена во время установки.
Endpoint
См. "Завершение работы службы Symantec Endpoint
Protection
Protection Manager" на стр. 145.
Manager

Шаг 4 Обновите Установите новую версию Symantec Endpoint Protection


программное Manager на всех сайтах своей сети. В процессе
обеспечение обновления будет автоматически обнаружена текущая
Symantec версия и сохранены все ее параметры.
Endpoint
См. "Модернизация Symantec Endpoint Protection
Protection
Manager" на стр. 146.
Manager
Обновление до последнего уровня обслуживания 143
Резервное копирование базы данных

Шаг Действие Описание

Шаг 5 Включите Когда обновление будет завершено, включите


репликацию репликацию, чтобы восстановить свою конфигурацию.
после
См. "Включение репликации после переноса или
завершение
обновления" на стр. 147.
обновления

Шаг 6 Обновите Обновите клиентское программное обеспечение до


программное последней версии.
обеспечение
См. "Обновление программного обеспечения клиента"
клиента
на стр. 148.
Symantec

Резервное копирование базы данных


Перед обновлением рекомендуется создать резервную копию базы данных.

Предупреждение! При восстановлении базы данных из резервной копии


следует применять ту же версию Symantec Endpoint Protection Manager, с
помощью которой эта копия создавалась.

Примечание: Путь в меню "Пуск" Windows может варьироваться в


зависимости от версии операционной системы.

Как создать резервную копию базы данных


1 В меню "Пуск" Windows выберите Пуск > Программы > Symantec
EndpointProtectionManager>Резервноекопированиеивосстановление
базы данных.
2 В окне "Database Backup and Restore" нажмите кнопку Создатьрезервную
копию.
3 В окне сообщения нажмите кнопку Да.
4 После завершения резервного копирования нажмите кнопку OK.
Операция резервного копирования может занять несколько минут.
Файлы резервной копии будут иметь расширение .zip и будут сохранены
в каталоге \\Program Files\Symantec\Symantec Endpoint Protection
Manager\data\backup\.
5 В окне "Database Backup and Restore" нажмите кнопку Выход.
144 Обновление до последнего уровня обслуживания
Переход к Microsoft SQL 2008 с предыдущей версии

Переход к Microsoft SQL 2008 с предыдущей


версии
После перехода к Microsoft SQL 2008 с предыдущей версии требуется
повторно настроить Symantec Endpoint Protection Manager.
Как перенастроить Symantec Endpoint Protection Manager после перехода к
Microsoft SQL 2008
1 Выберите Пуск>Всепрограммы>SymantecEndpointProtectionManager
> Мастер настройки сервера управления.
2 В панели приветствия выберите опцию Перенастроить сервер
управления и нажмите кнопку Далее.
3 Сохраните следующую информацию из предыдущей установке Symantec
Endpoint Protection Manager:
■ Имя сервера
■ Порт сервера
■ Порт веб-консоли
■ Папка данных сервера

4 Нажмите кнопку Далее.


5 На панели Выбор типа базы данных выберите Microsoft SQL Server и
нажмите Далее.
6 Проверьте правильность следующих параметров базы данных:
■ Сервер базы данных
■ Порт SQL Server
■ Имя базы данных
■ Идентификация
См. "Сведения о режимах идентификации базы данных Microsoft
SQL " на стр. 77.
■ Имя пользователя и пароль

7 В окне Папка SQL Client введите расположение папки. Папка SQL Client
обычно находится в одном из следующих каталогов:
■ SQL 2000: C:\Program Files\Microsoft SQL\Server\80\Tools\Binn
■ SQL 2005: C:\Program Files\Microsoft SQL\Server\90\Tools\Binn
Обновление до последнего уровня обслуживания 145
Отключение репликации перед обновлением или переносом

■ SQL 2008: C:\Program Files\Microsoft SQL\Server\100\Tools\Binn

8 Нажмите кнопку Далее и выполните инструкции мастера без изменений.


См. "Обновление программного обеспечения до нового выпуска Symantec
Endpoint Protection или Symantec Network Access Control" на стр. 142.

Отключение репликации перед обновлением или


переносом
Если сайт использует репликацию, необходимо отключить ее перед
обновлением Symantec Endpoint Protection Manager. Необходимо отключить
репликацию на всех сайтах, настроенных в качестве партнеров по
репликации.
Как отключить репликацию
1 Войдите в консоль Symantec Endpoint Protection Manager.
2 На левой панели вкладки "Серверы" разверните категорию "Локальный
сайт" и выберите "Партнеры по репликации".
3 Щелкните правой кнопкой на каждом сайте из списка "Партнеры по
репликации" и выберите Удалить в контекстном меню.
4 В окне "Удалить партнера" нажмите кнопку Да.
5 Выйдите из консоли и повторите эту процедуру на всех сайтах,
выполняющих репликацию данных.

Завершение работы службы Symantec Endpoint


Protection Manager
Перед обновлением необходимо вручную завершить работу службы
Symantec Endpoint Protection Manager на всех серверах управления сайта.
После обновления эта служба запускается автоматически.

Предупреждение! Прежде чем приступать к выполнению этой процедуры,


службу Symantec Endpoint Protection Manager необходимо отключить, иначе
можно повредить существующую установленную версию Symantec Endpoint
Protection Manager.
146 Обновление до последнего уровня обслуживания
Модернизация Symantec Endpoint Protection Manager

Как остановить службу Symantec Endpoint Protection Manager


1 Выберите Пуск > Настройка > Панель управления >
Администрирование > Службы.
2 В окне "Службы" перейдите к разделу "Имя", найдите строку Symantec
Endpoint Protection Manager и щелкните на ней правой кнопкой.
3 Выберите Остановить.
4 Закройте окно "Службы".

Предупреждение! Если окно "Службы" оставить открытым, то в ходе


обновления могут возникнуть ошибки.

5 Повторите эту процедуру для всех установленных версий Symantec


Endpoint Protection Manager.

Модернизация Symantec Endpoint Protection


Manager
Необходимо обновить Symantec Endpoint Protection Manager, определенный
как первичный сайт. Также необходимо обновить программного обеспечение
всех серверов, которые планируется настроить в качестве дополнительных
сайтов, такие как партнеры по репликации.
Как модернизировать Symantec Endpoint Protection Manager
1 На сервере, на котором планируется обновление, вставьте диск с одним
из следующих продуктов, и запустите установку:
■ Symantec Endpoint Protection
■ Symantec Network Access Control

2 Выполните одно из следующих действий:


■ В панели Symantec Endpoint Protection выберите УстановитьSymantec
Endpoint Protection Manager.
■ В панели Symantec Network Access Control выберите Установить
Symantec Network Access Control, а затем выберите Установить
Symantec Endpoint Protection Manager.

3 В окне приветствия нажмите кнопку Далее.


4 В окне лицензионного соглашения выберите Я принимаю условия
лицензионного соглашения и нажмите кнопку Далее.
Обновление до последнего уровня обслуживания 147
Включение репликации после переноса или обновления

5 В окне, подтверждающем готовность к установке программы, нажмите


кнопку Установить.
На последней панели мастера установки нажмите кнопку Готово.
Будет запущен мастер обновления сервера управления.
6 В окне приветствия мастера обновления нажмите кнопку Далее.
7 В окне "Информация" нажмите кнопку Продолжить.
8 По завершении обновления нажмите кнопку Далее.
9 В окне "Обновление успешно выполнено" нажмите кнопку Готово.
10 Удалите файлы из временных папок Internet Explorer, чтобы при входе
в консоль применялись обновленные файлы.

Включение репликации после переноса или


обновления
После переноса или обновления серверов, использующих репликацию, ее
необходимо включить. Для этого требуется добавить партнера по
репликации. Партнеры по репликации добавляются только для
компьютеров, на которых сервер управления был установлен впервые.
Партнеры по репликации автоматически обнаруживаются другими
серверами управления.
Как включить репликацию после переноса или обновления
1 Войдите в консоль Symantec Endpoint Protection Manager.
2 Откройте вкладку "Серверы" и разверните на левой панели категорию
Локальный сайт, а затем — Партнеры по репликации.
3 Щелкните на каждом сайте из списка "Партнеры по репликации" и
выберите Добавить партнера в контекстном меню.
4 На панели "Добавить партнера по репликации" нажмите кнопку Далее.
5 На панели "Информация об удаленном сайте" введите
идентификационные данные партнера по репликации и нажмите
кнопку Далее.
6 На панели "Расписание репликации" настройте расписание
автоматической репликации и нажмите кнопку Далее.
148 Обновление до последнего уровня обслуживания
Обновление программного обеспечения клиента

7 На панели "Репликация файлов журналов и пакетов клиента" выберите


объекты для репликации и нажмите кнопку Далее.
Репликация пакетов использует большие объемы трафика и дискового
пространства.
8 На последней панели мастера добавления партнера по репликации
нажмите кнопку Готово.
9 Повторите данную процедуру для всех партнеров по репликации этого
компьютера.

Обновление программного обеспечения клиента


Обновить программное обеспечение клиента Symantec можно несколькими
способами. Некоторые из них могут занять до получаса. Поэтому для
обновления рекомендуется выбирать время, когда большинство
пользователей не работают с компьютерами.

Табл. 7-2 Способы обновления программного обеспечения клиента


Symantec Endpoint Protection и Symantec Network Access Control

Способ Описание
обновления

Функция Функция AutoUpgrade позволяет обновить клиенты в одной или


автоматического нескольких группах с консоли Symantec Endpoint Protection
обновления Manager.
AutoUpgrade
См. "Обновление клиентов с помощью функции AutoUpgrade"
на стр. 149.

Политика Политика параметров LiveUpdate для групп задает сервер


параметров LiveUpdate и позволяет клиентам запускать LiveUpdate.
LiveUpdate
См. "Обновление программного обеспечения клиента с помощью
политики параметров LiveUpdate" на стр. 150.

Компакт-диск Для установки новой версии клиента можно воспользоваться


продукта программой установки на компакт-диске продукта.

Другие способы Для установки клиентского ПО можно воспользоваться любым


другим поддерживаемым способом.

См. "Сведения об установке программного обеспечения клиента


Symantec" на стр. 102.

Если установлен также клиент Symantec Network Access Control, необходимо


обновить клиент Symantec Endpoint Protection и клиент Symantec Network
Обновление до последнего уровня обслуживания 149
Обновление клиентов с помощью функции AutoUpgrade

Access Control. Одной группе можно присвоить пакет Symantec Endpoint


Protection и пакет Symantec Network Access Control. В этом случае необходимо
выбрать параметр Сохранить функции.

Обновление клиентов с помощью функции


AutoUpgrade
Процесс AutoUpgrade позволяет автоматически обновить программное
обеспечение всех клиентов Symantec Endpoint Protection в одной группе.
Например, с помощью AutoUpgrade можно обновить клиентское ПО с версии
MR2 до MR3. Также можно добавить установочный пакет клиента с помощью
файлов установки с компакт-диска продукта.
Перед тем, как приступить к обновлению большого количества клиентов
в рабочей сети, рекомендуется протестировать функцию AutoUpgrade. При
отсутствии тестовой сети можно создать тестовую группу. В нее можно
добавить несколько незначительных клиентов и обновить их ПО с помощью
AutoUpgrade. Успешность обновления можно проверить по номеру версии
клиентского ПО на странице "О программе".
Как обновить клиенты с помощью функции AutoUpgrade
1 В консоли Symantec Endpoint Protection Manager выберите
Администрирование.
2 Нажмите кнопку Установочные пакеты.
3 В разделе "Задачи" выберите Применить пакет в группах.
4 На панели "Вас приветствует мастер обновления групп" нажмите кнопку
Далее.
5 На панели "Выбрать установочный пакет клиента" выберите
соответствующий установочный пакет и нажмите Далее.
6 В окне "Указать группы" выберите группы, в которые входят
обновляемые клиентские компьютеры, и нажмите кнопку Далее.
7 На панели "Параметры обновления пакета" включите переключатель
Загрузить клиент с сервера управления.
При необходимости пакет можно настроить и выбрать на веб-сервере.
8 Выберите Параметры обновления.
150 Обновление до последнего уровня обслуживания
Обновление программного обеспечения клиента с помощью политики параметров LiveUpdate

9 На вкладке Общие выберите Сохранить существующие функции


клиента при обновлении.
При необходимости можно добавить или удалить компоненты в
процессе обновления.
10 Отменить выбор Расписание обновления.
Требуется только при обновлении версий ранее MR2.
11 При необходимости можно настроить параметры уведомления
пользователя на вкладке Уведомление. Здесь можно изменить
сообщение, отображаемое на клиентском компьютере в процессе
обновления.
12 Дополнительные сведения о расписании и параметрах уведомления
можно найти в Справке.
13 Нажмите кнопку ОК.
14 В окне мастера обновления групп нажмите кнопку Далее.
15 Нажмите кнопку Готово.

Обновление программного обеспечения клиента


с помощью политики параметров LiveUpdate
Для автоматического обновления продукта клиента Symantec разрешите
обновление продукта в политике параметров LiveUpdate. Если обновления
продукта разрешены, то исправления устанавливаются на клиент при
запуске сеанса LiveUpdate. Сеанс может быть запущен по расписанию или
вручную. Если настройка политики запрещает обновления продукта,
программное обеспечение клиента можно обновить только вручную с
помощью консоли Symantec Endpoint Protection Manager.
Во время загрузки и обработки обновлений LiveUpdate с помощью Symantec
Endpoint Protection Manager при обновлении группы создается файл microdef.
который автоматически отображается как новый пакет. Новый пакет будет
показан на панели "Установочные пакеты клиента". Пользователь может
выбрать этот пакет и вручную обновить группы и расположения, выбрав
функцию "Применить пакет в группах".
Как обновить программное обеспечение клиента Symantec с помощью
политики параметров LiveUpdate
1 В консоли Symantec Endpoint Protection Managerвыберите Политики.
2 В разделе "Показать политики" выберите LiveUpdate.
Обновление до последнего уровня обслуживания 151
Сведения о переходе к Symantec Endpoint Protection или Symantec Network Access Control

3 На правой панели откройте вкладку "Параметры LiveUpdate" и выберите


политику LiveUpdate.
4 В левом нижнем углу выберите пункт Изменить политику в списке
задач.
5 В окне политики LiveUpdate выберите пункт Дополнительные
параметры.
6 На панели дополнительных параметров выполните одно из следующих
действий в разделе "Параметры обновления продукта":
■ Для включения автоматического обновления программного
обеспечения клиента выберите пункт Загружать обновления
продукта Symantec Endpoint Protection с помощью сервера
LiveUpdate.
■ Для того, чтобы вручную обновлять программное обеспечение
клиента с помощью функции "Применить пакет в группах" консоли
Symantec Endpoint Protection Manager, отмените выбор пункта
Загружать обновления продукта Symantec Endpoint Protection с
помощью сервера LiveUpdate.

7 Нажмите кнопку OK и примените политику к группе или расположению


в этой группе.

Сведения о переходе к Symantec Endpoint


Protection или Symantec Network Access Control
Symantec Endpoint Protection Manager поддерживает управление и
развертывание следующего программного обеспечения клиента Symantec
Endpoint Protection:
■ Symantec Endpoint Protection
■ Symantec Network Access Control
С помощью Symantec Network Access Control можно выполнить
модернизацию из Symantec Endpoint Protection. Также можно
модернизировать Symantec Network Access Control с помощью Symantec
Endpoint Protection. Для этого нужно установить новую версию Symantec
Endpoint Protection Manager на всех серверах, на которых уже установлен
Symantec Endpoint Protection Manager.
152 Обновление до последнего уровня обслуживания
Сведения о переходе к Symantec Endpoint Protection или Symantec Network Access Control

Предупреждение! Прежде чем модернизировать существующую установку


Symantec Endpoint Protection Manager, службу Symantec Endpoint Protection
Manager необходимо отключить. Если этого не сделать, возможно
повреждение существующей версии Symantec Endpoint Protection Manager.

Сведения об обновлении программного обеспечения клиентов


Symantec Endpoint Protection с помощью Symantec Network Access
Control
В состав программного обеспечения клиентов Symantec Endpoint Protection
уже входит Symantec Network Access Control, поэтому модернизация не
требуется. После обновления программного обеспечения Symantec Network
Access Control для Symantec Endpoint Protection Manager можно применить
к существующим клиентам Политики целостности хостов.

Сведения об обновлении программного обеспечения клиентов


Symantec Network Access Control с помощью Symantec Endpoint
Protection
Обновление программного обеспечения клиентов Symantec Network Access
Control осуществляется путем установки Symantec Endpoint Protection на
этих клиентах. В процессе установки клиент Symantec Network Access Control
автоматически удаляется; вместо него устанавливается программное
обеспечение клиента Symantec Endpoint Protection. Программное обеспечение
клиента можно развернуть с помощью любого поддерживаемого способа
развертывания.
Глава 8
Перенос Symantec
AntiVirus и Symantec Client
Security
В этой главе рассмотрены следующие вопросы:

■ Перенос из Symantec AntiVirus и Symantec Client Security

■ Поддерживаемые и неподдерживаемые варианты миграции

■ Подготовка устаревших экземпляров к переносу

■ Отказ от сохранения групп и параметров клиентов и серверов

■ Сведения о переносе групп и параметров

■ Сведения о параметрах, перенос которых не выполняется

■ Сведения о пакетах и развертывании

■ Перенос параметров групп серверов и клиентов

■ Сведения о проверке обновлений в перенесенных политиках

■ Сведения о миграции неуправляемых клиентов

■ Сведения о новых и измененных компонентов для администраторов


старых версий
154 Перенос Symantec AntiVirus и Symantec Client Security
Перенос из Symantec AntiVirus и Symantec Client Security

Перенос из Symantec AntiVirus и Symantec Client


Security
Для компьютеров, на которых работают устаревшие версии программного
обеспечения Symantec для защиты от вирусов, можно выполнить перенос.
Во время переноса база данных в Symantec Endpoint Protection Manager
заполняется данными о группах и политиках, взятыми из прежней версии.
Сервер управления создает установочные пакеты для клиентов устаревших
версий.
Перед переносом устаревших клиентов и серверов Symantec AntiVirus и
Symantec Client Security все рассмотренные процедуры рекомендуется
проверить в тестовой среде.
В Табл. 8-1 представлен процесс переноса компьютеров и серверов, на
которых были установлены устаревшие версии клиентского программного
обеспечения.

Табл. 8-1 Перенос клиентов и серверов Symantec AntiVirus и Symantec


Client Security

Шаг Описание

Шаг 1: Удаление Удалите серверы отчетов из системы и, необязательно, удалите


серверов отчетов файлы базы данных.

См. "Удаление серверов отчетов" на стр. 163.


Перенос Symantec AntiVirus и Symantec Client Security 155
Перенос из Symantec AntiVirus и Symantec Client Security

Шаг Описание

Шаг 2: С помощью Symantec System Center настройте параметры сервера


Подготовка управления и клиентов, подготовив их к переносу.
устаревшей Последовательность действий по подготовке устаревшей
версии установленной версии к переносу:

■ Отключите плановые сканирования.


В случае выполнения сканирования во время переноса может
возникнуть ошибка.
См. "Выключение плановых сканирований" на стр. 159.
■ Измените параметры очистки карантина.
См. "Настройка центрального карантина и файлов в
карантине" на стр. 159.
■ Удалите хронологии.
См. "Удаление журналов" на стр. 160.
■ Отключите LiveUpdate.
Если во время переноса на клиентских компьютерах будет
работать LiveUpdate, могут возникнуть конфликты.
См. "Выключение функции LiveUpdate" на стр. 160.
■ Выключите службу роуминга.
Если на компьютерах клиентов включена служба роуминга,
то процесс миграции может зависнуть.
См. "Выключение службы роуминга" на стр. 161.
■ Разблокируйте группы серверов.
Если группы серверов заблокированы, это может привести к
непредвиденным последствиям.
См. "Разблокирование групп серверов" на стр. 162.
■ Отключите защиту от изменений.
Действия защиты от изменений в процессе переноса могут
привести к непредвиденным результатам.
См. "Отключение защиты от изменений" на стр. 163.

Дополнительная информация содержится в документации к


соответствующей версии программного обеспечения Symantec
для защиты от вирусов.

Шаг 3: Установка Установите Symantec Endpoint Protection Manager со встроенной


Symantec базой данных или базой данных SQL Server
Endpoint
См. "Установка и настройка Symantec Endpoint Protection Manager
Protection
со встроенной базой данных" на стр. 68.
Manager.
См. "Установка и настройка Symantec Endpoint Protection Manager
с базой данных SQL Server" на стр. 78.
156 Перенос Symantec AntiVirus и Symantec Client Security
Перенос из Symantec AntiVirus и Symantec Client Security

Шаг Описание

Шаг 4: Ознакомьтесь со сведениями о переносе параметров и групп


Выполните серверов и клиентов устаревших версий.
перенос клиентов
См. "Сведения о пакетах и развертывании" на стр. 168.
и серверов
устаревших См. "Сведения о переносе групп и параметров" на стр. 164.
версий См. "Сведения о параметрах, перенос которых не выполняется"
на стр. 168.

Выполните перенос параметров и групп серверов и клиентов


устаревших версий.

См. "Перенос параметров групп серверов и клиентов" на стр. 173.

Шаг 5: Удаление Удалите Symantec System Center.


из системы
сервера
управления
устаревшей
версии

Шаг 6: Проверка Проверьте и, при необходимости, измените перенесенные


перенесенных параметры групп и политик.
данных
В Symantec Endpoint Protection Manager можно проверить:

■ Правильность переноса Политики параметров LiveUpdate и


Политик защиты от вирусов и программ-шпионов для
сервера управления и клиента. Если отключенные плановые
сканирования в Symantec System Center для переноса были
изменены, необходимо восстановить их исходные параметры.
■ Серверы будут отображены в соответствующих группах в
консоли Symantec Endpoint Protection Manager.

См. "Сведения о проверке обновлений в перенесенных политиках"


на стр. 175.

Дополнительные сведения приведены в документе Symantec


Endpoint Protection Manager и Symantec Network Access Control:
Руководство по установке.

Шаг 7: Установите пакет клиента на том же компьютере, что и Symantec


Развертывание System Center. Можно использовать мастер, если для
программного развертывания установочных пакетов клиентов не применяются
обеспечения программы других производителей (например, SMS).
клиента
См. "Настройка и развертывание программного обеспечения
клиента" на стр. 104.
Перенос Symantec AntiVirus и Symantec Client Security 157
Поддерживаемые и неподдерживаемые варианты миграции

Поддерживаемые и неподдерживаемые варианты


миграции
Ознакомьтесь с информацией о том, миграция каких продуктов
поддерживается, блокирована или не поддерживается. При наличии старых
программ, блокирующих миграцию, необходимо удалить эти программы.
При наличии старых программ, миграция которых не поддерживается,
следует решить, следует ли сохранить их в системе. Например, если на
компьютерах Netware установлен продукт Symantec AntiVirus, то его
рекомендуется сохранить на этих компьютерах.
См. "Поддерживаемые варианты миграции" на стр. 157.
См. "Блокированные варианты миграции" на стр. 157.
См. "Неподдерживаемые варианты миграции" на стр. 158.

Поддерживаемые варианты миграции


Программа установки клиента проверяет наличие следующих программ и
выполняет их миграцию в случае обнаружения:
■ Клиент или сервер Symantec AntiVirus версии 9.x или более поздней
■ Клиент или сервер Symantec Client Security версии 2.x или более поздней
См. "Блокированные варианты миграции" на стр. 157.
См. "Неподдерживаемые варианты миграции" на стр. 158.

Блокированные варианты миграции


Программа установки клиента проверяет наличие следующих программ и
блокирует миграцию в случае их обнаружения:
■ Клиент или сервер Symantec AntiVirus версии 8.x или более ранней
■ Клиент или сервер Symantec Client Security 1.x
■ Symantec Client Firewall 5.0
■ Symantec System Center, все версии
■ Symantec Reporting Server 10.x
■ Confidence Online Heavy - Whole Security, все версии
■ Norton AntiVirus или Norton Internet Security, все версии
Удалите эти программы перед установкой клиента Symantec Endpoint
Protection.
158 Перенос Symantec AntiVirus и Symantec Client Security
Подготовка устаревших экземпляров к переносу

Неподдерживаемые варианты миграции


Миграция перечисленных ниже программ не поддерживается. Они могут
работать в системе параллельно с клиентом Symantec Endpoint Protection:
■ Symantec Client Firewall Administrator, все версии
■ Сервер LiveUpdate
Для установки последней версии сервера LiveUpdate необходимо
предварительно удалить старую версию.
■ Компьютеры Netware с программой Symantec AntiVirus любой версии
Операционные системы Netware не поддерживаются в этой версии. Для
защиты таких компьютеров продолжайте использовать продукты старых
версий.
■ Клиент или сервер Symantec AntiVirus или Symantec Client Security,
установленный на аппаратной платформе Itanium
Аппаратная платформа Itanium не поддерживается в этой версии. Для
защиты таких компьютеров продолжайте использовать продукты старых
версий.
См. "Поддерживаемые варианты миграции" на стр. 157.
См. "Блокированные варианты миграции" на стр. 157.

Сведения о миграции Центрального карантина


Для миграции консоли и сервера Центрального карантина необходимо
удалить и заново установить оба компонента.

Подготовка устаревших экземпляров к переносу


С целью упрощения процесса переноса рекомендуется дополнительно
настроить параметры клиентов и серверов с помощью Symantec System
Center. Например, запуск антивирусного сканирования в ходе переноса
может привести к задержке или сбою миграции. Кроме того, необходимо
выключить защиту программного обеспечения клиента от удаления с
помощью пароля. В противном случае пользователям будет предложено
ввести пароль в интерактивном режиме.
Перенос Symantec AntiVirus и Symantec Client Security 159
Подготовка устаревших экземпляров к переносу

Примечание: При переносе групп и параметров из Symantec System Center


политики для этих групп включают и эти изменения. При необходимости
восстановите исходные значения этих параметров после миграции.
Например, плановые сканирования может потребоваться активировать
заново. Кроме того, защиту программного обеспечения клиента от удаления
с помощью пароля не нужно выключать, если она включена. Пароль
игнорируется в ходе переноса.

Подготовка старых версий продукта


Приведенные ниже процедуры относятся ко всем старым версиям продута,
миграция которых поддерживается.

Примечание: Если применяются группы клиентов, которые не наследуют


параметры, то подготовьте эти группы так же, как группы серверов и серверы
управления.

Выключение плановых сканирований


Запуск планового сканирования в процессе переноса клиента может
привести к сбою миграции. Рекомендуется выключить плановые
сканирования на время миграции и снова включить их после миграции.
Как выключить плановое сканирование
1 С помощью Symantec System Center выполните одно из следующих
действий:
■ Щелкните правой кнопкой мыши на сервере управления.
■ Щелкните правой кнопкой мыши на группе клиентов.

2 Выберите Все задачи > Symantec AntiVirus > Плановые сканирования.


3 В окне плановых сканирований на вкладке "Сканирования сервера"
отмените выбор всех плановых сканирований.
4 На вкладке "Сканирования клиентов" отмените выбор всех плановых
сканирований и нажмите кнопку OK.
5 Повторите данную процедуру для всех первичных и вторичных серверов
управления, а также для всех групп клиентов.

Настройка центрального карантина и файлов в карантине


Сервер карантина больше не поддерживает обновление компьютеров
клиентов последними описаниями. Таким образом, в ходе переноса он не
160 Перенос Symantec AntiVirus и Symantec Client Security
Подготовка устаревших экземпляров к переносу

должен обновлять компьютеры клиентов. Кроме того, нет необходимости


в переносе файлов из карантина.
Как настроить центральный карантин и файлы в карантине
1 В Symantec System Center щелкните правой кнопкой мыши на группе
серверов.
2 Выберите Все задачи > Symantec AntiVirus > Параметры карантина.
3 В окне "Параметры карантина" выберите Параметры очистки.
4 В окне "Параметры очистки" во всех полях времени укажите значение
1 день и для всех каталогов задайте ограничение размера 1 МБ.
Включите все переключатели.
5 Нажмите кнопку OK.
6 В окне "Параметры карантина" отмените выбор переключателя
Включить карантин или мастер сканирования и отправки.
7 В разделе "При появлении новых описаний вирусов" выберите Ничего
не делать и нажмите кнопку OK.
8 Повторите эту процедуру для всех групп серверов.

Удаление журналов
Все журналы хранятся в базе данных. Путем удаления файлов журналов
можно ускорить процесс переноса.
Как удалить журналы
1 В Symantec System Center щелкните правой кнопкой мыши на группе
серверов.
2 Выберите Все задачи > Symantec AntiVirus > Настройка журналов.
3 В окне "Параметры журналов" укажите в полях срока хранения значение
1 день.
4 Нажмите кнопку OK.
5 Повторите эту процедуру для всех групп серверов.

Выключение функции LiveUpdate


В результате выполнения функции LiveUpdate в процессе переноса могут
возникнуть конфликты. В связи с этим необходимо отключить LiveUpdate
на компьютерах клиентов в процессе переноса.
Перенос Symantec AntiVirus и Symantec Client Security 161
Подготовка устаревших экземпляров к переносу

Как отключить LiveUpdate


1 В Symantec System Center щелкните правой кнопкой мыши на группе
серверов.
2 Выберите Все задачи > Symantec AntiVirus > Диспетчер описаний
вирусов.
3 В окне диспетчера описаний вирусов выберите переключатель
Обновлять первичный сервер только для этой группы серверов и
нажмите кнопку Настроить.
4 В окне "Настроить обновление первичного сервера" отмените выбор
переключателя Запланироватьавтоматическоеобновление и нажмите
кнопку OK.
5 В окне диспетчера описаний вирусов отмените выбор следующих
переключателей: :
■ Обновлять описания с родительского сервера
■ Регулярное автоматическое обновление с помощью LiveUpdate
■ Включить постоянное обновление с помощью LiveUpdate

6 Выберите переключатель Не разрешать клиенту вручную запускать


LiveUpdate и нажмите кнопку OK.
7 Повторите эту процедуру для всех групп серверов.

Выключение службы роуминга


Если на компьютерах клиентов включена служба роуминга, то процесс
миграции может зависнуть. Если служба роуминга включена, то перед
началом миграции эту службу следует выключить.

Примечание: Если на перемещающихся клиентах установлен продукт


Symantec AntiVirus версии 10.x, то разблокируйте группы серверов перед
выключением службы роуминга. Это позволит гарантировать, что
сертификаты перемещающихся клиентов будут успешно
идентифицированы на их родительских серверах.

Как выключить службу роуминга


1 В Symantec System Center щелкните правой кнопкой мыши на группе
серверов.
2 Выберите Все задачи > Symantec AntiVirus > Параметры роуминга
клиента.
162 Перенос Symantec AntiVirus и Symantec Client Security
Подготовка устаревших экземпляров к переносу

3 В окне параметров роуминга введите значение 1 в поле интервала


проверки родительского сервера.
4 Введите 1 в поле интервала поиска ближайшего родительского сервера
и нажмите кнопку OK.
5 Подождите несколько минут.
6 В Symantec System Center щелкните правой кнопкой мыши на группе
серверов.
7 Выберите Все задачи > Symantec AntiVirus > Параметры роуминга
клиента.
8 В окне параметров роуминга отмените выбор пункта Включитьроуминг
на клиентах со службой Symantec AntiVirus Roaming.
9 Нажмите кнопку OK.

Сведения о подготовке старых версий Symantec 10.x/3.x


В продуктах Symantec AntiVirus 10.x и Symantec Client Security 3.x
предусмотрен ряд дополнительных функций. Для успешной миграции
этих продуктов их необходимо правильно настроить.
См. "Разблокирование групп серверов" на стр. 162.
См. "Отключение защиты от изменений" на стр. 163.
См. "Удаление серверов отчетов" на стр. 163.

Разблокирование групп серверов


Если перед переносом не разблокировать группы серверов, то могут
возникнуть непредвиденные результаты. Кроме того, если клиенты
используют службу роуминга, то разблокирование группы серверов позволит
обеспечить правильную идентификацию клиентов на родительском сервере.
Клиенты, прошедшие идентификацию на родительском сервере,
добавляются в базу данных. Клиенты из базы данных правильным образом
распределяются по группам консоли после установки.
Как разблокировать группу серверов
1 В окне Symantec System Center щелкните правой кнопкой мыши на
группе серверов и выберите пункт Разблокировать группу серверов.
2 В окне "Разблокировать группу серверов" введите идентификационные
данные и нажмите кнопку OK.
Перенос Symantec AntiVirus и Symantec Client Security 163
Подготовка устаревших экземпляров к переносу

Отключение защиты от изменений


Действия защиты от изменений в процессе переноса могут привести к
непредвиденным результатам. Перед запуском миграции необходимо
отключить защиты от изменений.
Как отключить защиту от изменений
1 В Symantec System Center щелкните правой кнопкой мыши на одной из
следующих категорий: :
■ Группа серверов
■ Первичный или вторичный сервер управления

2 Выберите Все задачи > Symantec AntiVirus > Параметры защиты от


изменений сервера.
3 В окне "Параметры защиты от изменений сервера" отмените выбор
переключателя Включить защиту от изменений.
4 Нажмите кнопку OK.
5 Выполните одно из следующих действий:
■ Если была выбрана группа серверов, то повторите эту процедуру
для всех остальных групп серверов.
■ Если был выбран сервер управления, то повторите эту процедуру
для всех остальных серверов управления во всех группах серверов.

Удаление серверов отчетов


Если установлены серверы отчетов, то их следует удалить. При
необходимости можно удалить и их файлы базы данных. Кроме того,
серверы отчетов необходимо удалить из Symantec System Center. Подробная
информация об удалении серверов отчетов приведена в электронной справке
по Symantec System Center. В старых версиях параметры хранились в реестре.
В новой версии все параметры хранятся в базе данных вместе с данными
отчетов.
Как удалить серверы отчетов
1 Войдите в систему на компьютере, содержащем сервер отчетов.
2 Выберите Пуск > Настройка > Панель управления > Установка и
удаление программ.
3 В окне установки и удаления программ выберите продукт Symantec
Reporting Server и нажмите кнопку Удалить.
164 Перенос Symantec AntiVirus и Symantec Client Security
Отказ от сохранения групп и параметров клиентов и серверов

4 Удалите сервер отчетов, следуя приведенным на экране инструкциям.


5 Повторите эту процедуру для всех серверов отчетов.
Как удалить серверы отчетов из Symantec System Center
1 В Symantec System Center щелкните правой кнопкой мыши и разверните
категорию Отчеты.
2 Щелкните правой кнопкой мыши на каждом сервере отчетов и выберите
команду Удалить.

Отказ от сохранения групп и параметров клиентов


и серверов
При переходе от Symantec System Center к Symantec Endpoint Protection
Manager не обязательно выполнять миграцию групп и параметров старых
клиентов и серверов. При наличии навыков работы с консолью Symantec
Endpoint Protection Manager можно создать и экспортировать пакет
установки, а затем развернуть его на старых клиентах и серверах для их
миграции.
См. "Создание пакетов установки клиента" на стр. 110.

Примечание: Рекомендуется создать одну или несколько групп и связанные


с ними политики для клиентов старых версий и выполнить их миграцию
в первую очередь. Затем можно создать группы и политики для серверов
старых версий и выполнить их миграцию. После этого можно удалить
Symantec System Center и выполнить миграцию старого сервера управления
или клиента, обеспечивающего защиту компьютера Symantec System Center.

Сведения о переносе групп и параметров


Перед переносом групп серверов и клиентов, а также их параметров из
Symantec System Center в Symantec Endpoint Protection Manager
рекомендуется ознакомиться с принципами работы этого процесса.
Например, существующие параметры в Symantec System Center могут
наследоваться из групп серверов. Такое наследование необходимо разрешить
или запретить.
Отдельные параметры устаревших первичных и вторичных серверов
управления применяются только на уровне серверов и не действуют на
управляемых ими клиентов. Это связано с тем, что серверы и клиенты могут
быть защищены разными способами. Например, выполняемые на серверах
Перенос Symantec AntiVirus и Symantec Client Security 165
Сведения о переносе групп и параметров

службы могут расширять список исключений из сканирований за счет


добавления дополнительных типов файлов. Symantec System Center
позволяет разрешить наследование параметров серверов из группы серверов.
Кроме того, для каждого сервера можно указать собственные параметры.
После переноса параметры серверов управления добавляются в политику
параметров LiveUpdate и политики защиты от вирусов и программ-шпионов.
Данные политики применяются к группам, в которые после перехода к
клиенту Symantec Endpoint Protection добавляются серверы управления. В
процессе переноса можно разрешить наследование параметров из группы
серверов или указать параметры для каждого сервера.
Параметры устаревших клиентов можно наследовать из группы серверов
или отдельных серверов управления. После переноса параметры клиентов
добавляются в политику параметров LiveUpdate. и в политики защиты от
вирусов и программ-шпионов В процессе переноса можно разрешить
наследование параметров из группы серверов или сервера управления.
166 Перенос Symantec AntiVirus и Symantec Client Security
Сведения о переносе групп и параметров

Рис. 8-1 Параметры, наследованные из групп серверов - до и после


переноса

Symantec System Center перед Настройка параметров миграции


миграцией политики клиента

Здесь отображаются все компьютеры клиентов, которые не входят


в группу клиентов
Здесь отображаются компьютеры клиентов, входящие в группы
клиентов

Каждый перенесенный родительский сервер


отображается в области Server

Все компьютеры клиентов из этой группы совместно


используют все политики

Параметры наследования политик в группе клиентов


соответствуют параметрам наследования из Symantec System
Center

Группа серверов наследует политики из ZSUZSANNA02RU

Консоль Symantec Endpoint Protection Manager после миграции и развертывания клиента

В рамках этого сценария все серверы управления из групп Symantec AntiVirus


1 и Symantec AntiVirus 2 наследуют параметры из группы серверов Symantec
System Center. После перехода к клиенту Symantec Endpoint Protection
каждый компьютер, в котором работал устаревший сервер управления,
отображается в группе с именем Сервер. Эта группа наследует все параметры
из группы с именем исходной группы серверов. Например, сервер
Перенос Symantec AntiVirus и Symantec Client Security 167
Сведения о переносе групп и параметров

управления ZSUZSANNA01RU наследует политики группы Symantec AntiVirus


1.
В этом сценарии все клиенты наследуют параметры из группы серверов и
любой группы клиентов, которой они могут принадлежать. Все клиенты,
которые не входили в состав групп клиентов Symantec System Center, теперь
отображаются в группе с именем исходной группы серверов.

Рис. 8-2 Параметры, наследованные от родительских серверов - до и


после переноса

Symantec System Center перед Настройка параметров миграции политики клиента


миграцией

Все компьютеры клиентов отображаются в области "Clients" под


родительским сервером

Каждый перенесенный родительский сервер


отображается в области "Server"

Эта группа не наследует политики

Группа клиентов наследует политики из ZSUZSANNA02RU

Группа серверов наследует политики из ZSUZSANNA02RU

Консоль Symantec Endpoint Protection Manager после миграции и развертывания клиента


168 Перенос Symantec AntiVirus и Symantec Client Security
Сведения о параметрах, перенос которых не выполняется

В рамках этого сценария все серверы управления из групп Symantec AntiVirus


1 и Symantec AntiVirus 2 наследуют параметры из родительского сервера в
Symantec System Center. После перехода к клиенту Symantec Endpoint
Protection каждый компьютер, в котором работал устаревший сервер
управления, отображается в группе с именем Сервер. Группы не наследуют
параметры. Для каждого компьютера, в котором работал устаревший сервер
управления, настраиваются новые политики.
В этом сценарии все клиенты наследуют параметры, заданные для клиентов
на каждом родительском сервере. Если клиенты, входили в состав групп
клиентов в Symantec System Center, то они отображаются в группе Клиенты
(подгруппа группы родительских серверов, в которой они изначально были
установлены).

Сведения о параметрах, перенос которых не


выполняется
Не выполняется перенос параметров раздела "Защита от изменений". Защита
от изменений теперь отнесена к разделу "Общие параметры" для групп.
Защита от изменений не является политикой, применимой к
расположениям. По умолчанию защита от изменений включена, и эта
функция защищает как процессы Symantec, так и внутренние программные
объекты. Защиту от изменений можно только включить или выключить.
Никаких инструментов более тонкого управления процессами или
внутренними объектами не предусмотрено.
Разблокированные параметры не обязательно будут перенесены. Если
параметры сохранены в исходном состоянии как при установке, и они не
изменялись и не блокировались, то они не будут перенесены. Эти параметры
не будут перенесены, так как для них не были созданы записи в реестре. В
одних случаях параметры по умолчанию политик Symantec Endpoint
Protection могут совпадать с устаревшими значениями по умолчанию. В
других случаях параметры по умолчанию политик Symantec Endpoint
Protection могут не совпадать с устаревшими значениями по умолчанию.
После переноса рекомендуется проверить все параметры политики защиты
от вирусов и программ-шпионов, а также параметры политики LiveUpdate.

Сведения о пакетах и развертывании


Перед переносом групп серверов и клиентов, а также их параметров из
Symantec System Center в Symantec Endpoint Protection Manager
рекомендуется ознакомиться с принципами работы этого процесса.
Перенос Symantec AntiVirus и Symantec Client Security 169
Сведения о пакетах и развертывании

Например, существующие параметры в Symantec System Center могут


наследоваться из групп серверов. Такое наследование необходимо разрешить
или запретить.
См. "Сведения об установочных пакетах клиентов, создаваемых в ходе
переноса" на стр. 169.
См. "Экспорт и формат списка имен компьютеров клиентов для переноса"
на стр. 170.
См. "Сведения о открытии сетевых портов для миграции" на стр. 172.
См. "Подготовка компьютеров клиентов к миграции" на стр. 172.

Примечание: На компьютерах клиентов должны быть установлены


программы Internet Explorer 6.0 и MSI 3.1 или более поздних версий. В
противном случае перенос будет запрещен.

Сведения об установочных пакетах клиентов, создаваемых в ходе


переноса
Перенос выполняется с помощью мастера переноса и развертывания. Мастер
переноса и развертывания предлагает выбрать серверы управления и
клиенты, для которых требуется создать установочные пакеты клиентов.

Примечание: Серверы управления переносятся на клиенты.

После установки созданных пакетов клиентов на устаревших клиентах


перенесенные клиенты автоматически распределяются между
соответствующими группами консоли Symantec Endpoint Protection Manager.
В процессе переноса автоматически создаются установочные пакеты для
различных комбинаций компонентов клиента. Например, для всех функций
Symantec Endpoint Protection создается отдельный установочный пакет.
Отдельный установочный пакет создается для защиты от вирусов и
программ-шпионов и т.д. Пакеты создаются в каталоге, указанном в ходе
переноса.
Этот каталог содержит четыре подкаталога с различными установочными
пакетами:
■ All Client Features_xx-bit
■ Antivirus Features Only_xx-bit
■ Network Threat Protection Features Only_xx-bit
170 Перенос Symantec AntiVirus и Symantec Client Security
Сведения о пакетах и развертывании

■ Antivirus and Proactive Threat Protection Features Only_xx-bit


32-разрядные установочные пакеты занимают 300 МБ и всегда создаются
автоматически. 64-разрядные установочные пакеты занимают более 300
МБ.
Мастер переноса и развертывания предлагает перенести все серверы
управления и клиенты из Symantec System Center. При необходимости можно
выбрать отдельные серверы управления.
В случае переноса конкретных серверов управления необходимо создать
отдельные каталоги для сохранения пакетов. Затем эти пакеты можно
установить на соответствующих устаревших клиентах для переноса.
Клиенты будут автоматически отображены в соответствующих группах в
консоли Symantec Endpoint Protection Manager.

Примечание: В ходе переноса групп и параметров мастер переноса и


развертывания сохраняет ID устаревших серверов управления и клиентов
в базе данных Symantec Endpoint Protection Manager. После переноса
устаревших серверов управления и клиентов в Symantec Endpoint Protection
новые клиенты отправляют устаревшие ID в Symantec Endpoint Protection
Manager. В соответствии с полученными устаревшими ID клиенты
правильным образом распределяются между перенесенными группами.

Экспорт и формат списка имен компьютеров клиентов для


переноса
Пакеты клиентов рекомендуется развертывать с помощью мастера
развертывания методом рассылки Symantec. Для запуска этой утилиты
дважды щелкните на файле \Symantec Endpoint
Protection\tomcat\bin\ClientRemote.exe. Кроме того, мастер развертывания
методом рассылки можно запустить из мастера переноса и развертывания.

Примечание: Рассмотренную ниже методику можно использовать вне


зависимости от того, требуется ли перенос параметров Symantec System
Center. Она позволяет создать списки всех устаревших клиентов и серверов
и импортировать их в мастер развертывания методом рассылки.

Мастер развертывания методом рассылки автоматически находит


включенные компьютеры Windows. Затем он позволяет выбрать компьютеры
и развернуть на них установочные пакеты. Можно выбрать как отдельный
компьютер, так и рабочую групп или домен компьютеров.
Перенос Symantec AntiVirus и Symantec Client Security 171
Сведения о пакетах и развертывании

Другой вариант - создать текстовый файл со списком имен или IP-адресов


устаревших клиентов. Полученный файл импортируется в мастер
развертывания методом рассылки. В этом случае мастер развертывания
методом рассылки можно запустить вручную и поэтапно развернуть пакеты
на клиентах.
Рекомендуется экспортировать список клиентов каждого сервера
управления в текстовый файл. Полученный файл следует открыть в
редакторе электронных таблиц и удалить из него все столбцы за
исключением столбца с именами или IP-адресами компьютеров. Затем
файл следует сохранить в текстовом формате и импортировать в мастер
развертывания методом рассылки. Такой подход обеспечивает поэтапный
перенос на уровне отдельных серверов управления.
Недостаток этого подхода заключается в том, что мастер развертывания
методом рассылки ожидает подключения каждого выключенного клиента
в течение 20 секунд. Однако при этом в журнал заносится полезная
информация о выключенных клиентах. Таким образом, создается список
компьютеров, которые не были перенесены. В средах с поддержкой
протокола DHCP рекомендуется вместо IP-адресов использовать имена
компьютеров, поскольку IP-адреса могут изменяться.

Примечание: В следующей процедуре рассмотрены особенности применения


Microsoft Office Excel 2003. Программу Excel использовать не обязательно.
Допустим любой редактор электронных таблиц с возможностью импорта
текстовых файлов.

Как экспортировать и отформатировать список имен компьютеров клиентов


для перенос
1 В окне Symantec System Center щелкните правой кнопкой мыши на
одном из следующих объектов и выберите Экспортировать список:
■ Первичный или вторичный сервер управления
■ Группы клиентов

2 В окне "Экспортировать список" введите имя текстового файла в поле


"Имя файла".
3 В выпадающем списке "Тип файла" выберите Текстовый (разделенный
символами табуляции) (*.txt) и нажмите кнопку Сохранить.
172 Перенос Symantec AntiVirus и Symantec Client Security
Сведения о пакетах и развертывании

4 Импортируйте файл в Microsoft Excel как текстовый файл, разделенный


символами табуляции.
Последняя строка текстового файла должна содержать имя компьютера
и не должна быть пустой строкой.
5 Скопируйте требуемые имена компьютеров из столбца "Клиент" в новый
текстовый файл. Сохраните новый файл.

Сведения о открытии сетевых портов для миграции


В процессе миграции параметров групп серверов и клиентов Symantec System
Center взаимодействует по сети с Symantec Endpoint Protection Manager. Если
эти компоненты установлены на разных компьютерах, защищенных
брандмауэрами, то необходимо открыть некоторые сетевые порты.

Табл. 8-2 Сетевые порты, используемые для миграции

Symantec System Center Symantec Endpoint Protection Manager

TCP 139, 445 Порты Ephemeral TCP

Порты Ephemeral TCP TCP 139

UDP 137 UDP 137

Если для развертывания программы клиента Symantec Endpoint Protection


применяется мастер развертывания методом рассылки, то серверы и
клиенты старых версий взаимодействуют по сети с Symantec Endpoint
Protection Manager. Если на таких серверах и клиентах установлены
брандмауэры, то необходимо открыть некоторые порты связи.

Табл. 8-3 Порты, применяемые при развертывании клиента с помощью


мастера развертывания методом рассылки

Компьютеры клиента Symantec Endpoint Protection Manager

TCP 139 и 445 Порты Ephemeral TCP

Порты Ephemeral TCP TCP 139 и 445

UDP 137, 138 UDP 137, 138

Подготовка компьютеров клиентов к миграции


Ряд функций операционной системы Windows могут помешать успешной
миграции сервера и клиента. Необходимо знать, что это за функции и что
Перенос Symantec AntiVirus и Symantec Client Security 173
Перенос параметров групп серверов и клиентов

с ними следует сделать. Например, на компьютерах Windows XP, входящих


в состав рабочей группы, необходимо выключить упрощенные средства
совместного доступа к папкам. Если они не будут выключены, то возникнет
ошибка при идентификации на этих компьютерах во время удаленной
установки. На компьютерах Windows XP, входящих в домен Windows, эту
функцию выключить не требуется.
Также следует помнить о том, что в случае установки брандмауэра Symantec
будет выключен брандмауэр Windows. Если брандмауэр Symantec не выбран
для установки, то брандмауэр Windows не будет выключен. Перед началом
миграции может потребоваться открыть порты или выключить
брандмауэры.
См. "Сведения о брандмауэрах клиентов и портах связи" на стр. 52.
См. "Сведения о выключении и изменении брандмауэра Windows" на стр. 56.
См. "Сведения о подготовке компьютеров к удаленному развертыванию"
на стр. 58.
См. "Подготовка клиентских компьютеров к установке" на стр. 59.

Перенос параметров групп серверов и клиентов


После установки Symantec Endpoint Protection Manager можно перенести
группы серверов управления и клиентов. Перенос всех групп серверов и
клиентов не обязательно выполнять одновременно. При необходимости
можно перенести отдельные серверы управления и связанные с ними
клиенты.

Примечание: Все компьютеры, на которых не установлен MSI 3.1, перед


установкой клиента обновляются до MSI 3.1. Компьютеры, которые не были
перезапущены после установки клиента, защищены от вирусов и
программ-шпионов; функции брандмауэра в этом случае недоступны. Для
применения функций брандмауэра требуется перезапуск компьютеров
клиентов.

Как перенести параметры групп серверов и клиентов


1 Если мастер переноса и развертывания еще не запущен, выберите Пуск
>Программы>SymantecEndpointProtectionManager>Мастерпереноса
и развертывания .
2 В окне "Вас приветствует мастер переноса и развертывания" нажмите
кнопку Далее.
174 Перенос Symantec AntiVirus и Symantec Client Security
Перенос параметров групп серверов и клиентов

3 На панели выбора действия выберите пункт Перенести из Symantec


AntiVirus.
4 На следующей панели выберите переключатели, настраивающие способ
применения параметров к группам.
См. "Сведения о переносе групп и параметров" на стр. 164.
5 Нажмите кнопку Далее.
6 В следующей панели выполните одно из следующих действий:
■ Для импорта всех параметров из всех серверов управления и
клиентов выберите Автоматический поиск серверов, введите
IP-адрес компьютера, на котором установлен Symantec System Center,
и нажмите кнопку OK.
■ Для импорта параметров из отдельного сервера управления и
связанных клиентов выберите Добавить сервер и введите IP-адрес
компьютера, на котором установлен сервер управления. Нажмите
кнопку OK.

7 Нажмите кнопку Далее.


8 В следующей панели нажмите кнопку Далее.
9 В следующей панели настройте экспорт установочных пакетов клиентов.
10 Выберите Дополнительныепараметрыпакета, отмените выбор пакетов,
которые создавать не нужно, и нажмите кнопку OK.
11 Нажмите кнопку Обзор, выберите целевой каталог для экспорта
установочных пакетов клиентов и нажмите кнопку Открыть.
12 В следующей панели нажмите кнопку Далее.
13 В следующей панели выполните одно из следующих действий:
■ Выберите переключатель Да и нажмите кнопку Готово для экспорта
пакетов с последующим развертыванием сначала на клиентах, а
затем на серверах с помощью мастера развертывания методом
рассылки.
Процесс экспорта может занять более 10 минут.
■ Выберите переключатель Нет, только создать пакеты и нажмите
кнопку Готово для экспорта пакетов с последующим развертыванием
сначала на клиентах, а затем на серверах вручную с помощью
программы ClientRemote.exe из каталога \Symantec Endpoint
Protection\tomcat\bin\.
См. "Развертывание клиента с помощью мастера развертывания
методом рассылки" на стр. 112.
Перенос Symantec AntiVirus и Symantec Client Security 175
Сведения о проверке обновлений в перенесенных политиках

Сведения о проверке обновлений в перенесенных


политиках
После миграции клиентов и серверов следует проверить, что они показаны
на консоли Symantec Endpoint Protection Manager и расположены в
правильных группах. Затем можно обновить политику параметров
LiveUpdate и политики защиты от вирусов и программ-шпионов, чтобы
восстановить те изменения, которые были внесены с помощью Symantec
System Center. Например, перед началом миграции были выключены
плановые сканирования. Включить плановые сканирования можно после
окончания миграции.

Сведения о миграции неуправляемых клиентов


Миграцию неуправляемых клиентов можно выполнить тремя способами.
■ Для установки продукта Symantec Endpoint Protection можно
использовать установочные файлы и программу setup.exe, содержащиеся
на установочном компакт-диске. В этом случае на клиенте будут
сохранены все параметры.
В этом случае на клиенте будут сохранены все параметры.
■ Кроме того, можно экспортировать пакет из консоли Symantec Endpoint
Protection Manager на неуправляемый узел. В этом случае параметры
клиентов сохранены не будут.
■ Кроме того, можно экспортировать пакет из консоли Symantec Endpoint
Protection Manager на неуправляемый узел для файлов, не имеющих
расширения .exe. После этого следует заменить файл serdef.dat в пакете
установки на пустой файл с тем же именем.
В этом случае на клиенте будут сохранены все параметры.

Примечание: Для выполнения успешной миграции на компьютерах клиентов


должны быть установлены программы Internet Explorer 6.0 или более
поздней версии и MSI 3.1 или более поздней версии.

Информация о миграции неуправляемых клиентов с помощью


компакт-диска продукта
Неуправляемые клиенты старых версий можно мигрировать до уровня
Symantec Endpoint Protection, сохранив их как неуправляемые клиенты. В
ходе миграции неуправляемых клиентов с применением файлов на
176 Перенос Symantec AntiVirus и Symantec Client Security
Сведения о миграции неуправляемых клиентов

компакт-диске сохраняются все параметры клиентов. Программа Setup.exe


выполняет автоматическое обновление установленного на клиентах
продукта MSI до версии 3.1, необходимой для данного продукта.
При установке продукта Symantec Endpoint Protection на неуправляемых
клиентах старых версий с помощью setup.exe сохраняются все параметры.
Например, если было создано выборочное сканирование, выполняемое в
полночь, то его конфигурация сохранится.
Существуют следующие способы миграции неуправляемых клиентов:
■ Поочередно загружайте установочный компакт-диск на каждом клиенте
и устанавливайте продукт Symantec Endpoint Protection с помощью
пользовательского интерфейса установки.
См. "Установка программного обеспечения для неуправляемого клиента
с компакт-диска продукта" на стр. 107.
■ Скопируйте файлы из каталога SEP на установочном компакт-диске в
общий каталог. Затем попросите пользователей компьютеров клиентов
смонтировать общий каталог и запустить программу setup.exe.
См. "Сведения о развертывании программного обеспечения клиента с
помощью сетевого диска" на стр. 111.
■ Разверните файлы из каталога SEP установочного компакт-диска с
помощью мастера развертывания методом рассылки.
См. "Развертывание клиента с помощью мастера развертывания методом
рассылки" на стр. 112.
■ Разверните файлы из каталога SEP установочного компакт-диска с
помощью программ независимых производителей.
См. "Параметры установки других фирм" на стр. 117.

Миграция неуправляемых клиентов с помощью экспортированных


пакетов
Установочные пакеты для неуправляемых клиентов можно создать на
консоли Symantec Endpoint Protection Manager. В случае применения таких
пакетов после миграции создается неуправляемый клиент, однако в нем
не сохраняются никакие ранее настроенные параметры. Всем параметрам
присваиваются значения по умолчанию. Для переопределения значений
по умолчанию создайте пустой файл serdef.dat и добавьте его в
экспортированные файлы. Файл serdef.dat невозможно изменить в случае,
если в результате экспорта создается один исполняемый установочный
файл.
Перенос Symantec AntiVirus и Symantec Client Security 177
Сведения о миграции неуправляемых клиентов

Как выполнить миграцию неуправляемых клиентов с сохранением параметров,


используя экспортированные пакеты
1 На консоли Symantec Endpoint Protection Managerвыберите
Администрирование.
2 В разделе "Задачи" выберите пункт Установочные пакеты.
3 В разделе "Установочные пакеты клиента" щелкните правой кнопкой
мыши на пакете, который необходимо создать, и выберите пункт
Экспортировать пакет.
4 В окне "Экспортировать пакет" отмените выбор пункта Создать для
пакета отдельный файл .EXE (это обязательный шаг).
5 Нажмите кнопку Обзор и выберите каталог, в котором следует сохранить
экспортированный пакет.
6 В разделе Параметр безопасности отметьте
переключательЭкспортировать неуправляемых клиентов и снимите
отметку с переключателя Экспортировать пакеты с политиками из
следующих групп:.
7 Нажмите кнопку ОК.
8 Разверните пакет на клиентах старых версий.
См. "Развертывание клиента с помощью мастера развертывания
методом рассылки" на стр. 112.
Как выполнить миграцию неуправляемых клиентов с заменой старых
параметров на значения по умолчанию, используя экспортированные пакеты
1 На консоли Symantec Endpoint Protection Manager выберите
Администрирование.
2 В разделе "Задачи" выберите пункт Установочные пакеты.
3 В разделе "Установочные пакеты клиента" щелкните правой кнопкой
мыши на пакете, который необходимо создать, и выберите пункт
Экспортировать пакет.
4 В окне "Экспортировать пакет" выберите пункт Создать для пакета
отдельныйфайл.EXE (это необязательное, но рекомендуемое действие).
5 Нажмите кнопку Обзор и выберите каталог, в котором следует сохранить
экспортированный пакет.
6 В параметрах безопасности выберите пункт Экспортировать
неуправляемого клиента.
178 Перенос Symantec AntiVirus и Symantec Client Security
Сведения о новых и измененных компонентов для администраторов старых версий

7 Нажмите кнопку ОК.


8 Разверните пакет на клиентах старых версий.
См. "Развертывание клиента с помощью мастера развертывания
методом рассылки" на стр. 112.

Сведения о новых и измененных компонентов для


администраторов старых версий
В данном продукте обновлены некоторые компоненты из старых версий.

Табл. 8-4 Новые или измененные компоненты

Функция Описание

Программное обеспечение В комплект поставки продукта Symantec Endpoint Protection Manager не


сервера не содержит входит клиентское программное обеспечение. Программное обеспечение
компонент антивирусной клиента Symantec Endpoint Protection необходимо установить на серверах
защиты Symantec AntiVirus Symantec Endpoint Protection Manager для их защиты.

Прежние версии серверов Symantec AntiVirus и Symantec Client Security


включали антивирусную защиту Symantec AntiVirus.

Обновлен пользовательский Пользовательский интерфейс клиента был обновлен.


интерфейс клиента

Обновлена консоль Symantec System Center устарел. Новая консоль управления - это консоль
управления Symantec Endpoint Protection Manager.

Дополнительные серверы Действующие серверы управления могут устанавливаться как вторичные


управления более не серверы, которые отправляют отчет главному серверу управления в группе
применяются серверов.

Поставщики обновлений Клиенты Symantec Endpoint Protection можно настроить в качестве


группы поставщиков обновлений сигнатур и данных для клиентов в группе. Такие
клиенты называются поставщиками обновлений группы. Поставщики
обновлений группы не обязательно должны входить в состав группы, для
которой они поставляют обновления.
Перенос Symantec AntiVirus и Symantec Client Security 179
Сведения о новых и измененных компонентов для администраторов старых версий

Функция Описание

Группы серверов могут Ранее работа Symantec System Center основывалась на группах серверов. В
считаться сайтами каждой группе был главный сервер, и он в конечном счете управлял
клиентами.
В Symantec Endpoint Protection используется термин "сайт". Несколько
сайтов могут входить в состав одного экземпляра продукта. При установке
дополнительных сайтов в экземпляр установки в ходе установки не
указывается секретный ключ. Если при установке сайта указывается
секретный ключ, то создается новый экземпляр установки. Компьютеры
в разных экземплярах установки не связаны между собой.

Расширены функции Ранее функции определения расположения поддерживались только для


определения расположения операций брандмауэра.

В Symantec Endpoint Protection функции определения расположения


расширены на уровень групп. Каждая группа может быть поделена на
несколько расположений, и для клиента в определенном расположении
могут применяться соответствующие политики.

Политики управляют Ранее в операциях Symantec System Center настройки группы компьютеров
большинством настроек можно было изменить в диалоговых окнах.
клиента
Теперь настройками управляют политики, которые можно применить
вплоть до уровня расположения. Для примера рассмотрим две политики,
влияющие на параметры LiveUpdate. Одна политика определяет частоту
запуска LiveUpdate и управляет взаимодействием с пользователем. В другой
политике указано содержимое, которое может устанавливаться на
клиентский компьютер с помощью LiveUpdate.

grc.dat более не используется Ранее на обмен данных Symantec AntiVirus влиял файл Grc.dat на
клиентских компьютерах. Он более не используется.

Некоторые параметры Некоторые старые настройки Symantec System Center по-прежнему


по-прежнему задаются для применяются на уровне групп. Например, задание пароля для удаления
групп клиента действует для всех компьютеров в группе. Новая политика
содержимого LiveUpdate применяется для группы.

Поддержка серверов NetWare Устаревшие серверы управления Netware более не поддерживаются.


прекращена Действующие серверы управления NetWare не следует переносить, их
следует оставить для управления устаревшим программным обеспечением.

Реализована возможность Домены позволяют создавать дополнительные глобальные группы. Эта


работы с доменами возможность должна использоваться только в случае необходимости.
Домен по умолчанию называется Default.
180 Перенос Symantec AntiVirus и Symantec Client Security
Сведения о новых и измененных компонентов для администраторов старых версий

Функция Описание

Symantec Endpoint Protection Прежние продукты Symantec Client Security включали Symantec AntiVirus
теперь поддерживает и Symantec Client Firewall. Теперь продукт Symantec Endpoint Protection
брандмауэры. содержит в себе новый, улучшенный брандмауэр и пользовательский
интерфейс.

Появилась возможность Можно настроить политики, запрещающие пользователям доступ к


блокировки устройств определенным устройствам на клиентском компьютере. Это могут быть
порты USB, дискеты и модемы.

При настройке списка устройств следует быть внимательным. Например,


можно выключить сетевую плату и заблокировать доступ клиента к сети,
в том числе и доступ к нему с консоли Symantec Endpoint Protection Manager.
Единственным способом исправления этой ситуации будет удаление
Symantec Endpoint Protection из системы, после чего можно будет включить
сетевую плату с помощью администратора устройств Windows.

Программа Symantec Client Ранее Symantec Client Firewall Administrator использовался для создания
Firewall Administrator больше политик Symantec Client Firewall. Теперь по умолчанию эти функции
не используется выполняются в консоли Symantec Endpoint Protection Manager.

Для серверов управления В большой сети для уменьшения нагрузки на сеть можно создать
реализованы функции дополнительные серверы управления в конфигурации с распределением
распределения нагрузки и нагрузки. Также в большой сети для реализации избыточности можно
восстановления после сбоя создать дополнительные серверы управления в конфигурации с
автоматическим переключением после сбоя.

Реализована возможность Для репликации в большой сети можно настроить репликацию сайтов в
репликации между сайтами экземпляре установки.
Примечание: При создании сайта для репликации не следует указывать
секретный ключ. Сайты, установленные с секретным ключом, не могут
обмениваться данными между собой.

Сервер Alert Management более В прежние версии продукта входил сервер Alert Management для
не применяется предупреждений. Новый продукт Symantec Endpoint Protection Manager по
умолчанию содержит в себе эти функции.

Информация клиента В прежних версиях продукта информация сохранялась в реестре. Symantec


сохраняется в базе данных Endpoint Protection Manager сохраняет информацию клиентских
компьютеров в базе данных SQL (встроенной или Microsoft SQL).

Расширенные возможности LiveUpdate теперь применяется для загрузки разных типов содержимого,
LiveUpdate включая определения, сигнатуры, белые списки для предотвращения
ложных срабатываний, модули и обновления продукта.
Глава 9
Перенос действующего
программного
обеспечения Symantec
Sygate
В этой главе рассмотрены следующие вопросы:

■ Сведения о переходе на Symantec Endpoint Protection 11.x

■ Сведения о переходе к Symantec Network Access Control 11.x

■ Сведения об обновлении компонента Enforcer

■ Сценарии переноса серверов

■ Сведения о сценариях переноса серверов управления

■ Изменения пользовательского интерфейса и функций консоли после


переноса

■ Перенос консолей удаленного управления

■ О настройке перенесенных и новых политик

■ Сведения об удалении защиты клиентов паролем из параметров группы

■ Перенос устаревшего клиента Symantec Sygate


182 Перенос действующего программного обеспечения Symantec Sygate
Сведения о переходе на Symantec Endpoint Protection 11.x

Сведения о переходе на Symantec Endpoint


Protection 11.x
Symantec Sygate Enterprise Protection версии 5.1 или более новой и Symantec
Network Access Control версии 5.1 или более новой можно обновить до
Symantec Endpoint Protection 11.x. Процесс переноса не поддерживает другое
устаревшее программное обеспечение Sygate. Для переноса более ранних
версий программного обеспечения Sygate предварительно обновите их до
Symantec Sygate Enterprise Protection 5.1.

Предупреждение! При переносе с версии 5.1 для для успешного завершения


обновления выберите параметр Хранить пакеты клиента в несжатом виде
для ускорения модернизации.

Сведения о переносе сервера и программного обеспечения


управления Symantec Sygate
Для переноса сервера Sygate в Symantec Endpoint Protection установите
Symantec Endpoint Protection Manager для Symantec Endpoint Protection 11.x.
Устаревшее программное обеспечение состоит из следующих продуктов:
■ Сервер управления, консоль и база данных Symantec Sygate Enterprise
Protection 5.1
К компонентам сервера относятся продукты Symantec Policy Manager и
Symantec Policy Management Console.
■ Сервер управления, консоль и база данных Symantec Network Access
Control 5.1
К компонентам сервера также относятся продукты Symantec Policy
Manager и Symantec Policy Management Console.
Устаревший продукт Symantec Sygate Enterprise Protection 5.1 сочетает в
себе все функции продукта Symantec Network Access Control 5.1. В
подмножество функций продукта Symantec Network Access Control входит
только поддержка политик целостности хоста и компонента Enforcer.

Примечание: В ходе переноса изменяется системное время политик


целостности хоста. После переноса необходимо проверить все параметры
целостности хоста, в которых указано время, и при необходимости изменить
их.
Перенос действующего программного обеспечения Symantec Sygate 183
Сведения о переходе на Symantec Endpoint Protection 11.x

Продукт Symantec Endpoint Protection 11.x аналогичен продукту Symantec


Sygate Enterprise Protection 5.1 с одним исключением. Исключение
заключается в том, что Symantec Endpoint Protection не поддерживает
политики целостности хоста и компонент Enforcer. Таким образом, в случае
переноса серверов версии 5.1 с поддержкой политик целостности хоста и
компонента Enforcer дополнительно необходимо приобрести и установить
продукт Symantec Endpoint Protection Manager для Symantec Network Access
Control 11.x. Установите на перенесенных серверах Symantec Endpoint
Protection Manager для восстановления доступа к их функциональности.

Примечание: Вместе с серверами переносятся все существующие политики


и параметры, настроенные для серверов и сайта.

Поддерживаемые варианты переноса серверов


Переход к Symantec Endpoint Protection Manager и Консоли управления для
Symantec Endpoint Protection поддерживают следующие продукты:
■ Symantec Policy Manager и Management Console 5.1
Для поддержки функций целостности хоста и компонента Enforcer
необходимо дополнительно установить Symantec Endpoint Protection
Manager для Symantec Network Access Control 11.x.
Если выполняется перенос из Symantec Policy Manager 5.1 MR7 или MR8,
то политики защиты от вирусов удаляются и не переносятся.
■ Symantec Network Access Control Manager и Console 5.1
Это программное обеспечение можно обновить до Symantec Endpoint
Protection 11.x. Однако для поддержки устаревших функций целостности
хоста и компонента Enforcer необходимо дополнительно установить
Symantec Endpoint Protection Manager для Symantec Network Access Control
11.x.

Неподдерживаемые варианты переноса серверов


При наличии следующего программного обеспечения переход к Symantec
Endpoint Protection Manager из Symantec Endpoint Protection запрещен:
■ Sygate Policy Manager 5.0
■ Sygate Management Server 3.x и 4.x
■ Security Management Server всех версий
Прежде чем устанавливать Symantec Endpoint Protection Manager для
Symantec Endpoint Protection, необходимо удалить это программное
обеспечение из системы.
184 Перенос действующего программного обеспечения Symantec Sygate
Сведения о переходе на Symantec Endpoint Protection 11.x

Примечание: При наличии неподдерживаемого обеспечения попытка


переноса Symantec Endpoint Protection Manager 5.1 также будет блокирована.

Сведения о переносе устаревшего клиента Symantec Sygate


Цель процедуры переноса заключается в установке Symantec Endpoint
Protection 11.x.
Устаревшее программное обеспечение состоит из следующих двух
продуктов:
■ Symantec Protection Agent 5.1
■ Symantec Enforcement Agent 5.1
Продукт Symantec Protection Agent сочетает в себе все функции продукта
Symantec Enforcement Agent. В Symantec Enforcement Agent входит только
обеспечение целостности хоста.
Для переноса компьютеров клиентов, на которых установлен продукт
Symantec Protection Agent или Symantec Enforcement Agent, достаточно
установить Symantec Endpoint Protection.
Клиент Symantec Endpoint Protection 11.x поддерживает все функции
продуктов Symantec Protection Agent и Symantec Enforcement Agent и
предоставляет дополнительные функции. Таким образом, при наличии
продукта Sygate Protection Agent, обеспечивающего целостность хостов, не
требуется дополнительно устанавливать клиент Symantec Endpoint Protection
Manager 11.x. Однако для получения доступа к функциям клиентов на
серверах управления необходимо установить Symantec Endpoint Protection
Manager для Symantec Network Access Control 11.x.

Примечание: Вместе с агентами переносятся все существующие параметры,


настроенные для клиентов, если экспортируются пакеты установки клиентов
для существующих групп. Впоследствии можно выполнить автоматическое
обновление клиентов, связанных с этими группами.

Поддерживаемые варианты переноса клиентов


Переход к Symantec Endpoint Protection поддерживают следующие продукты:
■ Symantec Protection Agent 5.1
■ Symantec Protection Agent 5.1 вместе с Symantec AntiVirus 9.x или более
поздней версии
Перенос действующего программного обеспечения Symantec Sygate 185
Сведения о переходе к Symantec Network Access Control 11.x

■ Symantec Protection Agent 5.1 вместе с Symantec Client Security 2.x или
более поздней версии
■ Symantec Enforcement Agent 5.1
■ Symantec Enforcement Agent 5.1 вместе с Symantec AntiVirus 9.x или более
поздней версии
■ Symantec Enforcement Agent 5.1 вместе с Symantec Client Security 2.x или
более поздней версии

Неподдерживаемые варианты переноса клиентов


При наличии следующего программного обеспечения переход к Symantec
Endpoint Protection 11.x запрещен:
■ Sygate Protection Agent 5.0
■ Sygate Enforcement Agent 5.0
■ Sygate Security Agent 3.x и 4.x
■ Security Confidence Online Enterprise Edition всех версий
■ Symantec Protection Agent 5.1 вместе с Symantec AntiVirus 7.x и 8.x
■ Symantec Protection Agent 5.1 вместе с Symantec Client Security 1.x
■ Symantec Enforcement Agent 5.1 вместе с Symantec AntiVirus 7.x и 8.x
■ Symantec Enforcement Agent 5.1 вместе с Symantec Client Security 1.x

Сведения о переходе к Symantec Network Access


Control 11.x
Symantec Network Access Control 5.1 можно перенести в Symantec Network
Access Control 11.x. Процесс переноса не поддерживает другое устаревшее
программное обеспечение Sygate. Для переноса других версий
предварительно обновите их до Symantec Sygate Enterprise Protection 5.1.

Сведения о переносе устаревшего программного обеспечения


сервера Symantec Sygate
Symantec Network Access Control Manager и Management Console 5.1 - это
единственные продукты, допускающие переход к Symantec Endpoint
Protection Manager и Консоли управления для Symantec Network Access
Control 11.x.
186 Перенос действующего программного обеспечения Symantec Sygate
Сведения об обновлении компонента Enforcer

При наличии следующего программного обеспечения переход к Symantec


Endpoint Protection Manager из Symantec Network Access Control запрещен:
■ Sygate Policy Manager 5.0
■ Sygate Management Server 3.x и 4.x
■ Security Management Server всех версий

Сведения о переносе устаревшего клиента Symantec Sygate


Symantec Enforcement Agent 5.1 - это единственный продукт, допускающий
переход к Symantec Network Access Control 11.x.

Примечание: Вместе с агентами переносятся все существующие параметры,


настроенные для клиентов, если экспортируются пакеты установки клиентов
для существующих групп. Затем можно выполнить автоматическое
обновление этих групп.

При наличии следующего программного обеспечения перенос клиента


Symantec Network Access Control 11.x запрещен:
■ Sygate Enforcement Agent 5.0
■ Sygate Protection Agent 5.0 и более поздних версий
■ Sygate Security Agent 3.x и 4.x
■ Security Confidence Online Enterprise Edition всех версий
■ Symantec Enforcement Agent 5.1 и Symantec AntiVirus всех версий
■ Symantec Enforcement Agent 5.1 и Symantec Client Security всех версий

Сведения об обновлении компонента Enforcer


Symantec Endpoint Protection Manager поддерживает компоненты Symantec
Gateway, DHCP и LAN Enforcers, работающие на аппаратном обеспечении
версии 6100. Этим аппаратным обеспечением поддерживаются версии
программного обеспечения 5.1, 5.1.5 и 11.x. Symantec Endpoint Protection
Manager поддерживает только версии программного обеспечения 5.1.5 и
11.x. Symantec Endpoint Protection Manager не поддерживает версию
программного обеспечения 5.1. Кроме того, поддерживаются более ранние
версии компонента Symantec Enforcer в виде программного обеспечения.
Если компонент Enforcer 6100 использует программное обеспечение версии
5.1, то его необходимо обновить до версии 5.1.5 или 11.x. Symantec
Перенос действующего программного обеспечения Symantec Sygate 187
Сценарии переноса серверов

рекомендует обновить образ программного обеспечения до последней


версии 11.x. Поскольку все параметры компонента Enforcer хранятся на
сервере Symantec Endpoint Protection, они переносятся вместе с сервером.

Сценарии переноса серверов


Сложность переноса устаревшего программного обеспечения Symantec
Sygate Enterprise Protection зависит от архитектуры сети. Если для
управления клиентами применяется один устаревший сервер управления,
то установите компоненты управления в системе, на которой выполняется
Symantec Policy Manager 5,1. В случае применения дополнительных серверов
репликации необходимо выключить репликацию перед переносом и затем
снова включить ее.
В случае, если на дополнительных устаревших серверах выполняются
задачи восстановления после сбоя или распределения нагрузки, на этих
компьютерах следует выключить службу Symantec Policy Manager. Затем
необходимо последовательно перенести серверы. Начните с сервера, который
был установлен первым с файлом лицензии и общим ключом. Перенесенные
серверы автоматически управляют устаревшими клиентами. Проще всего
перенести компьютеры клиентов до последней версии с помощью Мастера
обновления групп.

Примечание: Сценарии переноса серверов относятся к обоим продуктам


Symantec Endpoint Protection и Symantec Network Access Control.

Перенос установленного экземпляра, использующего один сервер


управления
Процесс переноса установленного экземпляра, использующего один сервер
управления, не должен вызывать трудностей, поскольку переносится только
один сайт. Symantec Endpoint Protection Manager устанавливается на
компьютере с Symantec Sygate Enterprise Protection. Затем выполняется
обновление программного обеспечения клиентов. База данных также
подлежит переносу. Тип базы данных (встроенный сервер базы данных,
локальный или удаленный сервер Microsoft SQL Server) значения не имеет.
Как перенести сайт, использующий один сервер управления
◆ Перенесите сервер управления.
См. "Перенос серверов управления" на стр. 191.
188 Перенос действующего программного обеспечения Symantec Sygate
Сценарии переноса серверов

Перенос установленного экземпляра, использующего одну базу


данных Microsoft SQL и несколько серверов управления
Для переноса установленного экземпляра, использующего одну базу данных
и несколько серверов управления, характерны следующие последствия:
■ Серверы управления настроены для восстановления после сбоя или
распределения нагрузки.
■ В качестве базы данных применяется сервер Microsoft SQL, поскольку
функции восстановления после сбоя и распределения нагрузки
поддерживаются только сервером Microsoft SQL Server.
■ Репликация не выполняется, поскольку применяется только одна база
данных.
Каждый установленный экземпляр связан с сайтом, в котором был
установлен первый сервер управления. Только один из этих серверов
управления был установлен с файлом лицензии и общим ключом. Этот
сервер управления следует перенести первым. Затем следует перенести
остальные серверы управления, настроенные для восстановления после
сбоя и распределения нагрузки.
Как перенести установленный экземпляр, использующий одну базу данных
SQL Server и несколько серверов управления
1 На всех серверах управления, которые не были установлены с файлом
лицензии и общим ключом, выключите службу Symantec Policy Manager
с помощью утилит администрирования Windows.
См. "Остановка серверов, реализующих функции распределения
нагрузки и восстановления после сбоя, перед переносом данных"
на стр. 192.
2 Войдите в систему, содержащую продукт Symantec Policy Manager,
который был установлен с файлом лицензии и общим ключом.
Не входите в Symantec Policy Manager.
3 Перенесите сервер управления.
См. "Перенос серверов управления" на стр. 191.
4 Последовательно перенесите остальные серверы управления.
Перенос действующего программного обеспечения Symantec Sygate 189
Сценарии переноса серверов

Перенос установленного экземпляра, использующего несколько


встроенных баз данных и серверов управления
Для переноса установленного экземпляра, использующего несколько
встроенных баз данных и серверов управления, характерны следующие
последствия:
■ Функции восстановления после сбоя и распределение нагрузки
недоступны, поскольку встроенная база данных не поддерживает их.
■ Серверы управления настроены только для репликации, поскольку
несколько встроенных баз данных можно установить только в качестве
серверов репликации.
Каждый сайт связан с компьютером, на котором был установлен первый
сервер управления. Только один из этих серверов управления был
установлен с файлом лицензии и общим ключом. Этот сервер управления
следует перенести первым. Затем следует перенести остальные серверы
управления, установленные для репликации.
Как перенести установленный экземпляра, использующий несколько
встроенных баз данных и серверов управления
1 Выключите репликацию на всех серверах управления.
См. "Отключение репликации перед переносом данных" на стр. 193.
2 Войдите в систему, содержащую продукт Symantec Policy Manager,
который был установлен с файлом лицензии и общим ключом.
Не входите в Symantec Policy Manager.
3 Перенесите сервер управления.
См. "Перенос серверов управления" на стр. 191.
4 Последовательно перенесите остальные серверы управления.
5 После переноса серверов включите репликацию на каждом из них.
См. "Включение репликации после переноса" на стр. 193.

Перенос установленного экземпляра, использующего несколько


баз данных SQL и серверов управления
Для переноса сайта, использующего несколько баз данных SQL и серверов
управления, характерны следующие последствия:
■ Настраивается репликация, поскольку применяется несколько баз
данных Microsoft SQL 2000.
190 Перенос действующего программного обеспечения Symantec Sygate
Сценарии переноса серверов

■ Серверы управления можно настроить для восстановления после сбоя


или распределения нагрузки.
Каждый сайт связан с компьютером, на котором был установлен первый
сервер управления. Только один из этих серверов управления был
установлен с файлом лицензии и общим ключом. Этот сервер управления
следует перенести первым. Затем следует перенести остальные серверы
управления, настроенные репликации, восстановления после сбоя и
распределения нагрузки.

Примечание: Допустима конфигурация с репликацией встроенной базы


данных на сервере Microsoft SQL. Однако встроенная база данных не
поддерживает серверы восстановления после сбоя и распределения
нагрузки.

Как перенести установленный экземпляр, использующий несколько баз данных


SQL и серверов управления
1 Выключите репликацию на всех серверах управления.
См. "Отключение репликации перед переносом данных" на стр. 193.
2 Запретите службу Symantec Policy Manager на всех серверах управления,
на которых выполняются задачи восстановления после сбоя или
распределения нагрузки.
Проделайте то же самое на всех серверах управления, которые не были
установлены с файлом лицензии и общим ключом.
См. "Остановка серверов, реализующих функции распределения
нагрузки и восстановления после сбоя, перед переносом данных"
на стр. 192.
3 Войдите в систему, содержащую продукт Symantec Policy Manager,
который был установлен с файлом лицензии и общим ключом. Не
входите в Symantec Policy Manager.
4 Перенесите сервер управления.
См. "Перенос серверов управления" на стр. 191.
5 Последовательно перенесите остальные серверы управления,
настроенные для восстановления после сбоя или распределения
нагрузки.
6 Повторите предыдущие шаги для переноса всех сайтов.
7 Последовательно включите репликацию на всех сайтах.
См. "Включение репликации после переноса" на стр. 193.
Перенос действующего программного обеспечения Symantec Sygate 191
Сведения о сценариях переноса серверов управления

Сведения о сценариях переноса серверов


управления
Можно перенести серверы управления, консоли управления и базы данных
управления. Миграция компонентов производится в соответствии со
сценарием, подходящим для среды и сайтов. Порядок выполнения процедур
зависит от используемого сценария переноса.
См. "Сценарии переноса серверов" на стр. 187.

Перенос серверов управления


Перед переносов клиентов необходимо перенести все серверы управления.
Если перенос серверов управления осуществляется в среде с распределением
нагрузки, восстановлением после сбоя или репликацией, то подготовку и
перенос серверов управления необходимо выполнять в указанном порядке.
См. "Сценарии переноса серверов" на стр. 187.

Предупреждение! Во избежание ошибок разработайте сценарий переноса и


в точности ему следуйте.

При переносе серверов Symantec Sygate Enterprise Protection, в которых


применяются политики целостности хоста или защита Enforcer, сначала
установите Symantec Endpoint Protection Managerдля Symantec Endpoint
Protection. Затем повторите процедуру установки и установите Symantec
Endpoint Protection Manager для Symantec Network Access Control, чтобы
активировать функции целостности хоста и Enforcer.
Как перенести сервер управления
1 Вставьте диск продукта на сервере, который требуется перенести для
одного из следующих :
■ Symantec Endpoint Protection
■ Symantec Network Access Control

2 Запустите программу установки и выполните одно из следующих


действий:
■ Для установки для Symantec Endpoint Protection нажмите кнопку
Установить Symantec Endpoint Protection Manager.
■ Для установки Symantec Network Access Control выберите Установить
Symantec Network Access Control, а затем выберите Установить
Symantec Endpoint Protection Manager.
192 Перенос действующего программного обеспечения Symantec Sygate
Сведения о сценариях переноса серверов управления

3 В окне приветствия нажмите кнопку Далее.


4 Переходите к следующим окнам, пока не начнется установка.
Подготовка файлов установки может занять несколько минут.
5 На последней панели мастера установки нажмите кнопку Готово.
6 В окне "Вас приветствует мастер обновления сервера управления"
нажмите кнопку Далее.
7 В окне "Информация" нажмите Продолжить.
8 Когда в окне "Состояние обновления сервера" будет показано сообщение
об успехе операции, нажмите Далее.
9 В окне "Обновление успешно выполнено" нажмите кнопку Готово.
10 При появлении окна входа в Symantec Endpoint Protection Manager
укажите старые идентификационные данные для входа на консоль.
11 (Необязательно) Если требуется установить Symantec Endpoint Protection
Manager для Symantec Network Access Control, выйдите из Symantec
Endpoint Protection Manager. Затем повторите эту процедуру и установите
Symantec Endpoint Protection Manager для Symantec Network Access
Control с установочного диска Symantec Network Access Control.
Перезагружать компьютер необязательно, однако после перезагрузки
скорость работы будет выше.

Остановка серверов, реализующих функции распределения


нагрузки и восстановления после сбоя, перед переносом данных
При наличии устаревших серверов Symantec, реализующих функции
распределения нагрузки и восстановления после сбоя, необходимо
остановить службу Symantec Policy Manager на всех устаревших серверах.
Остановка службы приведет к остановке устаревших серверов, которые
пытаются обновить базу данных во время переноса данных. Базу данных
можно обновлять только после завершения переноса данных.
Как остановить серверы, реализующие функции распределения нагрузки и
восстановления после сбоя, перед переносом данных
1 Выберите Пуск > Настройка > Панель управления >
Администрирование.
2 В окне "Службы" перейдите к разделу "Имя", найдите строку Symantec
Policy Manager и щелкните на ней правой кнопкой.
3 Выберите Остановить.
Перенос действующего программного обеспечения Symantec Sygate 193
Сведения о сценариях переноса серверов управления

Отключение репликации перед переносом данных


При наличии устаревших сайтов Symantec, настроенных для репликации,
необходимо отключить репликацию перед переносом данных. Во время
или после переноса данных запрещается выполнять репликацию данных
между устаревшими и обновленными базами данных. Репликацию следует
отключить на всех сайтах, настроенных для репликации (не менее двух
сайтов).
Как отключить репликацию перед переносом данных
1 Войдите в консоль Symantec Policy Management Console.
2 На левой панели вкладки "Серверы"разверните категорию "Локальный
сайт" и выберите "Партнеры по репликации".
3 Щелкните правой кнопкой на каждом сайте из списка "Партнеры по
репликации" и выберите Удалить в контекстном меню.
4 В окне "Удалить партнера" нажмите кнопку Да.
5 Выйдите из консоли и повторите эту процедуру на всех сайтах,
выполняющих репликацию данных.

Включение репликации после переноса


После переноса всех серверов, настроенных для репликации, восстановления
после сбоя и распределения нагрузки, необходимо снова включить
репликацию. Для этого требуется добавить партнера по репликации.
Партнеры по репликации добавляются только для компьютеров, на которых
сервер управления был установлен впервые. Партнеры по репликации
автоматически обнаруживаются другими серверами управления.
Как включить репликацию после переноса
1 Войдите в консоль Symantec Policy Management Console.
2 На левой панели вкладки "Серверы"разверните категорию "Локальный
сайт" и выберите "Партнеры по репликации".
3 Щелкните на каждом сайте из списка "Партнеры по репликации" и
выберите Добавить партнера в контекстном меню.
4 На панели "Добавить партнера по репликации" нажмите кнопку Далее.
5 На панели "Информация об удаленном сайте" введите
идентификационные данные партнера по репликации и нажмите
кнопку Далее.
6 На панели "Расписание репликации" настройте расписание
автоматической репликации и нажмите кнопку Далее.
194 Перенос действующего программного обеспечения Symantec Sygate
Изменения пользовательского интерфейса и функций консоли после переноса

7 На панели "Репликация файлов журналов и пакетов клиента" выберите


объекты для репликации и нажмите кнопку Далее.
Репликация пакетов обычно предусматривает передачу большого
объема трафика и повышение расхода памяти.
8 На последней панели мастера добавления партнера по репликации
нажмите кнопку Готово.
9 Повторите данную процедуру для всех серверов управления,
настроенных для репликации данных с этим сервером управления.

Изменения пользовательского интерфейса и


функций консоли после переноса
Ниже рассмотрены изменения пользовательского интерфейса, возникающие
в результате переноса:
■ В меню "Программы" запись Symantec Policy Manager меняется на консоль
Symantec Endpoint Protection Manager.
■ Установочный каталог и имя службы Symantec Policy Manager не
изменяются.
■ Устаревшие политики защиты операционной системы добавляются в
число политик защиты устройств.
■ Добавляются новые типы политик для параметров LiveUpdate, защиты
от вирусов и программ-шпионов и т.д. Новые политики можно
использовать только после переноса клиентов.
■ Установочные пакеты устаревших клиентов удаляются из базы данных
и недоступны после переноса консоли. Но эти пакеты остаются в каталоге
устаревших пакетов. Необходимо экспортировать новые установочные
пакеты клиентов в другой каталог.
■ Планировщик отчетов теперь будет доступен на вкладке "Отчеты", и
заменит окно "Свойства сайта сервера".
■ Управление лицензиями больше не используется.
■ На вкладке "Серверы" теперь будет доступна вкладка "Управление
пакетами", которая заменит панель "Диспетчер клиентов".
■ Теперь компоненты библиотеки политик (Списки серверов управления
и Сетевые службы) доступны на вкладке "Политики" в разделе списков
политик и идентифицированы как "Компоненты политики".
Перенос действующего программного обеспечения Symantec Sygate 195
Перенос консолей удаленного управления

■ Функции вкладки "Серверы и администраторы" теперь доступны на


панели "Администрирование".
■ В ходе переноса сервера из базы данных удаляются все установочные
пакеты клиентов. Эти пакеты больше не поддерживаются; их удаление
не влияет на работу подключенных клиентов. Этот позволяет запретить
развертывание устаревших клиентских пакетов.

Перенос консолей удаленного управления


Перенос устаревших консолей удаленного управления предусматривает
их замену последней версией консоли удаленного управления. Устаревшие
значки Symantec Policy Manager и запись в меню "Программы" не подлежат
переносу. При выборе значка или пункта меню после переноса открывается
новое окно входа в систему Symantec Endpoint Protection Manager.
При наличии устаревших консолей удаленного управления на компьютере
устанавливается среда выполнения Sun Java 1.4. Новая версия консоли
удаленного управления загружает и устанавливает Sun Java 1.5. Если среда
выполнения Sun Java 1.4 не требуется для других приложений, то ее можно
удалить с помощью утилиты добавления и удаления программ Windows.
Как перенести консоли удаленного управления
1 Запустите веб-браузер на компьютере, на котором следует установить
консоль управления.
2 В поле URL введите один из следующих идентификаторов компьютера,
на котором запущен Policy Manager:
■ http://имя-компьютера:9090
■ http://IP-адрес-компьютера:9090
По умолчанию для веб-консоли применяется порт 9090. Если во время
установки был указан другой порт, замените 9090 на указанное значение.
Номер порта можно изменить с помощью Мастера настройки сервера
управления.
3 В окне "Symantec Policy Management Console" щелкните здесь, для того
чтобы приступить к загрузке и установке JRE 1.5.
4 Войдите в консоль Symantec Endpoint Protection Manager.

О настройке перенесенных и новых политик


При переходе к Symantec Endpoint Protection перенесенные политики
брандмауэра и предотвращения вторжений содержат действующие
196 Перенос действующего программного обеспечения Symantec Sygate
Сведения об удалении защиты клиентов паролем из параметров группы

параметры. Также присваиваются дополнительные политики Symantec


Endpoint Protection по умолчанию. Следует просмотреть новые политики
и определить, подходят ли их параметры для данной среды. Если
необходимо изменить параметры, изменения, затрагивающие группы,
следует внести до переноса прежних клиентов.
Например, если необходимо добавить на клиенты защиту от вирусов и
программ-шпионов во время миграции, следует ознакомиться с
параметрами политики защиты от вирусов и программ-шпионов. Параметры
LiveUpdate и политики содержимого LiveUpdate влияют и на Symantec
Endpoint Protection, и на Symantec Network Access Control. Поэтому
необходимо хорошо изучить эти политики и их влияние на группы и
расположения перед переносом действующих клиентов.
Дополнительные сведения приведены в книге Руководство администратора
Symantec Endpoint Protection и Symantec Network Access Control.

Сведения об удалении защиты клиентов паролем


из параметров группы
Параметры группы переносятся вместе с паролем для защиты клиентов из
группы. Если в параметрах группы указаны пароли, например, для удаления,
то в некоторых выпусках обслуживания перенос клиентов будет невозможен.
Поэтому перед переносом устаревших клиентов рекомендуется выключать
эти пароли в переносимых группах в консоли Symantec Endpoint Protection
Manager. Параметры защиты паролем показаны для группы в разделе
"Общие настройки". После переноса защиту паролем можно будет включить
снова.

Предупреждение! Если пароль для удаления не выключен, может


потребоваться ввести этот пароль на каждом клиентском компьютере. Если
развернуто 100 и более клиентов, то эти пароли придется рассылать
пользователям по электронной почте.

Дополнительная информация о защите клиента паролем приведена в книге


Руководство администратора Symantec Endpoint Protection и Symantec
Network Access Control.

Перенос устаревшего клиента Symantec Sygate


Для переноса продуктов Symantec Protection Agent и Symantec Enforcement
Agent рекомендуется использовать функцию автоматического обновления.
Перенос действующего программного обеспечения Symantec Sygate 197
Перенос устаревшего клиента Symantec Sygate

Все остальные способы развертывания программного обеспечения клиентов


также поддерживаются, однако автоматическое обновление является
наиболее простым из них. Перенос может занять до 30 минут. Для переноса
следует выбрать время, когда большинство пользователей не работают с
компьютерами.

Примечание: Перед выполнением переноса на большом числе компьютеров


рекомендуется дополнительно проверить данный метод. Для этой цели
можно создать новую группу и добавить в нее несколько компьютеров
клиентов.

Как выполнить перенос устаревшего клиента Symantec Sygate


1 Войдите в консоль Symantec Endpoint Protection Manager, перенос
которой был только что выполнен.
2 Выберите Администрирование > Установочные пакеты.
3 В левой нижней части панели в разделе "Задачи" выберите Применить
пакет в группах.
4 На панели "Вас приветствует мастер обновления групп" нажмите кнопку
Далее.
5 В панели "Выберите установочный пакет клиента" в выпадающем списке
"Выберите новый установочный пакет клиента" выберите одно из
следующих значений:
■ Выберите Symantec Endpoint Protection <нужная версия>.
■ Выберите Symantec Network Access Control <нужная версия>.

6 На панели "Указать группы" выберите одну или несколько групп с


компьютерами клиентов, которые требуется перенести, и нажмите
кнопку Далее.
7 На панели "Параметры обновления пакета" включите переключатель
Загрузить с сервера управления.
При необходимости пакет можно настроить и выбрать на веб-сервере.
8 Выберите Параметры обновления.
9 В окне "Добавить установочный пакет клиента" выполните следующие
действия:
■ На вкладке "Общие" укажите расписание переноса клиентских
компьютеров.
198 Перенос действующего программного обеспечения Symantec Sygate
Перенос устаревшего клиента Symantec Sygate

■ На вкладке "Уведомление" введите сообщение, которое увидят


пользователи во время обновления.
Для просмотра сведений о настройке параметров нажмите кнопку
Справка.

10 Нажмите кнопку OK.


11 В параметров обновления пакета нажмите кнопку Далее.
12 На последней панели мастера обновления клиентов нажмите кнопку
Готово.
Раздел 4
Приложения

■ Приложение A. Свойства и компоненты установки Symantec Endpoint


Protection

■ Приложение B. Восстановление после аварии


200
Приложение A
Свойства и компоненты
установки Symantec
Endpoint Protection
В этом приложении рассмотрены следующие вопросы:

■ Сведения о свойствах и компонентах установки

■ Компоненты клиента Symantec Endpoint Protection

■ Свойства установки клиента Symantec Endpoint Protection

■ Параметры Windows Installer

■ Свойства Центра обеспечения безопасности Windows

■ Как проверить наличие ошибок с помощью файла журнала

■ Определение точки сбоя установки

■ Примеры команд для установки клиента

Сведения о свойствах и компонентах установки


Свойства и компоненты установки - это строки, отображаемые в текстовых
файлах и командах. Текстовые файлы и командные строки обрабатываются
во время установки программного обеспечения клиента. Компоненты
установки определяют, какие функции будут установлены. Свойства
установки определяют, какие компоненты будут включены или выключены
после установки. Свойства и компоненты установки доступны только для
программного обеспечения клиента Symantec Endpoint Protection, а также
для операционной системы Windows. Свойства и компоненты установки не
202 Свойства и компоненты установки Symantec Endpoint Protection
Сведения о свойствах и компонентах установки

доступны ни для программного обеспечения клиента Symantec Network


Access Control, ни для установок Symantec Endpoint Protection Manager.
Свойства и компоненты установки задаются двумя способами: в виде строк
в файле Setaid.ini и в качестве значений команд Windows Installer (MSI).
Команды MSI можно указать в строках Windows Installer и в файле
vpremote.dat для настроенного развертывания с помощью мастера
развертывания методом рассылки. Команды Windows Installer и файл
Setaid.ini всегда обрабатываются при установке управляемой программы
клиента. Если значения различаются, то приоритете отдается значениям в
файле Setaid.ini.

Сведения о настройке файла Setaid.ini


Файл Setaid.ini входит во все пакеты установки. Параметры, указанные в
файле Setaid.ini, всегда имеют более высокий приоритет по сравнению с
параметрами, указанными в командной строке MSI при запуске установки.
Файл Setaid.ini расположен в том же каталоге, что и файл setup.exe. При
наличии одного файла .exe файл Setaid.ini настроить нельзя. Для
автоматической настройки этого файла необходимо экспортировать
установочные файлы клиента Symantec Endpoint Protection с помощью
консоли.
Ниже показаны некоторые доступные для настройки параметры из файла
Setaid.ini. Значение 1 включает компонент, значение 0 выключает компонент.

[CUSTOM_SMC_CONFIG]
InstallationLogDir=
DestinationDirectory=

[FEATURE_SELECTION]
Core=1
SAVMain=1
EmailTools=1
OutlookSnapin=1
Pop3Smtp=0
NotesSnapin=0
PTPMain=1
DCMain=1
COHMain=1

ITPMain=1
Firewall=1
Свойства и компоненты установки Symantec Endpoint Protection 203
Сведения о свойствах и компонентах установки

Примечание: Иерархия компонентов показана с помощью отступов. В файле


Setaid.ini отступы отсутствуют. Названия компонентов в файле Setaid.ini
задаются с учетом регистра.

Если указано значение 1, компонент устанавливается. Если указано значение


0, компонент не устанавливается. Для установки компонентов клиента
необходимо выбрать и установить родительские компоненты, показанные
в структуре компонентов.
См. "Компоненты клиента Symantec Endpoint Protection" на стр. 204.
Файл Setaid.ini не обрабатывается только в том случае, если программное
обеспечение клиента устанавливается с помощью компакт-диска установки
SAV. Эти файлы можно установить с помощью программ третьих фирм,
например SMS.
Обратите внимание, как следующие дополнительные параметры setaid.ini
связаны со свойствами MSI для установки клиента Symantec Endpoint
Protection:
■ DestinationDirectory соответствует INSTALLDIR
■ KeepPreviousSetting соответствует MIGRATESETTINGS
■ AddProgramIntoStartMenu соответствует ADDSTARTMENUICON

О настройке командной строки MSI


Для установки и развертывания программа установки Symantec Endpoint
Protection применяет пакеты Windows Installer (MSI) 3.1. В случае
развертывания пакета из командной строки можно настроить установку.
Можно указать как стандартные параметры Windows Installer, так и функции
и свойства, специфичные для Symantec.
Для работы с Windows Installer необходимы повышенные права доступа.
Если вы попытаетесь выполнить установку, не имея необходимых прав
доступа, то установка может быть прервана без предупреждения. Самый
свежий список команд установки Symantec и их параметров можно найти
в базе знаний Symantec Knowledge Base.

Примечание: Функция оповещения Microsoft Installer не поддерживается.


Параметры и свойства, указанный в Setaid.ini, имеют приоритет по
сравнению с параметрами, указанными для MSI. В командах MSI имена
параметров обрабатываются с учетом регистра.
204 Свойства и компоненты установки Symantec Endpoint Protection
Компоненты клиента Symantec Endpoint Protection

Компоненты клиента Symantec Endpoint Protection


Компоненты Symantec Endpoint Protection можно установить, указав их в
файлах Setaid.ini и командах MSI. Большинство компонентов имеют
родительские и дочерние компоненты. Для того чтобы установить дочерний
компонент, также необходимо установить и родительский компонент.

Рис. A-1 Взаимосвязь между родительскими и дочерними компонентами


в структуре компонентов клиента

В левой части показаны четыре главных компонента. Базовый компонент


всегда следует выбирать для установки. Он содержит основополагающие
функции связи клиента. Остальные три компонента могут устанавливаться
автономно. Компонент SAVMain устанавливает защиту от вирусов и
программ-шпионов, компонент PTPMain - функции превентивного
сканирования TruScan, а компонент ITPMain - защиту от угроз из сети.

Примечание: Для компонентов COHMain и DCMain требуются два


родительских компонента. Для COHMain (функции превентивного поиска
угроз) требуется PTPMain и SAVMain. Для DCMain (управление
приложениями и устройствами) требуется PTPMain и ITPMain.

Если в setaid.ini или MSI указан дочерний компонент, но не указан


родительский, то дочерний компонент будет установлен. При этом работать
он не будет, так как не будет установлен родительский компонент.
Например, если указана установка компонента брандмауэра, но не указана
установка ITPMain, то брандмауэр не устанавливается.
Свойства и компоненты установки Symantec Endpoint Protection 205
Компоненты клиента Symantec Endpoint Protection

Табл. A-1 Компоненты клиента Symantec Endpoint Protection

Компонент Описание Обязательные


родительские компоненты

Core Устанавливает файлы, которые нет


используются для связи между
клиентами и Symantec Endpoint
Protection Manager. Это
обязательный компонент.

SAVMain Устанавливает основные файлы нет


компонентов защиты от вирусов
и программ-шпионов.

SymProtectManifest Устанавливает компонент нет


Защита от изменений.

EMailTools Устанавливает основные файлы SAVMain


компонента автоматической
защиты электронной почты.

NotesSnapin Устанавливает компонент SAVMain, EMailTools


автоматической защиты
электронной почты для Lotus
Notes.

OutlookSnapin Устанавливает компонент SAVMain, EMailTools


автоматической защиты
электронной почты для Microsoft
Exchange.

Pop3Smtp Устанавливает компонент SAVMain, EMailTools


автоматической защиты
электронной почты Интернета.

PTPMain Устанавливает основные файлы нет


компонента превентивного
сканирования TruScan.

COHMain Устанавливает компонент PTPMain, SAVMain


превентивного поиска угроз.

DCMain Устанавливает компонент PTPMain, ITPMain


Управление приложениями и
устройствами.

ITPMain Устанавливает основные файлы нет


компонента защиты от угроз из
сети.
206 Свойства и компоненты установки Symantec Endpoint Protection
Свойства установки клиента Symantec Endpoint Protection

Компонент Описание Обязательные


родительские компоненты

Брандмауэр Устанавливает компонент IPTMain


брандмауэра.

Свойства установки клиента Symantec Endpoint


Protection
Табл. A-2 Свойства установки клиента Symantec Endpoint Protection

Свойство Описание

RUNLIVEUPDATE=значение Указывает, следует ли запускать LiveUpdate во время установки. Возможны


следующие значения:

■ 1: Запустить LiveUpdate во время установки (по умолчанию).


■ 0: Не запускать LiveUpdate во время установки.

По умолчанию все клиенты Symantec Endpoint Protection в группе получают


самые последние версии всех данных и все обновления продукта. Если
настроено получение обновлений с сервера управления, то клиенты получают
только обновления, которые загружает сервер. Если политика LiveUpdate
разрешает загружать все обновления, но сервер управления загружает только
их часть, то клиенты получат только обновления, доступные на сервере.

ENABLEAUTOPROTECT=значение Указывает, следует ли включать автоматическую защиту файловой системы


после установки. Допустимы следующие значения:

■ 1: Включить автоматическую защиту после установки (по умолчанию).


■ 0: Выключить автоматическую защиту после установки.

SYMPROTECTDISABLED=значение Указывает, следует ли включать защиту от изменений во время установки.


Возможны следующие значения:

■ 1: Выключить защиту от изменений после установки.


■ 0: Включить защиту от изменений после установки. (по умолчанию)

Параметры Windows Installer


Для установки и развертывания пакетов установки клиентов Symantec
Endpoint Protection Manager с помощью командной строки применяются
стандартные параметры Windows Installer и ряд расширений.
Свойства и компоненты установки Symantec Endpoint Protection 207
Параметры Windows Installer

Дополнительную информацию о стандартных параметрах Windows Installer


можно найти в документации по Windows Installer. Кроме того, можно
запустить msiexec.exe в командной строке для просмотра полного списка
параметров.

Табл. A-3 Параметры Windows Installer

Параметр Описание

Symantec Файл установки Symantec AntiVirus.msi для клиента Symantec Endpoint Protection
AntiVirus.msi Manager. Если имя файла .msi содержит пробелы, то в параметрах /I и /x его нужно
заключать в кавычки.

Обязательный

Msiexec Исполняемый файл Windows Installer.

Обязательный

/I "имя-файла-msi" Установить указанный файл .msi. Если имя файла .msi содержит пробелы, заключите
его в кавычки. Если файл .msi расположен не в том же каталоге, из которого
вызывается Msiexec, то укажите путь к файлу. Если путь содержит пробелы,
заключите его в кавычки. Например: msiexec.exe /I "C:путь к Symantec AntiVirus .msi"

Обязательный

/qn Установка без вывода данных.


Примечание: При выполнении развертывания без вывода данных, приложения,
встраиваемые в Symantec Endpoint Protection, например, Microsoft Outlook и Lotus
Notes, необходимо перезапустить после установки.

/x "имя-файла-msi" Удаляет указанные компоненты.

Необязательный

/qb Установить с базовым пользовательским интерфейсом, показывающим ход


установки.

Необязательное

/l*v файл журнала Создает указанный файл журнала с подробным выводом.

Необязательное

INSTALLDIR=каталог Задает нестандартный целевой каталог на указанном компьютере. Если путь к


каталогу содержит пробелы, то заключите его в кавычки.
Примечание: По умолчанию применяется каталог C:\Program Files\Symantec Endpoint
Protection

Необязательное
208 Свойства и компоненты установки Symantec Endpoint Protection
Свойства Центра обеспечения безопасности Windows

Параметр Описание

REBOOT=значение Управляет перезапуском компьютера после установки, где значение — это допустимый
аргумент.
Допустимы следующие аргументы:

■ Force: Обязательный перезапуск компьютера. Обязательный при удалении.


■ Suppress: Предотвращает перезапуск компьютера в большинстве случаев.
■ ReallySuppress: Предотвращает любой перезапуск компьютера во время установки,
даже если установка выполняется неинтерактивно.

Необязательное
Примечание: Если удаление клиента Symantec Endpoint Protection выполняется
неинтерактивно, то запретить перезапуск можно, указав параметр ReallySuppress.

ADDLOCAL= функция Позволяет выбрать функции для установки. Функция - это отдельный компонент
или список компонентов. Если это свойство не указано, то по умолчанию
устанавливаются все применимые компоненты, но компоненты автоматической
защиты электронной почты устанавливаются только для обнаруженных на
компьютере почтовых программ.

Если необходимо установить все применимые компоненты для клиента, укажите


команду ALL (ADDLOCAL=ALL).

См. "Компоненты клиента Symantec Endpoint Protection" на стр. 204.


Примечание: Помимо новой функции в списке необходимо указать все
существующие функции, которые планируется сохранить. Windows Installer удалит
все существующие функции, не указанные в этом свойстве. Те существующие
функции, которые указаны в свойстве, не устанавливаются повторно. Для удаления
существующей функции используйте команду REMOVE.

Необязательное

REMOVE=функция Удаляет ранее установленную программу или ее функцию. В качестве функции


можно указать одно из следующих значений:

■ Компонент: Удаляет компонент или список компонентов с целевого компьютера.


■ ALL: Удаляет программу и все установленные компоненты. Если компонент не
указан, по умолчанию применяется значение "All".

Необязательное

Свойства Центра обеспечения безопасности


Windows
Во время установки клиента Symantec Endpoint Protection можно настроить
свойства Центра обеспечения безопасности Windows (WSC). Эти свойства
Свойства и компоненты установки Symantec Endpoint Protection 209
Как проверить наличие ошибок с помощью файла журнала

применимы только к неуправляемым клиентам. Symantec Endpoint Protection


Manager управляет этими свойствами для управляемых клиентов.

Табл. A-4 Свойства Центра обеспечения безопасности Windows

Свойство Описание

WSCCONTROL=значение Управляет WSC. Допустимы следующие значения:

■ 0: Не управлять (по умолчанию).


■ 1: Выключить один раз, при первом обнаружении.
■ 2: Выключать всегда.
■ 3: Восстановить, если выключено.

WSCAVALERT=значение Настраивает антивирусные предупреждения для


WSC. Допустимы следующие значения:

■ 0: Включено.
■ 1: Выключить (по умолчанию).
■ 2: Не управлять.

WSCFWALERT=значение Настраивает предупреждения брандмауэра для WSC.


Допустимы следующие значения:

■ 0: Включено.
■ 1: Выключить (по умолчанию).
■ 2: Не управлять.

WSCAVUPTODATE=значение Настраивает срок хранения описаний вирусов для


WSC, по истечении которого они устаревают.
Допустимы следующие значения:

1 - 90: Количество дней (по умолчанию — 30).

DISABLEDEFENDER=значение Указывает, следует ли выключать Windows Defender


во время установки. Возможны следующие значения:

■ 1: Выключить Windows Defender (по умолчанию).


■ 0: Не выключать Windows Defender.

Как проверить наличие ошибок с помощью файла


журнала
Программы Windows Installer и Мастер развертывания методом рассылки
создают файлы журналов с информацией о том, была ли установка
успешной. Файл журнала содержит список успешно установленных
210 Свойства и компоненты установки Symantec Endpoint Protection
Определение точки сбоя установки

компонентов и прочую информацию о пакете установки. Файл журнала —


это эффективный способ устранения ошибок установки.
Если установка была успешной, то примерно в конце файла будет
содержаться запись об успешной установке. Если установка была неудачной,
то журнал будет содержать запись о сбое установки. Обычно для поиска
ошибок следует искать Значение 3. Имя и расположение файла журнала
задаются в параметре /l*v <файл-журнала>. Файл журнала vpremote.log,
создаваемый при работе мастера развертывания методом рассылки,
добавляется в каталог \\Windows\temp.

Примечание: При каждой обработке пакета установки файл журнала


заменяется.

Определение точки сбоя установки


С помощью файла журнала можно определить, какой компонент или
действие послужили причиной сбоя установки. Если причину сбоя
определить не удается, то следует сохранить файл журнала. Этот файл
можно будет передать в службу технической поддержки Symantec при
необходимости.
Для определения точки сбоя установки выполните следующие действия:
1 Откройте файл журнала, созданный во время установки, в текстовом
редакторе.
2 Найдите следующую строку:
Значение 3

Вероятнее всего сбой возник из-за действия, указанного над строкой с


этой записью. Строки ниже этой записи описывают компоненты,
установка которых была отменена из-за ошибки.
Свойства и компоненты установки Symantec Endpoint Protection 211
Примеры команд для установки клиента

Примеры команд для установки клиента


Табл. A-5 Примеры команд

Задача Команда

Установить все компоненты клиента Symantec msiexec /I "Symantec AntiVirus.msi"


Endpoint Protection с настройками по умолчанию в INSTALLDIR=C:\SFN REBOOT=ReallySuppress /qn /l*v
каталог C:\SFN без создания вывода. c:\temp\msi.log

Не перезагружать компьютер; создать файл


подробного журнала.

Установить клиент Symantec Endpoint Protection с msiexec /I "Symantec AntiVirus.msi"


защитой от вирусов и от программ-шпионов, с ADDLOCAL=Core,SAVMain,EMailTools,OutlookSnapin,
защитой от угроз из сети, без создания вывода. Pop3Smtp,ITPMain,Firewall /qn /l*v c:\temp\msi.log

Создать файл подробного журнала.

Для включения защиты от угроз из сети необходимо


перезапустить компьютер.
212 Свойства и компоненты установки Symantec Endpoint Protection
Примеры команд для установки клиента
Приложение B
Восстановление после
аварии
В этом приложении рассмотрены следующие вопросы:

■ Подготовка к восстановлению после аварии

■ Выполнение восстановления после аварии

■ Восстановление Symantec Endpoint Protection Manager

■ Восстановление сертификата сервера

■ Восстановление подключения клиента

Подготовка к восстановлению после аварии


Процесс подготовки включает в себя сбор фалов и информации во время
и после установки Symantec Endpoint Protection Manager. В частности, в
процессе установки необходимо записать подготовленный ключ. Файл
хранилища ключей необходимо перенести в безопасное расположение.
См. "Выполнение восстановления после аварии" на стр. 215.

Табл. B-1 Основные шаги подготовки к восстановлению после аварии

Шаг Действие Описание

Шаг 1 Регулярно создавайте резервную копию Резервная копия базы данных хранится в каталоге
базы данных и сохраняйте ее вне офиса. \\Program Files\Symantec\ Symantec Endpoint Protection
Рекомендуется делать это раз в неделю. Manager\data\backup. Файл резервной копии называется
дата_время.zip.
214 Восстановление после аварии
Подготовка к восстановлению после аварии

Шаг Действие Описание

Шаг 2 Найдите файл хранилища ключей и файл Во время установки резервная копия этих файлов
.xml сервера. создается в каталоге \\Program Files\Symantec\ Symantec
Endpoint Protection Manager\Server Private Key Backup.
Файл хранилища ключей называется keystore_время.jks.
Хранилище ключей содержит личный и общий ключ,
а также собственный сертификат. Файл .xml сервера
называется server_время.xml.

Также можно создать резервные копии этих файлов из


панели Администратора в консоли сервера управления.

Шаг 3 Создайте текстовый файл в текстовом Пароль применяется для доступа к хранилищу и ключу.
редакторе и откройте его. Назовите его Пароль к хранилищу защищает файл JKS. Пароль к
Backup.txt или другим похожим именем. ключу защищает личный ключ. Эти пароли требуется
Откройте файл server.xml, найдите пароль вводить при восстановлении сертификата.
для доступа к хранилищу и ключу,
Строка пароля выглядит следующим образом:
скопируйте его и вставьте в текстовый
keystorePass="WjCUZx7kmX$qA1u1". Скопируйте и
файл.
вставьте строку, заключенную в кавычки. Кавычки
Оставьте текстовый файл открытым. копировать не следует.

Шаг 4 Скопируйте и вставьте файл sylink.xml. Если создан только один домен, то найдите и
скопируйте файл sylink.xml, расположенный в каталоге
\\Program Files\Symantec\ Symantec Endpoint Protection
Manager\data\outbox\agent\ . Вставьте его в каталог
\\Program Files\Symantec\ Symantec Endpoint Protection
Manager\Server Private Key Backup\.
Для каждого домена скопируйте файл sylink.xml на
компьютер клиента. Затем вставьте его в следующий
каталог:

\\Program Files\Symantec\ Symantec Endpoint Protection


Manager\Server Private Key Backup.

ID доменов необходимо знать в случае, если отсутствует


резервная копия базы данных. Эти ID хранятся в файле
sylink.xml на компьютерах клиентов в каждом домене.

Шаг 5 Откройте каждый файл sylink.xml, Этот ID будет добавлен в новый домен, созданный для
найдите запись DomainId и скопируйте существующих клиентов.
ее в файл Backup.txt.
Найдите в файле sylink.xml строку следующего вида:
DomainId="B44AC676C08A165009ED819B746F1".
Скопируйте и вставьте строку, заключенную в кавычки.
Кавычки копировать не следует.
Восстановление после аварии 215
Выполнение восстановления после аварии

Шаг Действие Описание

Шаг 6 Запишите в файл Backup.txt пароль Этот ключ потребуется указать при повторной
шифрования, применявшийся при установке сервера управления. Ключ необходим в том
установке первого сайта в сети. случае, если нет резервной копии базы данных. При
наличии резервной копии базы данных ключ сохранять
не обязательно, но рекомендуется на всякий случай
это сделать.

Шаг 7 Введите IP-адрес и имя хоста компьютера, В случае полного выхода компьютера из строя сервер
на котором работает сервер управления, управления потребуется установить на компьютере с
в файле Backup.txt. тем же IP-адресом и именем хоста.

Шаг 8 Сохраните имя сайта, Хотя знание имени сайта не является обязательным
идентифицирующее сервер управления, условием повторной установки, это позволяет
в файле Backup.txt. восстановить согласованную среду.

Сохраните и закройте файл Backup.txt.


Теперь он содержит всю полезную
информацию, необходимую для
восстановления после аварии.

Шаг 9 Скопируйте эти файлы на съемный После сохранения файлов на безопасном носителе
носитель и сохраните носитель в удалите их с компьютера, на котором работает сервер
безопасном месте, например в сейфе. управления.

Выполнение восстановления после аварии


После завершения подготовки выполните следующие действия по
восстановлению после аварии.
См. "Подготовка к восстановлению после аварии" на стр. 213.

Табл. B-2 Процесс выполнения восстановления после аварии

Шаг Действие

Шаг 1 Восстановление Symantec Endpoint Protection Manager

См. "Восстановление Symantec Endpoint Protection Manager" на стр. 216.

Шаг 2 Восстановление сертификата сервера

См. "Восстановление сертификата сервера" на стр. 216.


216 Восстановление после аварии
Восстановление Symantec Endpoint Protection Manager

Шаг Действие

Шаг 3 Восстановление подключения клиента

Процедура восстановления подключения клиента зависит от наличия


резервной копии базы данных.

См. "Восстановление подключения клиента" на стр. 217.

Восстановление Symantec Endpoint Protection


Manager
В случае аварии восстановите файлы, которые были сохранены в безопасном
месте после первоначальной установки продукта. Откройте файл Backup.txt,
содержащий пароли, ID доменов и прочую полезную информацию.
В случае полного выхода компьютера из строя его потребуется заменить.
Новому компьютеру необходимо присвоить IP-адрес и имя хоста, которые
были заданы на замененном компьютере. Эту информацию можно найти
в файле Backup.txt.
При повторной установке программного обеспечения используйте тот же
пароль шифрования и остальные параметры, что и указанные во время
первой установки на сервер, на котором произошел сбой.

Восстановление сертификата сервера


Сертификат сервера — это хранилище ключей Java, содержащее общий
сертификат и пару из личного и частного ключа. Для восстановления
необходимо ввести пароль, содержащийся в файле Backup.txt. Этот пароль
из исходного файла server_отметка-времени.xml.
Как восстановить сертификат сервера
1 Войдите в консоль и выберите Администратор.
2 На панели "Администратор" выберите Серверы в списке "Задачи".
3 В разделе "Показать серверы" разверните пункт "Локальный сайт" и
щелкните на имени компьютера, идентифицирующем локальный сайт.
4 В разделе "Задачи" выберите Управление сертификатом сервера.
5 В окне приветствия нажмите кнопку Далее.
6 На панели "Управление сертификатом сервера" выберите пункт
Обновить сертификат сервера и нажмите кнопку Далее.
Восстановление после аварии 217
Восстановление подключения клиента

7 В области "Выберите тип импортируемого сертификата" выберите


Хранилище ключей JKS и нажмите Далее.
Если применяется другой тип сертификата, выберите нужный тип.
8 На панели "Хранилище ключей JKS" нажмите кнопку Обзор, выберите
сохраненный файл хранилища ключей keystore_отметка-времени.jks
и нажмите кнопку OK.
9 Откройте текстовый файл с информацией для восстановления после
аварии и скопируйте из него пароль к хранилищу ключей.
10 Перейдите в окно "Хранилище ключей JKS" и вставьте пароль к
хранилищу в поля "Хранилище ключей" и "Ключ".
Поддерживается только вставка путем нажатия клавиш Ctrl + V.
11 Нажмите Далее.
Если появилось сообщение о том, что файл хранилища ключей
недопустим, значит были введены неверные пароли. Скопируйте пароль
еще раз. Сообщение об ошибке больше не должно появляться.
12 На панели "Завершено" нажмите кнопку Готово.
13 Выйдите из консоли.
14 Выберите Пуск > Настройка > Панель управления >
Администрирование > Службы.
15 В окне Службы щелкните правой кнопкой мыши на Symantec Endpoint
Protection Manager, а затем выберите Остановить.
Не закрывайте окно "Службы" до завершения процедуры восстановления
после аварии и возобновления связи с клиентами.
16 Щелкните правой кнопкой мыши на Symantec Endpoint Protection
Manager и выберите Пуск.
Перезапуск Symantec Endpoint Protection Manager необходим для
окончательного восстановления сертификата.

Восстановление подключения клиента


Если имеется резервная копия базы данных, то с ее помощью можно
восстановить базу данных и возобновить подключение клиента. При этом
клиенты будут включены в те же группы, что и ранее, и к ним будут
применяться те же исходные политики. Если резервная копия базы данных
отсутствует, то восстановить подключение клиентов возможно, но они
будут помещены во временную группу. После этого можно будет заново
создать группы и политики.
218 Восстановление после аварии
Восстановление подключения клиента

См. "Восстановление связи с клиентами с помощью резервной копии базы


данных" на стр. 218.
См. "Восстановление связи с клиентами при отсутствии резервной копии
базы данных" на стр. 219.

Восстановление связи с клиентами с помощью резервной копии


базы данных
Если на компьютере выполняется активная служба Symantec Endpoint
Protection Manager, функция восстановления базы данных недоступна. Эту
службу необходимо остановить и запустить несколько раз.

Предупреждение! При восстановлении резервной копии базы данных


необходимо использовать ту же версию сервера управления, которая
применялась для создания резервной копии.

Как восстановить связь с клиентами с помощью резервной копии базы данных


1 Откройте окно "Службы", выбрав Пуск > Настройка > Панель
управления > Администрирование > Службы.
2 В окне Службы щелкните правой кнопкой мыши на Symantec Endpoint
Protection Manager, а затем выберите Остановить.
Не закрывайте окно "Службы" — оно потребуется в дальнейшем при
выполнении этой процедуры.
3 Создайте следующий каталог:
\\Program Files\Symantec\Symantec Endpoint Protection
Manager\data\backup
4 Скопируйте файл резервной копии базы данных в этот каталог.
По умолчанию файл резервной копии называется дата_время.zip.
5 Выберите Пуск > Программы > Symantec Endpoint Protection Manager
> Резервное копирование и восстановление базы данных.
6 В окне "Database Backup and Restore" выберите Восстановить.
7 В окне восстановления сайта выберите файл резервной копии, который
был скопирован в каталог backup, и нажмите кнопку OK.
Время восстановления базы данных зависит от ее размера.
8 В окне сообщения нажмите кнопку OK.
9 Нажмите кнопку Выход.
Восстановление после аварии 219
Восстановление подключения клиента

10 Выберите Пуск > Программы > Symantec Endpoint Protection Manager


> Мастер настройки сервера управления.
11 На панели приветствия выберите вариант Перенастроить сервер
управления и нажмите кнопку Далее.
12 На панели информации о сервере измените необходимые значения на
те, которые применялись ранее, и нажмите кнопку Далее.
13 На панели выбора сервера базы данных отметьте тот тип базы данных,
который применялся ранее, и нажмите кнопку Далее.
14 На панели информации о базе данных укажите те значения, которые
применялись ранее, и нажмите кнопку Далее.
Настройка может занять несколько минут.
15 В окне "Настройка завершена" нажмите кнопку Готово.
16 Войдите в консоль.
17 Щелкните правой кнопкой мыши на группах и выберите Выполнить
команду над группой > Обновить содержимое.
Если по истечении получаса клиенты не начнут отвечать, перезапустите
их.

Восстановление связи с клиентами при отсутствии резервной


копии базы данных
Необходимо заново создать каждый применяемый домен и вставить
применявшийся ранее ID домена в базу данных. ID доменов хранятся в
текстовом файле с информацией для восстановления после аварии, если
они были добавлены в файл вручную. По умолчанию применяется домен
Default.
Рекомендуется создать домен с именем, совпадающим с именем ранее
применявшегося домена. Для восстановления домена Default (домена по
умолчанию) следует добавить к имени суффикс, например _2 (Default_2).
После восстановления доменов старый домен по умолчанию можно удалить.
Затем переименуйте новый домен в Default.
Как восстановить связь с клиентами при отсутствии резервной копии базы
данных
1 Войдите в консоль.
2 На консоли выберите Администратор.
3 На панели "Системный администратор" нажмите Домены.
4 В разделе "Задачи" выберите пункт Добавить домен.
220 Восстановление после аварии
Восстановление подключения клиента

5 Нажмите кнопку Дополнительно.


6 Откройте текстовый файл восстановления после аварии, выделите и
скопируйте ID домена, а затем вставьте его в соответствующее поле.
7 Нажмите кнопку ОК.
8 (Дополнительно) Повторите эту процедуру для всех доменов, которые
требуется восстановить.
9 В разделе "Задачи" выберите пункт Администрирование домена.
10 В окне администрирования домена нажмите кнопку Да.
11 Нажмите кнопку ОК.
12 Перезагрузите все компьютеры клиентов.
Компьютеры показаны в группе "Временный".
13 (Необязательно) Если применяется только один домен, то удалите
ненужный домен Default и переименуйте созданный домен в Default.
Алфавитный указатель

I N
ID домена Novell ZENworks 117
замена 219
определение 214 S
IP-адреса, создание текстового файла для
serdef.dat 175–176
установки 115
setaid.ini
настройка 202
L порядок обработки, свойства и компоненты
LiveUpdate MSI 202
архитектуры сети с поддержкой 135 Sylink.xml 214
сведения о применении сервера 135 преобразование клиента в управляемый
клиент 121
M Symantec Endpoint Protection
обновление 151
microdef
Symantec Endpoint Protection Manager
описание 150
применяемые веб-серверы 81
Microsoft Active Directory
Symantec Network Access Control
настройка шаблонов 124
обновление 151
сведения о применении для развертывания
Symantec System Center
клиента 117
подготовка параметров для миграции всех
создание административного установочного
старых продуктов 159
образа 121
подготовка параметров для миграции
установка программного обеспечения
продуктов 10.x/3.x 162
клиента с помощью объекта групповой
политики 119
Microsoft SMS T
сведения о применении для развертывания Tivoli 117
клиента 117
установка файлов описаний пакетов 117 V
Microsoft SQL Server
VMware 47
обновление 88
параметры конфигурации базы данных 72
Microsoft Virtual Server W
поддержка 48 Windows Installer
Msi команды 203
компоненты и свойства 201 компоненты и свойства 201
порядок обработки, setaid.ini 202 параметры 207
Примеры команд 211 создание сценария запуска 125
установка из командной строки 203 Windows Vista, брандмауэр 57
MSP Windows Vista, подготовка 58
для обновления клиента 150 Windows, брандмауэры
Symantec, брандмауэры 56
222 Алфавитный указатель

использование 56 М
Мастер развертывания методом рассылки
Б импорт списка компьютеров 115
база данных применение, перенос продуктов
перенос 144 Symantec 170
установка Microsoft SQL 78 применяемые порты 172
установка, встроенная 68 развертывание программ клиента с
блокированные варианты миграции 157 помощью 112
Брандмауэр Windows миграция
выключение 57 Symantec AntiVirus и Symantec Client
Security 154
Symantec Network Access Control 5.1 185
В группы и параметры 154
Веб-серверы, применяемые Symantec Endpoint компоненты Enforcer 186
Protection Manager 81 неподдерживаемые варианты Symantec
восстановление после аварии Sygate 183
восстановление подключения клиента 217 неуправляемые клиенты 175
восстановление сервера управления 216 неуправляемые клиенты, экспортированные
восстановление сертификата сервера 216 пакеты 176
подготовка 213 открываемые порты на компьютерах
сведения о процессе 215 клиентов 172
восстановление после сбоя 82 Параметры и группы серверов и клиентов
восстановление после сбоя и распределение Symantec 164
нагрузки перенос групп серверов и клиентов Symantec
настройка 87 173
установка 85 подготовка компьютеров клиентов Symantec
восстановление сертификата сервера 216 172
встроенная база данных подготовка старых версий Symantec
параметры установки 67 10.x/3.x 162
установка 68 подготовка экземпляров устаревших
продуктов Symantec 158
И поддерживаемые варианты Symantec
интернационализация Sygate 183
требования 44 поддерживаемые и неподдерживаемые
варианты 157
с помощью файлов на компакт-диске 175
К
сервер управления Symantec Sygate,
клиент Linux 42
процедуры 191
Клиент Symantec AntiVirus для Linux 42
сценарии Symantec Sygate 187
клиент, установка
устаревшая консоль удаленного управления
настройка и развертывание в первый раз 104
Symantec Sygate 195
подготовка компьютеров под управлением
устаревшее программное обеспечение
Windows XP 58
Symantec Sygate 182
подготовка компьютеров, работающих под
устаревший клиент Symantec Sygate 184,
управлением Windows Vista или Windows
196
Server 2008 58
Центральный карантин 158
клиенты Symantec Endpoint Protection
экспорт списка устаревших компьютеров
компоненты MSI 204
клиентов для переноса 170
свойства MSI 206
компьютеры, перезапуск 60
Алфавитный указатель 223

Н С
неуправляемые клиенты сведения
миграция Symantec 175 microdef 150
миграция Symantec с помощью Symantec Endpoint Protection Manager 81
экспортированных пакетов 176 восстановление после сбоя 82
установка 106 распределение нагрузки 82
репликация 82
О связь и обязательные порты 52
система, требования
обновление до базы данных SQL Server 88
для Symantec Network Access Control 38
обновление компонентов Enforcer 186
для VMware 47
описание
для консоли карантина 42
Symantec Network Access Control 103
для сервера центрального карантина 43
настройка setaid.ini 202
средства развертывания независимых
перенос устаревшего клиента Symantec
производителей 117
Sygate 184
установка 32-разрядных и 64-разрядных
клиентов 104 Т
установка программного обеспечения требования
клиента Symantec 102 поддержка языков, отличных от
установочные пакеты клиентов, создаваемые английского 44
в ходе переноса 169 требования к системе 25
Symantec Endpoint Protection Manager,
П консоль и база данных 26
для Symantec Endpoint Protection 35
перенос Symantec Enforcement Agent 5.1 186
для Symantec Endpoint Protection Manager и
перенос Symantec Network Access Control 5.1 185
консоли 30
поддержка символов, не входящих в английский
для консоли Symantec Endpoint Protection 32
алфавит 44
сведения 25
порты
соединение, требования 52
требования для установки 52 У
продукт удаление
компоненты 19 Symantec Endpoint Protection Manager 98
основные возможности 21 как удалить базу данных 98
сведения 17 клиентского ПО из системы Windows Server
2008 в режиме Server Core 128
Р программное обеспечение клиента 128
программное обеспечение клиента, Active
развертывание
Directory GPO 127
пакеты клиента, мастер развертывания
удаленная установка и порт TCP 139 52
методом рассылки 112
управление доступом пользователей и
пакеты клиента, сетевой диск 111
подготовка компьютеров под управлением
функция "Найти неуправляемые
Windows Vista 58
компьютеры" 113
установка
распределение нагрузки 82
MSI, примеры команд 211
репликация 82
брандмауэры клиентов 52
настройка 95, 97
восстановление после сбоя и распределение
нагрузки 85
224 Алфавитный указатель

как создать текстовый файл с IP-адресами развертывание на Windows XP в рабочих


для импорта 115 группах 58
клиент, с помощью Active Directory 119 Управление учетными записями
клиентского ПО в системе Windows Server пользователей в Vista и GPO 123
2008 в режиме Server Core 109 функция "Найти неуправляемые
компоненты защиты 102 компьютеры" 113
о параметрах встроенной базы данных 67
Параметры конфигурации Microsoft SQL Ф
Server 72
файл хранилища ключей
параметры программного обеспечения
поиск для восстановления после аварии 214
неуправляемого клиента 106
подготовка компьютеров клиентов к 59
подготовка компьютеров под управлением Ц
Windows XP 58 Центральный карантин
Подготовка компьютеров, работающих под настройка серверов и клиентов 134
управлением Windows Vista или Windows установка 131
Server 2008 58
подключение к удаленному рабочему
столу 59
порты связи 52
применение продуктов независимых
производителей 117
работа с командами MSI 203
репликация 95
с базой данных Microsoft SQL Server 78
с помощью объекта групповой политики
Active Directory 119
Свойства MSI Центра обеспечения
безопасности Windows 208
сервер со встроенной базой данных 67
Только консоль Symantec Endpoint Protection
Manager 82
требования 25
требования к системе и сети 25
Центральный карантин 131
установка клиента, Найти неуправляемые
компьютеры 113
установочные пакеты клиента
32-разрядные и 64-разрядные клиенты 104
развертывание с помощью мастера
развертывания методом рассылки 112
развертывание, сетевой диск 111
создание 110
создание, перенос 169
устранение неполадок
использование файлов журнала
установки 209
открываемые порты для миграции старых
продуктов Symantec 172