Amministrazione del Symantec Endpoint Protection

Scritto da Paolo Arlotti (arlotti.paolo@gmail.com) ed Alessandro Tani (alessandro.tani@homeworks.it)

- Pubblicato il giorno 3 Gennaio 2010 - Aggiornato il 13 Ottobre 2010 -

Il Symantec Endpoint Protection è uno dei migliori programmi antivirus in circolazione. Questa guida cerca di spiegare come installare ed amministrare il Symantec Endpoint Protection (SEP) a tutti coloro che devono installare il SEP in una media o grande impresa.

Questo documento risulta ancora incompleto in alcune sue parti. Gli autori del documento si scusano per questo. Ciò non di meno, l'interesse mostrato al documento, ha indotto gli autori a pubblicarlo anche in questa sua forma non definitiva. Sarà premura degli autori terminare la stesura del documento quanto prima. Ci scusiamo ancora per il disagio.

All'interno della presente guida, sono riportati dei collegamenti a delle immagini. Per consentire la migliore visualizzazione di queste immagini, si consiglia una risoluzione dello schermo superiore alla 1024x768.


Indice

Licenza

Creative Commons License

L'articolo Amministrazione del Symantec Endpoint Protection scritto da Paolo Arlotti e da Alessandro Tani è tutelato dalla licenza Creative Commons Attribuzione-Non commerciale-Condividi allo stesso modo 2.5 Italia License.

Scenario

Nel corso di questo articolo, supporemo di dover installare e configurare il programma antivirus Symantec Endpoint Protection 11 all'interno di una media impresa Italiana, dotata di una decina di postazioni server e circa duecento postazioni client, fra postazioni fisse (Workstations) e postazioni mobili (Laptops). Supporremo d'installare il SEP Manager su un server con Windows 2003 R2 Std. Ed. in Inglese aggiornato all'ultima Service Pack disponibile (al momento della stesura di questo documento, l'ultima Service Pack disponibile era la Service Pack 2) e supporemo che tutte le postazioni di lavoro abbiano come sistema operativo o Windows 2000 Professional o Windows XP Professional aggiornati all'ultima Service Pack disponibile (Service Pack 4 per Windows 2000 e Service Pack 3 per Windows XP).

Introduzione

Il Symantec Endpoint Protection, o più brevemente SEP, è l'ultimo nato dei sistemi antivirus per le imprese della Symantec. Rispetto alla versione precedente del prodotto, il Symantec AntiVirus, o più brevemente SAV, sono state introdotte molte novità. Per sapere quali sono le ultime novità del prodotto e qual'è l'ultima versione disponibile, si può consultare il sito web Release notes for Symantec Endpoint Protection

Una delle principali differenze fra il SAV ed il SEP, è che il SEP richiede, a differenza di quanto poteva accadere col SAV, una configurazione post-installazione. Per un corretto e puntuale funzionamento del programma, si consiglia di svolgere sempre la configurazione post-installazione.

Il SEP è composto da due componenti fondamentali:

Il SEP Manager si appoggia ad un database di tipo SQL per archiviare le varie informazioni raccolte dalle postazioni di lavoro in cui è operativo il SEP Client. Risulta possibile utilizzare due tipi di database SQL

Per maggiori informazioni sul Symantec Endpoint Protection si può consultare la bellissima guida interattiva, in lingua Inglese, Symantec Endpoint Protection Initial Installation and Deployment Tour messa a disposizione dalla Symantec. Una bella guida su come installare e configurare il Symantec Endpoint Protection, è quella realizzata da Joseph K. Magochi dell'African Virtual University dal titolo Network Antivirus Training.

Caratteristiche del SEP Manager

Il SEP Manager va montato solamente su sistemi server. Il SEP Manager è un programma di tipo Web Based ed è scritto in parte in Java ed in parte in PHP. Come motore Java, viene utilizzato il programma Tomcat. Le caratteristiche che dovrebbe avere il server che ospita il SEP Manager sono le seguenti:

Sebbene dalla versione MR4 del SEP Manager, il sistema operativo Windows 2008 sia ufficialmente supporto, l'autore di questo articolo sconsiglia d'installare il SEP Manager sui sistemi operativi della famiglia Windows 2008. Al contrario, non sono note all'autore dell'articolo, particolari problemi fra il SEP Client ed i sistemi Windows 2008.

In base all'esperienza dell'autore di questo documento, il SEP Manager risulta incompatibile, ovvero non può venire installato con successo, con i seguenti programmi:

Più in generale, l'installazione del SEP Manager può entrare in conflitto con i seguenti programmi:

Per evitare conflitti con i programmi appena citati, di norma è sufficiente installare il SEP Manager sulla porta 8014, ovvero quella raccomandata dalla procedura d'installazione del SEP Manager.

Installazione del SEP Manager

L'installazione del SEP Manager andrebbe effettuata sfruttando solamente la versione Inglese del prodotto, in quanto quest'ultima risulta meglio supportata (gli aggiornamenti escono prima per la versione in lingua Inglese e successivamente per le altre versioni nelle altre lingue e la maggior parte della documentazione disponibile in Internet fa riferimento alla versione Inglese), sia meglio testata (nel mondo ci sono molte più versioni Inglese in giro di quelle localizzate nelle altre lingue).

Il SEP Manager è un programma web-based ed utilizza sia Tomcat, sia il programma Internet Information Server (o più brevemente IIS) che si trova in Windows 2000/2003 (per Windows XP Professional è disponibile una versione ridotta di IIS, denominata Personal Edition). Pertanto prima di procedere con l'installazione vera e propria del SEP Manager, bisogna installare il programma Internet Information Server come indicato nel paragrafo Installazione di Internet Information Server.

La Symantec mette a disposizione l'ultima versione del SEP in rete, ed è liberamente scaricabile da chiunque sia in possesso di un codice di licenza valido, dal sito Symantec File Connect. Prima di procedere con l'installazione del SEP, assicurarsi di essere in possesso dell'ultima versione disponibile del prodotto. Il SEP è composto da due cdrom.

Una volta installato IIS, si può procedere con l'installazione del SEP Manager, possibilmente in lingua Inglese, tendo presente le seguenti linee guida:

Si osservi infine che:

Se si sta svolgendo un'installazione in una piccola impresa, ovvero in un'azienda con meno di diedi postazioni di lavoro, si dovrebbe prendere seriamente in considerazione l'idea di non installare il SEP Manager, o in altri termini, di non gestire centralmente le varie installazioni dei SEP Client, in quanto, le richieste hardware del SEP Manager non è detto che siano soddisfatte.

Installazione di Internet Information Server

L'installazione di default di IIS è più che adeguata. Durante l'installazione di defualt di IIS vengono installati i seguenti componenti:

Per maggiori informazioni su come personalizzare l'installazione del programma Internet Information Server si possono consultare i documenti Installing IIS e Internet Information Server.

Per eseguire l'installazione di default di IIS basta procedere come indicato di seguito (guarda il video):

Accertarsi di avere a portata di mano la cartella i386 o i cdrom d'installazione del sistema operativo, in quanto durante l'installazione di IIS verranno richiesti. Per sapere come modificare il registro di Windows in modo che il sistema operativo possa ritrovare una copia della cartella i386 su disco, consultate la ricetta Come specificare a Windows 2000/XP/2003 dove trovare la cartella i386.

Sebbene non necessari al fine dell'installazione del SEP Manager, risulta comunque comodo, per eventuali verifiche successive all'installazione di IIS, installare gli strumenti di analisi di IIS denominati IIS Diagnostic Tools. Per comodità, conviene svolgere l'installazione Completa degli IIS Diagnostic Tools.

Una volta eseguita l'installazione di IIS, verificarne il corretto funzionamento utilizzando gli IIS Diagnostic Tools. In particolare accertarsi della possibilità di accedere in maniera anonima ad IIS. Conviene quindi svolgere i seguenti controlli:

I permessi di IIS dovrebbero essere impostati come segue:

Per maggiori informazioni su come utilizzare il programma IIS Diagniostic Tools, si può consultare il seguente articolo della Symantec Usage of “IIS Diagnostics Toolkit - Authentication and Access Control Diagnostics 1.0”

Una volta certi del corretta configurazione di IIS si può procedere con l'installazione del SEP Manager.

Verifiche pre-installazione del SEP Manager

Prima di svolgere l'installazione del SEP Manager, conviene accertarsi che il server che si è scelto per l'installazione del SEP Manager sia idoneo ad ospitare il SEP Manager. Per svolgere questa analisi, la Symantec mette a disposizione il programma SEP Support Tools (SEP_SupportTool.exe).

Il SEP Support Tool è stato testato solamente sulle versioni Inglesi di Windows 2000/2003/2008. Per tutte le altre lingue, il SEP Support Tool potrebbe dare dei falsi messaggi d'errore, ovvero segnalare dei problemi che in realtà non esistono. Per maggiori informazioni sul SEP Support Tool si possono leggere o l'articolo di Shaun_B dal titolo SEP Support Tool, oppure l'articolo della Symantec About the Symantec Endpoint Protection Support Tool.

Una volta scaricato il file SEP_SupportTool.exe basta copiarlo in una qualunque cartella del server in cui si è deciso d'installare il SEP Manager ed eseguirlo. Il programma SEP_SupportTool.exe non svolge alcuna installazione, si limita a verificare se i requisiti necessari all'installazione del SEP Manager sono soddisfatti. Al termine dell'analisi del SEP Support Tools conviene salvare il report, col nome <Data_Creazione_File>_<Nome_Client>_<Nome_Server>_Full_pre_SEP_Installation.sdbz proposto dal programma per eventuali analisi future. Per svolgere le verifiche citate, basta procedere come indicato di seguito:

Installazione Passo-Passo del SEP Manager

Per installare in modo corretto il SEP Manager, basta seguire la procedura riportata di seguito (guarda il video):

Il video che riportiamo è stato creato utilizzando la versione 11.0.5 RU5 del SEP Manager, ma è valido anche per l'ultima versione del SEP Manager. Si tenga infine presente che la versione RU6-MP1, ovvero l'ultima versione del SEP Manager, non può venire installata direttamente, ma bisogna prima installare la versione RU6A del SEP Manager e poi svolgere l'aggiornamento alla versione RU6-MP1.


Sebbene non fondamentale per l'installazione del SEP Manager, l'autore del documento consiglia di compilare un foglio di calcolo contenente i dati salienti dell'installazione del SEP Manager. Un esempio di questo foglio di calcolo può essere scaricato qui (MD5 hash: 941718598feb31e882288921bdbf7e55).

Verifiche post-installazione del SEP Manager

Una volta terminata l'installazione del SEP Manager e prima di procedere con la sua configurazione, è bene svolgere qualche verifica per controllare che l'installazione appena effettuata del SEP Manager sia andata a buon fine:

Configurazione del SEP Manager

Una volta installato il SEP Manager, si deve procedere assolutamente alla sua configurazione. Il SEP Manager, a differenza della SAV Console, utilizza una gestione delle postazioni client, ovvero delle postazioni sulle quali è installato il SEP Client, basata sul concetto di Politica (Policy). Il principale vantaggio di questa gestione, è che le Politche si possono esportare da un SEP Manager ed installare su un altro SEP Manager. In questo modo la configurazione del SEP Manager, relativa alla gestione e configurazione dei SEP Client, risulta di gran lunga più agevole che non con la SAV Console.

La configurazione che andremo a proporre, va bene sia per le piccole, sia per le medie imprese Italiane. Verranno creati degli appositi gruppi di macchine che hanno lo scopo di gestire particolari situazioni che si possono verificare presso talune aziende. Creremo il gruppo Basse Prestazioni per tutte quelle postazioni che hanno o dei componenti hardware non adeguati al carico di lavoro, come ad esempio memoria RAM inferiore ai 512MB, oppure per quelle postazioni che ricoprono ruoli un po' delicati in quanto ospitano programmi specifici, come ad esempio le casse di un supermercato, oppure le casse di una mensa, oppure gli ecografi o gli strumenti di diagniostica di un ospedale. Creremo poi un gruppo dal nome Alta Sicurezza. In questo gruppo dovrebbero venire inserite, temporaneamente, tutte quelle postazioni in cui si desidera svolgere un controllo antivirus rigoroso, a scapito ovviamente delle prestazioni generali della postazione stessa. Questo gruppo, a differenza di tutti gli altri, è da considerarsi a permanenza temporanea, in quanto, una volta eseguito il controllo antivirus rigoroso, la postazione dovrebbe venire inserita nel suo gruppo abituale (Portatili, SysAdmin, Speciali e Workstation).

I server non andrebbero mai spostati nel gruppo Alta Sicurezza.

Creremo poi un gruppo chiamato Speciali. All'interno di questo gruppo andranno inserite tutte le postazioni di lavoro, che non vengono però utilizzata dagli amministratori di rete e dei sistemi o dai programmatori informatici dell'azienda, che hanno bisogno di particolari eccezzioni da parte del SEP Client. Ad esempio, andrebbero inserite in questo gruppo, tutte quelle postazioni in cui si vuole escludere un intero disco dai controlli antivirus del SEP Client. Creremo infine un gruppo chiamato SysAdmins, in cui dovranno venire inserite tutte le postazioni di lavoro degli amministratori di rete e dei sistemi o dai programmatori informatici dell'azienda, siano esse postazioni fisse (Workstations) o mobili (Portatili).

A puro titolo di esempio, abbinato a questo articolo, vengono fornite al lettore alcune possibili configurazioni da assegnare ai SEP Client. Il file contenente queste Politiche dei SEP Client, può essere reperito qui.

Per configurare il SEP Manager si può procedere come indicato di seguito (nel corso della spiegazione, daremo per scontato che la persona che svolge le varie operazioni abbia almeno una conoscenza minima del SEP Manager):

Se tutto è andato bene, si è pronti per l'installazione del SEP Client sulle varie postazioni di lavoro e sui server di rete.

Raccolta informazioni per la procedura di ripristino

Salvare solamente il database del SEP Manager non è sufficiente per poter svolgere un'eventuale procedura di ripristino (recovery) del SEP Manager, qualora la postazione su cui il SEP Manager subisca dei danni irreparabili che richiedano o la sostituzione della macchina o il suo rifacimento. Per poter svolgere con successo una procedura di ripristino del SEP Manager, bisogna essere in possesso delle seguenti informazioni e file:

Per raccogliere le informazioni appena citate, si può procedere come indicato di seguito:

Per maggiori informazioni, si può consultare il documento della Symantec Best Practices for Disaster Recovery with Symantec Endpoint Protection.

Come gestire le Location dei SEP Client

La gestione delle Location, è una delle principali novità introdotte col Symantec Endpoint Protection (SEP). Lo scopo principale delle Location, è quello di gestire le diverse posizioni che una postazione di lavoro può ricoprire all'interno di una rete aziendale. La gestione delle Location va effettuata una volta che si è provveduto a creare i vari gruppi che identificano le diverse tipologie di postazioni. Grazie all'utilizzo delle Location, è possibile impostare diverse politiche, a seconda di dove si trova ad operare una data postazione di lavoro. Ad esempio, si potrebbe gestire il caso in un cui una postazione mobile, come ad esempio un laptop, si trovi ad operare al di fuori della rete aziendale e quindi non fosse in grado di contattare il SEP Manager. In queste circostanze, si potrebbe desiderare di far aggiorare le definizioni dell'antivirus, direttamente da Internet, piuttosto che dal SEP Manager (come di norma dovrebbe avvenire, quando la postazioni si dovesse trovare all'interno della rete aziendale). Grazie alle Location, è possibile stabilire quando la postazion mobile, il laptop, si trova ad operare all'esterno della rete aziendale e quindi impostare un'opportuna politica del LiveUpdate che consenta l'aggiornamento via Internet delle definizioni antivirus.

Un altro importante utilizzo delle Location, riguarda la gestione delle comunicazioni fra il SEP Client ed il SEP Manager. Di norma, quando il SEP Manager ed il SEP Client sono ben connessi, le comunicazioni fra il SEP Manager ed il SEP Client, avvengono in modalità Push: il SEP Manager invia le informazioni a tutti i SEP Client contemporaneamente. Di norma, all'interno della LAN in cui si trova ad operare il SEP Manager, la modalità di comunicazione fra il SEP Manager ed il SEP Client di tipo Push, non comporta alcun onere aggiuntivo sugli apparati di rete, ne un utilizzo particolamente inferiore della banda Internet. Diversamente, in un collegamento di tipo WAN, la modalità di comunicazione Push, può provocare dei picchi indesiderati di utilizzo della banda Internet; pertanto per le comunicazioni di tipo WAN, sarebbe più aspicabile un tipo di comunicazione Pull, in cui ciascun SEP Client, contatta ad intervalli regolari il server che ospita il programma SEP Manager.

Esistono due casi particolarmente interessanti:

Nel caso di un unica sede centrale, nella quale sono ospitati la maggior parte dei server aziendali e tante sedi remote di piccole dimensioni, ciascuna dotata di un proprio file server di modeste capacità hardware. Nell'ipotesi che tutte le sedi remote siano ben connesse, ad esempio attraverso una linea MPLS da 2Mbps, la scelta più opportuna è quella di creare tre Location:

A ciascuna Location citata, resterà associata una opportuna configurazione del Live UpdateIl Live Update è il programma utilizzato dal SEP Manager e dai SEP Client per aggiornare le definizioni antivirus e una opportuna configurazione dei Comunication Settings, di modo da rendere l'occupazione della banda da parte delle procedura di aggiornamento dei SEP Client delle sedi periferiche, la meno onerosa possibile.

Nel caso invece di una sede centrale di notevoli dimensioni, in cui è attivo il SEP Manager e di alcune sedi periferiche di cospique dimensioni, almeno venti postazioni di lavoro ciascuna, supponendo anche in questo caso che le sedi periferiche e la sede centrale, siano ben connesse, fra di loro, ovvero sia presente almeno una linea MPLS da 2Mbps; la soluzione più opportuna è la seguente:

A ciascuna Location citata, resterà associata una opportuna configurazione del Live UpdateIl Live Update è il programma utilizzato dal SEP Manager e dai SEP Client per aggiornare le definizioni antivirus e una opportuna configurazione dei Comunication Settings, di modo da rendere l'occupazione della banda da parte delle procedura di aggiornamento dei SEP Client delle sedi periferiche, la meno onerosa possibile. Alle Location che corrispondono alle sedi periferiche di maggiori dimensioni, resterà associata anche la configurazione di un Group Update Provider di modo che le postazioni di lavoro e server delle sedi periferiche di maggiori dimensioni, prelevino gli aggiornamenti delle definizioniLe definizioni sono gli aggiornamenti delle impronte antivirus ed anti-spywere dei vari SEP Client da server (Group Update Provider) che si trovino all'interno della loro stessa sede (o più in generale rete locale), di modo da ridurre notevolmente il traffico di rete sulla WAN (Wide Area Network).

Come gestire le esclusioni da impostare sui SEP Client

Come configurare il Group Update Provider

Per maggiori informazioni sulle maggiori novità introdotte dalla versione RU5 del SEP alla configurazione del Group Update Provider, l'autore di questo documento consiglia di leggere sia quanto riportato nel forum della Symantec, What's new in Group Update Providers in RU5 release, introdotto da Aniket Amdekar, sia gli articoli Configuring Group Update Providers in Symantec Endpoint Protection 11.0 RU5 e How to analyze Debug logs from GUP to determine which clients are taking definitions from GUP scritti da Aniket Amdekar.

Come aggiornare il SEP Manager ad una nuova versione

La procedura di aggiornamento del SEP Manager ad una nuova versione è piuttosto semplice. Di solito questa procedura richiede pochi minuti e non implica, di norma, il riavvio del server su cui è installato il SEP Manager.

L'ultima versione disponibile del SEP Manager, è la versione RU6-MP1. Questa versione è un aggiornamento delle versioni RU6 e RU6A, pertanto, prima di applicare l'aggiornamento alla versione RU6-MP1 bisogna prima installare la versione RU6A o la versione RU6 del SEP Manager. L'aggiornamento alla versione RU6A o alla versione RU6, può essere fatto su tutte le versioni precedenti del SEP Manager.

La procedura da seguire per aggiornare il SEP Manager ad una versione successiva è la seguente:

Nel corso della spiegazione, supporemo che il file Setup.exe con la nuova versione del SEP Manager si trovi nella cartella %SystemDrive%\_\Antivirus\Symantec_Endpoint_Protection\Ver_<Nuova_Versione_SEP>\Eng\CD1\SEPM\Setup.exe

Installazione del SEP Client

La pianificazione dell'installazione del SEP Client cambia ovviamente da cliente a cliente. Ad ogni modo, si dovrebbe far sempre riferimento alle seguenti linee guida:

Come preparare i pacchetti d'installazione dei SEP Client

La creazione dei pacchetti d'installazione andrebbe svolta solamente dopo aver configurato opportunamente il SEP Manager. Per sapere come configurare il SEP Manager, si può consultare il paragrafo Configurazione del SEP Manager.

Prima di procedere con la creazione dei pacchetti d'installazione dei SEP Client, conviene creare la seguente struttura di cartelle in cui installare i pacchetti d'installazione:

La creazione dei pacchetti d'installazione dei SEP Client prevede tre fasi:

Il SEP Client è composto dai seguenti componenti:

Come accennato in precedenza, per prima cosa, bisogna creare i seguenti Client Install Settings:

Una volta creati i Client Install Settings, si può procedere con la creazione dei Client Install Feature Sets:

Si consiglia vivamente d'installare sempre il modulo Network Threat Protection per poi così attivare le policy di Intrusion Prevention System che consentono di individuare e di norma impedire l'infezione di certi malware, come ad esempio il Conficker, o i Fake-Antivirus. Per maggiori informazioni sui Fake-Antivirus, si può consultare il documento Trojan.Fake-AV della Symantec.

Una volta creati sia i Client Install Settings sia i Client Install Feature Sets, si può procedere con la creazione dei pacchetti d'installazione delle varie tipologie di SEP Client, per i server, per le postazioni mobili e per le postazioni fisse:

Le operazioni che verranno indicate di seguito dovranno venire eseguite per creare almeno un pacchetto d'installazione per i server, per le workstation e per i portatili. Idealmente, per le postazioni workstation ed i portatili andrebbero creati sia pacchetti che prevedeno un installazione di tipo automatico (unattended), sia pacchetti che prevedeno un installazione di tipo silente (silent). Per i server, invece, non andrebbe creato nessun pacchetto d'installazione che preveda un'installazione di tipo silente (silent), a meno che il numero di server non sia così elevato che l'unico modo per installare in modo proffittevole il SEP Client, sia quello di procedere con un'installazione di tipo push.

Ricordarsi di non rinominare il file Setup.exe altrimenti non si riesce più ad utilizzare il Push Deployment Wizard.

Una volta creati i pacchetti d'installazione, si è pronti per installare sui server e sulle varie postazioni di lavoro il SEP Client.

Come installare il SEP Client

La Symantec mette a disposizione diveri metodi per installare o aggiornare il SEP Client.

Prima di procedere con l'installazione, bisogna preparare i pacchetti da installare sulle varie postazioni di lavoro o sui server.

A prescindere da quale sia il metodo utilizzato per installare il SEP Client, conviene, prima dell'installazione del SEP Client, qualora si fosse deciso di installare i componenti Microsoft Outlook Scanner per il controllo dei messaggi di posta elettronica che si inviano e si ricevono col programma Microsoft Outlook, chiudere il programma Microsoft Outlook. In caso contrario o si verificano dei problemi con la rimozione del vecchio programma antivirus SAV Client, oppure la procedura d'installazione del SEP Client non si avvia regolarmente. Conviene poi aggiornare la versione di Microsoft Office presente sulle varie postazioni, all'ultima Service Pack disponibile, in particolar modo per le versioni 2000, 2002 ed XP di Microsoft Office, altrimenti si potrebbero verificare dei problemi con i file allegati ai messaggi di posta elettronica quando questi vengono letti con Microsoft Outlook, come riportato nel documento della Symantec Unable to open or save attachments with Outlook 2002 with Outlook AutoProtect turned on.

Qualora si dovesse installare il componente Lotus Notes, per svolgere i controlli sulla posta elettronica inviata e ricevuta dal programma omonimo Lotus Notes, bisogna, prima d'installare il SEP Client, accertarsi che il programma Lotus Notes sia chiuso, altrimenti o l'installazione del SEP Client non va a buon fine, oppure il processo d'installazione del SEP Client stesso non riesce ad avviarsi regolarmente.

Se si desidera utilizzare i meccanismi di distribuzione del software messi a disposizione da Active Directory per l'installazione del SEP Client, si può consultare l'articolo di Jeff Vandervoort Startup Scripts and SylinkDrop Better Together.

Installazione del SEP Client su Windows Vista

Il SEP Client supporta pienamente la famiglia dei sistemi operativi Microsoft Windows Vista. Nel corso di questo articolo, prenderemo in considerazione solamente le postazioni Windows Vista che fanno parte di un Dominio Active Directory, ovvero che non si trovano ad operare in modalità Workgroup.

Il modo più semplice per installare il SEP Client su una postazione Windows Vista è quello di utilizzare il metodo Pull.

Prima di procedere con l'installazione del SEP Client su una postazione con Windows Vista, assegnare una password all'utente Administrator locale della macchina, in quanto, per impostazione predefinita, l'utente Administrator risulta privo di password. Per maggiori informazioni su come installare il SEP Client su Windows Vista, si può consultare il documento Network Antivirus Training al paragrafo Preparing Computers That Run Windows Vista For Remote Client Deployment.

Si osservi che qualora si utilizzi il metodo Push per l'installazione del SEP Client e si scelga un pacchetto del SEP Client che esegue un'installazione di tipo automatica (unattended), la barra di scorrimento relativa all'installazione automatica del SEP Client non compare a video. Pertanto, qualora si utilizzi il metodo Push per installare il SEP Client sulle postazioni Windows Vista, è meglio utilizzare solamente pacchetti d'installazione del SEP Client che eseguono installazioni di tipo silente (Silent).

Installazione del SEP Client su Windows 7

Solamente la versione del RU5 del SEP Client è compatibile con Windows 7. Tutte le versioni antecedenti alla versione RU5 (ovvero dalla MR4 MP2 in giù) non possono venire installate su Windows 7.

Di norma l'installazione del SEP Client sulle postazioni con Windows 7 non comporta problemi. É bene sottolineare, però, che esiste un caso in cui si possono presentare dei problemi. Il programma Live UpdateIl Live Update è il programma utilizzato dal SEP Manager e dai SEP Client per aggiornare le definizioni antivirus presente nel SEP Manager, è in grado di scaricare le nuove versioni del Symantec Endpoint Protection, compresa anche la versione RU5. É stato però riscontrato che le versioni precedenti alla RU5 del SEP Manager, seppur in grado di scaricare correttamente il pacchetto d'installazione del SEP Client aggiornato alla versione RU5, non sono in grado di aggiornare la versione del Live UpdateIl Live Update è il programma utilizzato dal SEP Manager e dai SEP Client per aggiornare le definizioni antivirus presente nel pacchetto d'installazione del SEP Client RU5 scaricato. Questo comporta dei problemi durante l'installazione del LiveUpdate presente nel pacchetto SEP Client RU5 sulle postazioni di lavoro con Windows 7 e sui server con Windows 2008 R2 (queste versioni del sistema operativo richiedono una versione aggiornata del LiveUpdate che si trova solamente all'interno dei cdrom d'installazione del SEP aggiornato alla versione RU5).

Per le nuove installazioni del SEP Manager RU5, questo problema non si presenta. Il problema si presenta solamente negli aggironamenti dalle versioni precedenti alla RU5, alla versione RU5 del SEP Manager, per le quali il pacchetto d'installazione del SEP Client RU5 risulta già scaricato in precedenza tramite il LiveUpdate.

Per maggiori informazioni, si può leggere il seguente Blog della Symantec: How To Install SEP Client on Windows 7

Per risolvere i problemi legati al Live UpdateIl Live Update è il programma utilizzato dal SEP Manager e dai SEP Client per aggiornare le definizioni antivirus, durante l'installazione del SEP Client RU5 sulle postazioni di lavoro con Windows 7 e sui server con Windows 2008 R2, si può procedere come indicato di seguito: Questa soluzione, ovviamente, non può essere applicata in modo massivo, ovvero durante un'installazione intensiva del SEP Client RU5 su un numero elevato di postazioni di lavoro. In questi casi, si possono seguire i suggerimenti indicati all'interno del Blog della Symantec: How To Install SEP Client on Windows 7

Qualora, consultando il file di log dell'installazione del SEP Client, dovessero comparire dei messaggi d'errore simili a questo:

LUCA: InstallLiveUpdate enter.
LUCA: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ZLIUCRWD\LiveUpdate\lucheck.exe
LUCA: InstallLiveUpdate : CreateProcessAndWait( LUCHECK.EXE ) returned 206
Action ended 17:36:22: InstallFinalize. Return value 3.
Dove viene riportato il codice d'errore 206, è bene leggere quanto riportato nella seguente Knowledge Base della Symantec: Installation rollback for Symantec Endpoint Protection Client, LuCheck.exe returning value 206.

Installazione del SEP Client in un Terminal Server

Sui server che svolgono il ruolo di Terminal Server va installato solamente le versioni del SEP Client superiore alla MR3 (le versioni precedenti hanno un baco di funzionamento che aumenta indiscriminatamente l'utilizzo del processore, come riportato nella Knowledge Base della Symantec Terminal Server Resources Consumed by Multiple Instances SEP Processes).

L'installazione del SEP Client va effettuata in modalità Terminal Server, ovvero seguendo la procedura riportata di seguito:

Nel corso della spiegazione faremo riferimento all'installazione del pacchetto \\<Nome_Server_SEP_Manager>\SEP_Deploy\Win32\<Versione_SEP>\Server\Automatica_No_Riavvio\Setup.exe che si riferisce all'installazione di un server, in modalità automatica, senza che venga eseguito il riavvio della macchina in automatico. La spiegazione che riportiamo si riferisce ad un Terminal Server su Windows 2003 R2.

Qualora si debba svolgere l'installazione del SEP Client su di un Terminal Server su Windows 2000, prima di avviare l'installazione del SEP Client, bisogna eseguire dalla Command Prompt il comando change user /install al termine della procedura d'installazione del SEP Client, bisogna invece eseguire il comando change user /execute Per maggiori informazioni, si può consultare la Knowledge Base della Microsoft KB320185.

Per evitare un utilizzo eccessivo delle risorse hardware dei Terminal Server da parte del SEP Client, conviene modificare il registro di Windows nel seguente modo:

Qualora sul Terminal Server fosse stato installato il servizio UPHClean, risulta conveniente, per evitare inutili segnalazioni dal parte della Tamper Protection del SEP Client, introdurre la seguente eccezione all'interno della sezione Tamper Protection Exception dell'esclusione centralizzata HW Server Centralized Exceptions:

Per maggiori informazioni sul programma UPHClean si può consultare il blog della Microsoft ad esso dedicato: UPHClean and other profile ramblings. Il programma UPHClean può venire scaricato direttamente dal sito della Microsoft. Si osservi che recentemente la Microsoft ha provveduto a ritirare il programma UPHClean.

Per maggiori informazioni si può consultare l'articolo della Symantec SEP Client on Terminal Servers.

Installazione del SEP Client in un Microsoft Cluster

Il SEP Client si può installare senza problemi su un sistema Microsoft Cluster (High Availability/Failover Clustering). Trattandosi di un Microsoft Cluster, è probabile che le risorse ospitate dal Microsoft Cluster si trovino distrubite su uno o più nodi del clutser. L'installazione del SEP Client va fatta un nodo per volta e sul nodo in cui si vuole installare il SEP Client, non ci devono essere risorse attive. I passi da seguire per installare il SEP Client sono:

Prima di procedere con l'installazione del SEP Client su un server che fa parte di un Microsoft Cluster, conviene modificare la politica HW Server Centralized Exceptions di modo che vengano escluse la cartella %Windir%\Cluster, la cartella in cui si trova il File Share Witness, qualora sul Microsoft Cluster sia installato Microsoft Exchange 2007 e il Quorum Disk del sistema cluster.

  1. spostare tutte le risorse attive su un nodo diverso da quello in cui si vuole installare il SEP Client. Per comodità, chiameremo il nodo privo di risorse attive del Microsoft Cluster col nome di Nodo Passivo (più in generale, indicheremo col nome Nodo Passivo anche il server del cluster su cui si è appena installato il SEP Client);
  2. disabilitare il processo di Fail Back Automatico sulle risorse del cluster che hanno come nodo principale il Nodo Passivo (immagine);
  3. procedere con l'installazione del SEP Client sul Nodo Passivo;

    Il SEP Client va installato in una risorsa locale del Nodo Passivo, ovvero non condivisa all'interno delle risorse messe in cluster. Ad esempio, all'interno dello stesso disco in cui si trova la cartella d'installazione di Windows (%Windir%). Se l'installazione del SEP Client viene fatta in modalità Push, bisogna far puntare il pacchetto d'installazione al nome FQDN o all'indirizzo IP del Nodo Passivo e non al nome FQDN o all'indirizzo IP delle risorse clusterizzate.

  4. escludere dai processi di scansione del modulo Auto-Protect del SEP Client installato sul Nodo Passivo la cartella %Windir%\Cluster;
  5. escludere dai processi di scansione del modulo Auto-Protect del SEP Client installato sul Nodo Passivo il Quorum Disk;
  6. se sul Microsoft Cluster è installato Microsoft Exchange 2007 in modalità cluster, escludere dai processi di scansione del modulo Auto-Protect del SEP Client installato sul Nodo Passivo la cartella che contiene il File Share Witness (tipicamente questa cartella si trova sul server che ricopre il ruolo di Hub Transport Server);
  7. riavviare il Nodo Passivo qualora la procedura d'installazione del SEP Client non lo abbia già fatto;
  8. spostare le risorse attive del cluster che hanno il Nodo Passivo come nodo principale;
  9. riattivare, qualora la configurazione del Microsoft Cluster lo prevedeva, il Fail Backup Automatico delle risorse del cluster cha hanno il Nodo Passivo come nodo principale;
  10. ripetere tutti i punti precedenti per tutti i nodi del cluster.

Per maggiori informazioni sull'installazione del SEP Client sui server che compongono un Microsoft Cluster, si possono consultare le seguenti Knowledge Base della Symantec: Installing SEP Client to MS Cluster Server e Preventing SEP Scanning Microsoft Exchange Cluster.

Installazione del SEP Client in un server con MS Exchange 2003/2007

Il SEP Client, a partire dalla versione MR3, risulta perfettamente compatibile coi programmi Microsoft Exchange 2003 e Microsoft Exchange 2007. In particolare, il SEP Client è da considerarsi un programma antivirus Exchange-Compatibile, ovvero in grado di riconoscere la presenza del programma MIcrosoft Exchange e di escludere, in automatico, i file e le cartelle fondamentali per il corretto funzionamento del programma MIcrosoft Exchange.

La Microsoft ha messo a disposizione un documento, File-Level Antivirus Scanning on Exchange 2007 in cui vegono riportate le cartelle ed i file da escludere dalla scansioni in real-time dei programmi antivirus. Il SEP Client è in grado di procedere, in modo automatico, alla configurazione di queste esclusioni, sia per il programma Microsoft Exchange 2003, sia per il programma Microsoft Exchange 2007. Per accertarsi che al termine dell'installazione del SEP Client, le escluisoni riportate nel documento File-Level Antivirus Scanning on Exchange 2007 siano operative, basta controllare il registro del server che ospita il programma Microsoft Exchange:

Si ricordi che sui sistemi server, va installato il SEP Client contenente solamente il pacchetto SEP Server Standard.

Per un server a 32bits in cui è installato Microsoft Exchange 2003, le chiavi di registro citate dovrebbero avere contenuti simili ai seguenti: Per un server a 64bits in cui è installato Microsoft Exchange 2007, le chiavi di registro citate dovrebbero avere contenuti simili ai seguenti:

Verifiche post-installazione del SEP Client

Una volta terminata l'installazione del SEP Client, è bene svolgere qualche piccola verifica per accertarsi che l'installazione sia andata a buon fine:

Se le condizioni riportate di sopra sono tutte soddisfatte, ed i controlli richeisti sono andati bene, vuol dire che l'installazione del SEP Client è andata eseguita in modo corretto.

Come disinstallare il SEP Client

La rimozione del SEP Client, può essere fatta in diversi modi, a seconda della strategia di rimozione che si vuole utilizzare. Indicativamente il metodo migliore e più semplice, è quello di utilizzare lo snap-in Add or Remove Programs di Windows 2000/2003/XP:

Si osservi che il programma LiveUpdate può venire rimosso solamente se sulla postazione non ci sono altri programmi della Symantec che lo utilizzano.

In alternativa alla procedura appena indicata, si può utilizzare un comando da eseguire con la Command Prompt. Per conoscere questo comando bisogna aprire l'editor del registro di Windows (regedit.exe) e prendere nota del comando riportato nella chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\<Product_Key>\UninstallString Un possibile esempio di questo comando potrebbe essere:

MsiExec.exe /I{C1B0BDC8-0624-4036-90D1-F7DF0EE8C96D}

Una volta individuato il comando presente nella chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\<Product_Key>\UninstallString, per rimuovere il SEP Client basta eseguire il seguente comando:

MsiExec.exe /X<Product_Key> /passive /promptrestart /log %SystemDrive%\Logs\SEP_Client_Uninstall.log

Ad esempio:

MsiExec.exe /X{C1B0BDC8-0624-4036-90D1-F7DF0EE8C96D} /passive /promptrestart /log %SystemDrive%\Logs\SEP_Client_Uninstall.log

Si osservi che se è impostata una password per rimuovere il SEP Client, durante il processo di disinstallazione del SEP Client verrà richiesta questa password, anche se si utilizza il comando riportato in precedenza. Pertanto, se si vuole automatizzare la procedura di disinstallazione, si deve configurare il SEP Manager di modo che non venga richiesta una password durante il processo di disinstallazione (immagine).

Per maggiori informazioni sull'utilizzo della riga di comando per disinstallare il SEP Client, si può consultare la Knowledge Base: How to Uninstall SEP Client Silently Using Command Line.

Qualora la rimozione tramite lo strumento Add or Remove Programs o con la riga di comando non fosse possibile, esistono altri due metodi che si possono utilizzare per rimuovere il SEP Client:

Manutenzione del SEP Manager

In questa sezione vengono riportate quelle che sono le operazioni più comuni nella manutenzione del SEP Manager. Le operazioni indicate, vanno svolte, di solito, occasionalmente, in generale, ogni qual volta se ne presenta la necessità.

Come togliere lo stato "Still Infected" dal SEP Manager

Se per qualche motivo, uno o più SEP Client, riportano al SEP Manager che non sono riusciti a rimuovere uno o più virus (Left Alone), allora sulla Home Page del SEP Manager, compare, all'interno della sezione Action Summary by Detection Count, sotto la colanna Virus, un numero riportante le postazioni che risultano ancora infette (Still Infected) (immagine). Per rimuovere lo stato di Still Infected da queste postazioni bisogna svolgere le seguenti operazioni:

Per sapere se il virus è stato effettivamente rimosso, procedere come indicato: Una volta certi che le postazioni riportata nella riga Still Infected della Home Page del SEP Manager non risultano più compromesse da virus, per rimuovere lo stato Still Infected procedere come segue:

Come disabilitare le scansioni del SEP Client al Logon e quando vengono aggiornate le definizioni

Una delle piaghe dei sistemi antivirus della famiglia Symantec AntiVirus (SAV), era il fatto che ad ogni aggiornamento delle definizioni antivirus, il programma SAV partiva con una scansione locale. Sebbene questa scansione non fosse troppo approfondita, era comunque un vero fastidio! Grazie al SEP Client, questo problema può venire rimosso! Per accertarsi che il SEP Client non esegua alcuna scansione quando vengono o aggiornate le definizioni antivirus o al Logon di un utente, bisogna procedere come segue:

Come pianificare una scansione antivirus nel SEP Client

Le scansioni pianificate sono sempre un cruccio per gli amministratori di sistema. Di norma non si hanno vantaggi a svolgere scansioni pianificate sulle postazioni di lavoro. Nella maggior parte dei casi le scansioni pianificate sulle postazioni di lavoro, ovvero le postazioni su cui operano i dipendenti aziendali, sono più causa di disagi che altro. I virus e più in generale i malware sono processi nati per essere eseguiti, non per stare a riposare sul file system dei sistemi operativi. Per questo motivo, è assolutamente bene che il controllo File System Auto-Protect (ovvero il controllo in tempo reale da parte del SEP Client dei processi in esecuzione e dei file che vengono aperti e scritti sul File System ) sia sempre in esecuzione.

Viceversa, sui File Server, ovvero su quei server in cui vengono archiviati i file aziendali, può avere senso svolgere con regolarità una scansione pianificata. Questo tipo di scansioni di norma richiedono molto tempo e possono arrivare a consumare, dipende dalle impostazioni adottate, la maggior parte delle risorse hardware del server. Per questi motivi, è bene che queste scansioni pianificate vengano programmate tenendo conto delle seguenti osservazioni:

Viste le osserviazioni appena esposte, è conveniente svolgere le scansioni antivirus nel fine settimana e possibilmente dopo che il salvataggio dei dati aziendali si è concluso.

Dal momento che si tratta di processi pianificati che vanno svolti solamente sui server che svolgono la mansione di File Server, non risulta possibile gestire centralmente questi processi, ma vanno pianificati server per server. Bisogna quindi predisporre ciascun SEP Client dei File Server a svolgere nell'orario più consono queste scansioni antivirus pianificate. Per pianificare queste scansioni antivirus si può procedere come indicato di seguito:

Accertarsi che la scansione appena pianificata venga effettivamente eseguita e controllare che la sua durata rientri nei limiti operativi descritti in precedenza.

Come conoscere quali sono le definizioni scariate dal SEP Manager

Per conoscere quali sono le definizioni scaricate di recente dal SEP Manager si può procedere come segue:

Analisi dei problemi noti e loro gestione

Ogni tanto, durante la fase d'installazione del SEP Client si possono presentare dei problemi d'installazione. La maggior parte di questi problemi sono riconducibili al programma Windows Installer che per qualche motivo, non è riuscito a svolgere fino in fondo l'installazione del SEP Client.

Outlook segnala che all'avvio non riesce a caricare una DLL legata ai prodotti Symantec

Quando si esegue un aggiornamento dal SAV Client al SEP Client e il programma Microsoft Outlook risulta in esecuzione, può succedere (e di norma succede) che non tutte le DLL legate al SAV Client vengano deregistrate dal programma Microsoft Outlook. Il problema si pone, ogni qual volta, nel SAV Client risultavano presenti i componenti per la gestione di Microsoft Outlook (se tali componenti non erano presenti, il problema in questione non si dovrebbe porre).

Soluzione: per risolvere il problema, basta rinominare il file extend.dat associato al programma Microsoft Outlook che presenta il problema. Di solito il file extend.dat si trova nella cartella %USERPROFILE%\Impostazioni locali\Dati applicazioni\Microsoft\Outlook\extend.dat:

L'installazione del SEP Client non va a buon fine e viene continuamente riavviata la procedura d'installazione

Talvolta, durante il processo d'installazione del SEP Client, si può presentare un problema piuttosto spinoso, ovvero l'installazione del SEP Client non va a buon fine ed il programma Windows Installer (il processo di Windows che si occupa dell'installazione del SEP Client), tenta di continuo d'installare il SEP Client, senza mai riuscirci.

Soluzione: Per cercare d'interrompere questi tentativi, inutili, d'installazione del SEP Client, bisogna modificare la chiave di registro legata alla rimozione del SEP Client, pertanto:

Una volta svolto questo intervento, si dovrà indagare meglio il problema che ha portato a questo comportamento anomalo. Si tenga presente, che in questi casi, l'unica soluzione potrebbe essere quella di reinstallare il sistema operativo della postazione di lavoro che ha presentato il problema.

Come analizzare i problemi legati al LiveUpdate

Talvolta su una o più postazioni di lavoro, si possono verificare dei problemi di aggiornamento delle definizioni da parte dei SEP Client installati su queste postazioni. In questi casi bisogna verificare se l'impostazione del LiveUpdate è corretta. Il LiveUpdate è il programma che si preoccupa, in linea di massima, di tenere aggiornati i vari prodotti della Symantec, compreso il Symantec Endpoint Protection.

Per farsi un idea di quello che potrebbe essere la causa dell'erroneo funzionamento del LiveUpdate, basta consultare il file di log del LiveUpdate, ovvero il file %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Log.LiveUpdate, se il server è in lingua Inglese, %SystemDrive%\Documents and Settings\All Users\Dati applicazioni\Symantec\LiveUpdate\Log.LiveUpdate se il server è in lingua Italiana (per aprire il file è sufficiente un qualunque editor di testo come WordPad.exe).

Per poter accedere al file %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Log.LiveUpdate bisogna che il file Log.LiveUpdate non sia in uso, ovvero che il servizio LiveUpdate non sia in esecuzione. In una installazione predefinita del SEP Client, il servizio LiveUpdate è impostato per avviarsi in modo manuale (Manual).

Verificare che nel file di log %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Log.LiveUpdate compaia quanto segue:

Una volta analizzato il file di log del programma LiveUpdate, conviene verificare che la sorgente di aggiornamento del LiveUpdate sia quella corretta. Per svolgere questa verifica bisogna controllare il valore della chiave di registro HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\LiveUpdate come indicato nel paragrafo Verifiche post-installazione del SEP Client.

Se osservando il registro degli eventi di Windows, ovvero l'Event Viewer, nella sezione Application, compaiono messaggi del tipo LU1825 (LiveUpdate non ha compreso come installare questo aggiornamento), può darsi che la versione installata del LiveUpdate tenti di scaricare le definizioni di un programma antivirus diverso da quello che è installato sulla macchina. Questo problema si può presentare se ad esempio l'installazione del SEP Client su una postazione che aveva il programma antivirus Norton installato, non è riuscita a sostituire il programma LiveUpdate presente sulla postazione, col risultato che il programma LiveUpdate anzichè scaricare le definizioni del SEP, continua a scaricare le definizioni del Norton.

Di solito i problemi legati al LiveUpdate si risolvono facilmente procedendo con la reinstallazione del programma LiveUpdate, come indicato di seguito (per maggiori informazioni si può consultare la Knowledge Base della Symantec How to Uninstall and Reinstall LiveUpdate When a Symantec Endpoint Protection Manager or Symantec Endpoint Protection Client is Installed):

Nel corso della spiegazione faremo riferimento al programma LUSetup.exe relativo al SEP Manager che per semplicità di spiegazione, supporemo che si trovi nel percorso UNC \\Nome_Server_SEP_Manager\_\Antivirus\Symantec\Ver_11.0.4_MR4_MP2\SEPM\LUSetup.exe La spiegazione che riportiamo, si applica a tutte le postazioni che hanno il SEP Client installato, tranne che a quelle in cui risulta pure installato il SEP Manager. Per sapere come rimuovere e poi reinstallare il LiveUpdate dal server su cui è installato il SEP Manager si può consultare la Knowledge Base della Symantec How to Uninstall and Reinstall LiveUpdate When a Symantec Endpoint Protection Manager or Symantec Endpoint Protection Client is Installed.

SEP Manager e l'errore "LiveUpdate encountered one or more errors. Return code = 4"

Uno dei principali problemi che si possono riscontrare col LiveUpdate del SEP Manager, è l'impossibilità di scaricare gli aggironamenti che quotidianamente la Symantec rilascia. Di solito, questo problema è riconducibile o ad un erronea configurazione del Proxy Server utilizzato dal LiveUpdate per scaricare gli aggiornamenti, oppure ad un'erronea configurazione del Firewall aziendale che non consente al server su cui opera il SEP Manager di contattare i server della Symantec da cui scaricare gli aggiornamenti.

Come descritto nel paragrafo Come analizzare i problemi legati al LiveUpdate, per poter comprendere i problemi legati al mancato aggironamento delle definizioni antivirus, bisogna consultare il file di log %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Log.LiveUpdate.

Per poter accedere al file %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Log.LiveUpdate bisogna che il file Log.LiveUpdate non sia in uso, ovvero che il servizio LiveUpdate non sia in esecuzione. In una installazione predefinita del SEP Client, il servizio LiveUpdate è impostato per avviarsi in modo manuale (Manual).

Se consultando il file %SystemDrive%\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Log.LiveUpdate, dovesse comparire il messaggio:

Error: LiveUpdate encountered one or more errors. Return code = 4

Vuol dire che molto probabilmente il problema del mancato aggiornamento delle definizioni della Symantec è da ricondurre ad un problema di comunicazione fra il SEP Manager ed i server della Symantec: liveupdate.symantecliveupdate.com.

Il LiveUpdate utilizza sia il protocollo HTTP, sia il protocollo FTP per accedere al pool di server liveupdate.symantecliveupdate.com:

Progress Update: TRYING_HOST: HostName: "liveupdate.symantecliveupdate.com" URL: "http://liveupdate.symantecliveupdate.com" HostNumber: 0

e

Progress Update: TRYING_HOST: HostName: "liveupdate.symantecliveupdate.com" URL: "ftp://liveupdate.symantecliveupdate.com" HostNumber: 0

Per maggiori informazioni sull'errore LiveUpdate encountered one or more errors. Return code = 4 si può consultare la Knowledge Base della Symantec "Error: LiveUpdate encountered one or more errors. Return code = 4" in LiveUpdate status in Symantec Endpoint Protection Manager. In particolare, per comprendere meglio la natura del problema, si può procedere come segue:

Se sia la configurazione del Proxy Server del LiveUpdate, sia la configurazione del Firewall aziendale sono corrette, non resta che provare a ri-registrare il SEP Manager sul portale della Symantec (per maggiori informazioni si può consultare la Knowledge Base della Symantec How to Uninstall and Reinstall LiveUpdate When a Symantec Endpoint Protection Manager or Symantec Endpoint Protection Client is Installed):

Come gestire l'errore "Unable to Communicate with the Reporting Component" del SEP Manager

La segnalazione d'errore Unable to Communicate with the Reporting Component che si può presentare subito dopo l'accesso al SEP Manager è uno dei problemi più spinosi da gestire, in quanto le cause che stanno alla base del problema possono essere molteplici, come evidenziato nella Knowledge Base della Symantec Unable to communicate with the reporting component. Il problema riportato dal messaggio d'errore Unable to Communicate with the Reporting Component è legato alla parte PHP del SEP Manager, ovvero alle sezioni: Home, Monitors e Reports. L'area PHP del SEP Manager ed in particolare la sezione Reporting si trovano all'interno delle seguenti cartelle:

Alla cartella <Cartella_Installazione_SEP_Manager>\Inetpub\Reporting resta associata una virtual directory all'interno del sito web del SEP Manager (immagine). L'accesso alla virtual directory Reporting deve avvenire, come per l'intero sito web del SEP Manager (Symantec Web Server) in maniera anonima (immagine).

Se i test effettuati nel paragrafo Verifiche post-installazione del SEP Manager sono andati tutti a buon fine, allora il problema di accesso alla virtual directory è da imputarsi ad un problema di permessi. Una possibile procedura da seguire, per poter risalire alla causa del problema, ovvero al problema di mancato accesso ad una risorsa, potrebbe essere la seguente:

Si tenga infine presente che i problemi di accesso all'area Reporting del sito Symantec Web Server possono essere anche dovuti ad un problema di autenticazione sul database del SEP Manager. Pertanto, se anche dopo aver assegnato i corretti permessi di accesso alle chiavi di registro e alle cartelle all'utente System, il problema della segnalazione Unable to Communicate with the Reporting Component si dovesse ancora presentare, è bene accertarsi che il processo di autenticazione verso il database del vada a buon fine. Una possibile procedura da seguire per svolgere questo controllo, potrebbe essere la seguente:

La spiegazione che riportiamo si riferisce ad un installazione del SEP Manager sul Embedded Database, per MS SQL Server i controlli sono simili ma non identici a quelli riportati.

Alcune possibili cause che possono stare alla base di una mancata connessione verso il database del SEP Manager possono essere: Ad ogni modo, a prescindere da quale sia la causa che sta alla base dell'erronea connessione al database del SEP Manager, si dovrà svolgere un'analisi molto approfondita per comprendere meglio la natura del problema.

Come analizzare i problemi di comunicazione fra i SEP Client ed il SEP Manager

In questa sezione cercheremo di spiegare come analizzare il traffico di rete fra un SEP Client ed il SEP Manager per comprendere quali potrebbero essere gli eventuali problemi di comunicazione che un SEP Client potrebbe avere nei confronti di un SEP Manager.

Parte del contenuto di questa sezione, si basa sull'articolo scritto da Aniket Amdekar, del supporto tecnico della Symantec, dal titolo How to capture SEP-SEPM communication logs with SylinkMonitor for MR3 onwards for troubleshooting communication issues.

Quando si verificano dei problemi di comunicazione fra il SEP Client ed il SEP Manager, conviene svolgere i seguenti passi:

Trattandosi di problemi di comunicazione di rete, un utile strumento di analisi potrebbe essere WireShark, il famoso strumento di analisi del traffico TCP/IP, un utilissima guida per imparare ad utilizzare il programma WireShark, è il video realizzato da Aniket Amdekar dal titolo Capturing network communication packets with Wireshark Utility.

Come gestire l'errore "Error Code 9 Heuristic Scan or Load Failure"

Sebbene ufficialmente risolto con la versione del SEP MR4 MP1a (come riportato nel documento della Symantec dal titolo TruScan has generated an error code 9), il problema della segnalazione TruScan error code 9 Heuristic Scan or Load Failure (immagine) si può presentare ancora sulle postazioni con Windows 2000.

In base all'esperienza maturata dall'autore di questo documento, il problema del TruScan error code 9 Heuristic Scan or Load Failure può venire risolto solamente sulle postazioni che abbiano installato la versione RU5 o superiore del SEP Client.

Per risolvere il problema, bisogna assicurarsi che le seguenti condizioni siano soddisfatte:

Se le condizioni appena riportate sono soddisfatte, allora forse si tratta di un falso positivo, in altri termini, il componente Proactive Threat Protection si aggiorna regolarmente e quindi la segnalazione di mancato aggiornamento delle definizioni antivirus relative al componente Proactive Threat Protection, non è corretta. Per rimuovere questa falsa segnalazione, bisogna andare a modificare manualmente il registro di windows:

Se anche dopo la modifica della chiave di registro HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\AV\Storages\SymHeurProcessProtection\RealTimeScan\Error il problema persiste, ci si dovrà rivolgere al personale di supporto della Symantec.

Come gestire la segnalazione "The wizard was interrupted before Symantec Endpoint Protection could be completely installed"

In alcune circostanze, tipicamente quando l'installazione del SEP Client non viene eseguita utilizzando l'utente Administrator, si può presentare una situazione anomala: l'installazione del SEP Client si avvia per poi fermarsi quasi subito riportando il messaggio The wizard was interrupted before Symantec Endpoint Protection could be completely installed. Questo messaggio, The wizard was interrupted before Symantec Endpoint Protection could be completely installed, è di norma dovuto al fatto che i permessi sulla configurazione DCOM della macchina non sono impostati correttamente. Il problema legato al messaggio The wizard was interrupted before Symantec Endpoint Protection could be completely installed, può presentarsi su tutte le postazioni Windows, 2000, 2003, 2008, XP, Vista e 7.

Per risolvere questo problema si può prcedere come riportato di seguito:

Se la soluzione proposta non dovesse funzionare, ovvero le impostazioni DCOM erano corrette, vuol dire che molto probabilmente la DLL Oleaut32.dll non è registrata (come descritto nella Knowledge Base Unable to install the Symantec Endpoint Protection). Per registrare la libreria Oleaut32.dll basta eseguire il seguente comando (va bene anche dalla Command Prompt):

regsvr32 oleaut32.dll

Come gestire la segnalazione "Symantec Endpoint Protection has detected that there are pending system changes that require a reboot"

Talvolta quando si tenta d'installare il SEP Client su talune postazioni di lavoro, siano esse con Windows 2000, o Windows XP, o con Windows Vista, l'installazione del SEP Client s'interrompe e compare a video il messaggio: Symantec Endpoint Protection has detected that there are pending system changes that require a reboot. Please reboot the system and rerun the installation. Anche se si riavvia la postazione, il processo d'installazione del SEP Client continua ad interrompersi sempre con la stessa segnalazione d'avviso: Symantec Endpoint Protection has detected that there are pending system changes that require a reboot. Please reboot the system and rerun the installation. Per risolvere questo problema, basta procedere come riportato di seguito:

Per maggiori informazioni su questo tipo di problema si può consultare il post How to fix issue with Symantec Endpoint client not installing due to a required reboot.

Come gestire le postazioni infette da virus o malware

Non esiste una vera e propria ricetta per gestire le postazioni infette con virus, worm o malware. Ogni virus, worm o malware ha le sue peculiarità, le sue modalità operative e un suo modo per venire rimosso o disattivato. Ciò non di meno, si possono consigliare delle procedure da seguire e degli strumenti da utilizzare quando ci si trova di fronte ad una postazione infettata da virus, worm o malware.

Di solito la percezione che una postazione di lavoro ha un virus o un malware, si ha quando la postazione, improvvisamente, smette di comportatsi in modo corretto. La presenza di virus o malware può essere in taluni casi esplicita, ovvero il virus o il malware annuncia la sua presenza mostrandosi apertamente, ad esempio aprendo di continuo uno o più determinati programmi, oppure il programma antivirus riporta un messaggio a video in cui segnala la presenza di qualcosa di anomalo. In alcuni casi il malware si può mostrare spacciandosi esso stesso per un sistema antivirus, comunicando, tramite una finestra pop-up a video, la presenza di infezioni fasulle all'interno della postazione di lavoro. Di norma, a corredo di queste segnalazioni, viene sempre fornita la possibilità, previo invio di un pagamento tramite carta di credito, di eliminare le infezioni segnalate. La presenza di worm in una data postazione di lavoro può essere invece più subdola, di solito la presenza di un worm si ha per un improvviso collassamento di alcuni programmi o servizi di rete che all'improvviso smettono di rispondere. Recentemente alcuni virus informatici si sono avvantaggiati della possibilità di agire come rootkit all'interno del sistema operativo.

Negli ultimi anni sono stati creati diversi cavalli di troia (Trojan) ed altri programmi maligni (Malware) in grado di ottenere il controllo di un computer da locale o da remoto in maniera nascosta, ossia non rilevabile dai più comuni strumenti di amministrazione e controllo. I rootkit vengono tipicamente usati per nascondere delle backdoor. Negli ultimi anni, tuttavia, s'è molto diffusa la pratica, tra i creatori di malware, di utilizzare i rootkit per rendere più difficile la rilevazione di particolari Trojan e Spyware, indipendentemente dalla presenza in essi di funzioni di backdoor, proprio grazie alla possibilità di occultarne i processi principali. Grazie all'alto livello di priorità con la quale sono in esecuzione, i rootkit sono molto difficili da rilevare e da rimuovere con i normali software antivirus. I rootkit vengono usati anche per trovare le informazioni personali presenti in un computer e inviarle al mittente del malware ed essere poi utilizzate da esso per scopi personali, come per esempio un keylogger (a livello kernel) che memorizza tutti i tasti premuti direttamente dal driver per il controllo della tastiera. I più comuni rootkit fanno uso di moduli del kernel.

Una possibile ricetta per individuare i virus, i worm o i malware potrebbe essere quella che propongo di seguito:

Le procedure riportate hanno valenza generale, si tenga però presente che non sempre le procedure indicate possono risolvere i problemi causati da un virus, o un worm, o un malware. Può succedere, infatti, che i danni causati alla postazione siano tali che l'unica soluzione praticabile, è quella di reinstallare da zero la postazione di lavoro. Pertanto una buona analisi della propria infrstruttura di rete, del uso dei vari PC aziendali o del grado a cui vogliamo esporre le postazioni di lavoro ad Internet, può evitare futuri e spiacevoli imprevisti.

Come evitare di essere vittime dei Virus

Sebbene nel mondo vengano prodotti di continuo virus e codici maligni, non ci si deve rassegnare all'inevitabile, virus e codici maligni si possono evitare! Basta adottare una buona politica di sicurezza. Per evitare i virus, o comunque ridurre gli effetti che possono causare, basta seguire alcune semplici regole:

Una discussione interessante su come non sempre un programma antivirus sia in grado di proteggere, da solo, una postazione di lavoro è la seguente: Antivirus software and the illusion of protection.

Riferimenti utili

Di seguito riportiamo alcuni riferimenti utili, per reperire informazioni sul SEP e su come contattare la Symantec per aprire eventuali chiamate al supporto tecnico:

Per chiamare o il Servizio Clienti o il Supporto Clienti bisogna essere in possesso di un codice di licenza valido. Per registrarsi sul sito Symantec MySupport bisogna essere in possesso di un ContactID che di solito viene fornito alle società che sono registrate sul sito web Symantec PartnerNet.

Alcuni siti web che possono tornare utili:

Alcuni strumenti che possono tornare utili:

File e cartelle da escludere dai controlli del Auto-Protect

Sulle postazioni client, conviene escludere le seguenti estensioni di file dai controlli del Auto-Protect:

ESTENSIONE FILE DESCRIZIONE
chk File di Aiuto di Windows
dbx File di Outlook Express
dcp  
dcu Delphi Compiled Unit
dfm File degli strumenti di gestione della Cisco
dit File di Active Directory (Directory Information Tree)
edb Empress Embedded Database
eml File di testo delle email di Thunderbird
fdb Font Definition Block
gdb File generati dal GNU Debugger
jdb File dei database di Java
lck File dei lock dei database di MS SQL Server
ldb File dei transaction log dei database di MS SQL Server
ldf File di testo di Active Directory (LDIF)
lnk File di collegamento ad una applicazione di Windows
log File di testo
mdb File dei database di Access
mdf File dei transaction log dei database di Access
nsf File d'archiviazione della posta elettronica di IBM Lotus Notes
ntf File temporanei del programma IBM Lotus Notes
pas  
pat  
pipp  
pst File di archivio delle Mailbox di Outlook
tmp File temporaneo
txt File di testo
vmdk File di VMWare
vmem File di VMWare
vmsd File di VMWare
vmx File di VMWare
iso File d'archivio per supporti ottici (ISO 9660 File System)
Sia sulle postazioni server, sia sulle postazioni client, andrebbe escluso il seguente file dai controlli in Auto-Protect: Sulle postazioni server che ricoprono il ruolo di Domain Controller andrebbero tolte dai controlli del Auto-Protect le seguenti cartelle e file: Sui server che svolgono la mansione di DNS, va esclusa dai controlli del Auto-Protect la seguente cartella: Sui server che svolgono la mansione di DHCP, va esclusa dai controlli del Auto-Protect la seguente cartella: Sui server che svolgono la mansione di WINS, va esclusa dai controlli del Auto-Protect la seguente cartella: Sui server in cui è stato installato il servizio WSUS, va esclusa la cartella in cui è stato installato il programma WSUS, di solito la cartella %SystemDrive%\WSUS.

Se si è attivato il servizio DFS, bisogna escludere la cartella in cui sono state archiviate le cartelle radici del DFS, di solito %SystemDrive%\DFSRoot.

Più in generale vanno escluse dal Auto-Protect tutte le cartelle che contengono dei database o i transaction log dei database.

© 2011 Home Works - all rights reserved
Questo sito ha superato il test W3C Validator HTML e CSS
Si ringrazia il sito http://css.flepstudio.org