Serveur d'impression

Meilleures pratiques pour Endpoint Protection sur les serveurs Windows – Serveur d’impression

Le 1 novembre 2019 - 6 minutes de lecture


Serveurs Windows et Symantec Endpoint Protection Manager (SEPM)

Bien que SEPM puisse être installé sur tout système d'exploitation Windows répondant à la configuration système requise, il est déconseillé de l'installer sur un serveur doté d'un rôle critique, tel qu'un contrôleur de domaine ou un serveur Exchange. SEPM fournit uniquement des fonctions de gestion, et non de protection du système, et les serveurs dotés de rôles critiques auront probablement besoin autant que possible des ressources disponibles de l'ordinateur.

La meilleure pratique consiste pour SEPM à résider sur un système d'exploitation serveur à haute disponibilité qui ne joue pas un rôle critique. Cette pratique permet à SEPM de fonctionner à son efficacité maximale sans utiliser d’espace disque, RAM, CPU et bande passante réseau qui pourraient être utilisés plus efficacement par des serveurs critiques.

Serveurs Windows et le client Symantec Endpoint Protection

Le client SEP doit être installé sur tous les ordinateurs du réseau, y compris les serveurs. Sur les serveurs, le SEP doit être placé dans les groupes de clients appropriés afin que des stratégies de gestion spécifiques et les exceptions associées puissent être appliquées. Selon le rôle du serveur, la création et l'application des stratégies appropriées sont essentielles pour la performance du système dans les domaines de l'utilisation des E / S du disque et du processeur.

Exclusions d'analyse planifiées et en temps réel

Certains rôles de serveur Windows exigent que des dossiers et des processus spécifiques soient exclus des analyses en temps réel et planifiées d'AntiVirus, de la surveillance de la protection contre la falsification et d'autres composants de la surveillance heuristique.

Dans SEP, ces exclusions sont définies dans la stratégie Exceptions centralisées du SEPM ou directement via l'interface utilisateur sur un client SEP non géré. Les administrateurs peuvent exclure des processus, des extensions de fichier et des dossiers spécifiques du composant AntiVirus Auto-Protect, de la protection anti-sabotage et de TruScan, de la protection proactive contre les menaces et de SONAR.

Dans la plupart des cas, il n'est pas recommandé de créer des exclusions de dossiers. Tout programme malveillant dans un dossier comportant une exclusion de dossier est effectivement masqué de SEP. La définition d'exclusions de dossiers n'est considérée comme une pratique recommandée que si le produit détaille explicitement une exclusion requise des produits antivirus.

Certains rôles de serveur, tels que les contrôleurs de domaine Active Directory, les serveurs Microsoft Exchange et les serveurs Microsoft SQL, ont des exigences très spécifiques en matière d'analyse antivirus et de configuration du pare-feu. Certaines de ces exigences sont directement intégrées à SEP; les exclusions automatiques des banques de boîtes aux lettres Exchange en sont un exemple. Même si ces exclusions sont créées automatiquement, il est important de confirmer l'existence des exclusions requises, car les paramètres importés des mises à niveau précédentes ou d'autres modifications de configuration peuvent remplacer ces exclusions automatiques.

Règles de pare-feu et signatures IPS

Les systèmes d'exploitation Windows Server sont généralement installés pour pouvoir utiliser un ou plusieurs rôles intégrés, tels que DNS, Active Directory ou IIS. Chacun de ces rôles a ses propres exigences en matière de communication réseau. Lorsque le client SEP est installé, ces exigences doivent être prises en compte dans une politique de pare-feu de client SEP autorisant ou limitant la communication, selon le cas. Reportez-vous à la documentation du produit ou du fabricant pour identifier les exigences de communication réseau pour ce produit. Pour plus d'informations sur la configuration du pare-feu SEP, reportez-vous au Guide d'installation et d'administration.

Le système de protection contre les intrusions (IPS) aide à bloquer les attaques et les menaces basées sur le trafic réseau. Dans la plupart des cas, il est recommandé d'utiliser IPS pour prévenir les attaques non basées sur des fichiers contre des serveurs. L'exception à cette règle est que, dans certains cas, IPS peut interférer avec le fonctionnement de serveurs à charge élevée ou à débit élevé. Symantec définit une charge élevée ou un débit élevé comme répondant à un ou à tous les critères suivants:

  • Utilisation moyenne du processeur de 35% ou plus
  • Débit TCP / UDP moyen de 300 Mbps ou plus
  • Utilisation de la technologie de regroupement de cartes réseau

Si un serveur répond à un ou plusieurs de ces critères, Symantec recommande de tester le client SEP sur un serveur dans un environnement de laboratoire capable de simuler les pics de production sur le système afin d'évaluer les performances avant de décider s'il est possible d'utiliser des fonctionnalités dépendant d'IPS. sur le serveur. Le composant IPS a été conçu, mis en œuvre et testé pour des vitesses de réseau allant jusqu'à 1 Gb / s. Au-delà de cette vitesse, les réseaux devraient avoir un impact sur les performances. Dans un exemple de ce type de test réel, un débit de 1,8 Gb / s a ​​été atteint lors de tests ad-hoc sur une connexion réseau à 10 Gb / s.

Sur les serveurs qui ne répondent pas à ces critères, Symantec recommande d’utiliser IPS. Bien que les fonctionnalités de sécurité telles que pare-feu et IPS aient toujours un impact négatif sur les performances, la charge supplémentaire imposée à un serveur par la protection contre les menaces réseau et les composants IPS du dernier client SEP ne doit pas entraîner de baisse significative de la vitesse ou de la réactivité sur un serveur disposant de ressources suffisantes. Les pilotes IPS utilisent au maximum 100 Mo de mémoire en pool de non-pages.

Les fonctionnalités dépendantes d'IPS incluent la protection de téléchargement avancée, SONAR et l'IPS lui-même.

Certains rôles de serveur, tels que les contrôleurs de domaine Active Directory, les serveurs Microsoft Exchange et les serveurs Microsoft SQL, ont des exigences très spécifiques pour la configuration du pare-feu. Certaines de ces exigences sont directement intégrées à SEP. Même si ces règles sont configurées automatiquement, il est important de confirmer que les règles requises sont en place, car les paramètres importés des mises à niveau précédentes ou d'autres modifications de configuration peuvent remplacer ces paramètres.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.