Servidores Windows e o Symantec Endpoint Protection Manager (SEPM)
Embora o Symantec Endpoint Protection Manager (SEPM) possa ser instalado em qualquer sistema operacional Windows que cumpra com os requisitos do sistema, instalar o SEPM em um servidor com uma função crítica, tal como a de controlador de domínio ou servidor Exchange não é recomendável. O SEPM oferece somente funções de gerenciamento, não de proteção ao sistema e os servidores com uma função crítica tendem a precisar do máximo de recursos dos computadores disponíveis. A melhor prática é que o SEPM resida em um sistema operacional do servidor com alta disponibilidade que não tenha uma função crítica. Essa prática permite espaço em disco, RAM, CPU e largura de banda que poderia ser usada de forma mais eficiente pelos servidores críticos.
Servidores Windows e o cliente Symantec Endpoint Protection (SEP)
O cliente Symantec Endpoint Protection (SEP) deve ser instalado em todos os computadores da rede, inclusive nos servidores. Nos servidores, o SEP deve ser colocado em grupos apropriados de clientes para que políticas de gerenciamento específicas e exceções associadas possam ser aplicadas. Dependendo da função do servidor, a criação e aplicação das políticas corretas são críticas para o desempenho do sistema em áreas de consumo de CPU e disco I/O.
Exclusões de verificação agendada e em tempo real
Alguns servidores Windows exigem que pastas e processos específicos sejam excluídos das verificações agendadas e em tempo real, do monitoramento do Tamper Protection e de outros componentes de monitoramento heurístico.
No SEP, essas exclusões são configuradas através da política Centralized Exceptions do SEPM, ou diretamente através da interface com o usuário em um cliente SEP não gerenciado. Os administradores podem excluir processos, extensões de arquivos e pastas específicas do componente AntiVirus Auto-Protect, Tamper Protection e TruScan, Proactive Threat Protection ou SONAR.
Na maioria dos casos, criar exclusões de pastas não é uma melhor prática. Qualquer malware em uma pasta que tenha uma exclusão de pasta se oculta, efetivamente, do SEP. O estabelecimento de exclusões de pasta somente é considerado uma melhor prática se o produto especifica explicitamente uma exclusão exigida de produtos de antivírus.
Determinados papéis de servidores, tais como Active Directory Domain Controllers, servidores Microsoft Exchange e servidores Microsoft SQL, têm exigências muito específicas para a verificação de antivírus e a configuração de firewall. Algumas dessas exigências foram incorporadas diretamente ao SEP. Um exemplo são as exclusões automáticas de repositórios de caixas postais do Exchange. Embora essas exclusões tenham sido criadas automaticamente, é importante confirmar se as exclusões exigidas existem, já que os parâmetros importados de atualizações anteriores ou outras alterações nas configurações podem anular essas exclusões automáticas.
Regras de firewall e assinaturas IPS
Os sistemas operacionais de servidores Windows são tipicamente instalados em ordem para utilizarem uma ou mais funções incorporadas, tais como DNS, Active Directory ou IIS. Cada uma dessas funções tem suas próprias exigências para a comunicação na rede. Quando o cliente SEP é instalado, essas exigências devem ser levadas em consideração em uma política de firewall do cliente SEP que permita ou restrinja a comunicação, como seja apropriado. Refira-se à documentação do produto ou do fabricante para identificar as exigências relacionadas à comunicação da rede para esse produto. Para mais informações sobre a configuração do firewall do SEP, refira-se ao Guia de instalação e administração.
O Intrusion Protection System (IPS) auxilia no bloqueio de ataques e ameaças baseados no tráfico de rede. Na maioria dos casos, é recomendável usar o IPS para evitar ataques a servidores que não sejam baseados em arquivo. A exceção a essa regra é que, em alguns casos, o IPS pode interferir com a operação de servidores de alta carga ou de taxa alta de throughput. A Symantec define alta carga ou alta taxa de throughput como um ou todos os critérios a seguir:
- Utilização média da CPU de 35% ou acima
- Throughput médio de TCP/UDP de 300 Mbps ou superior
- Uso da tecnologia de agrupamento NIC
Se um servidor atender a um ou mais desses critérios, a Symantec recomenda testar o cliente SEP em um servidor em um laboratório que possa simular demandas pico de produção no sistema a fim de medir o desempenho antes de decidir se é possível usar recursos que dependam do IPS no servidor. Os recursos que dependem do IPS incluem Advanced Download Protection, SONAR e o próprio IPS. Para mais informações sobre como usar o IPS em servidores de carga alta ou de alta taxa de throughput, refira-se ao link Melhores práticas para o componente Intrusion Prevention System do Symantec Endpoint Protection em servidores de alta disponibilidade/largura de banda alta.
Em servidores que não atendam a esses critérios, a Symantec recomenda usar o IPS. Embora os recursos de segurança tais como firewall e IPS sempre resultem em algum impacto no desempenho, a carga adicional em um servidor, exercida pelos componentes Network Threat Protection e IPS mais recentes do cliente SEP, não deveria causar um declínio significativo na velocidade ou resposta em um servidor bem equipado com recursos. Os drivers do IPS usam um máximo de 100 MB do pool de memória não paginável.
Observe que no SEP 11.x, o firewall e o IPS devem ser instalados juntos, embora no 12.1.x, o firewall e o IPS possam ser instalados separadamente. Para usar o Advanced Download Protection ou SONAR, você deve instalar o IPS.
Certas funções do servidor, tais como Controladores de domínio do Active Directory, servidores Microsoft Exchange e servidores Microsoft SQL, têm exigências muito específicas para a configuração do firewall. Algumas dessas exigências estão, diretamente, incorporadas ao SEP. Mesmo que essas regras estejam configuradas automaticamente, é importante confirmar que as regras exigidas estejam habilitadas já que tanto os parâmetros importados de upgrades anteriores como as outras alterações na configuração podem anular esses parâmetros.
Obrigado pelo seu feedback. Conte se você tem comentários adicionais abaixo. (é necessário fazer o login)