在 Symantec Endpoint Protection (SEP) 12.1.4 (12.1 RU4) 及更高版本中,至少有两个选项可用于将 LiveUpdate (LU) 内容下载到适用于 Mac 和 Linux 的 Symantec Endpoint Protection 客户端。

注意:已在 Symantec Endpoint Protection 12.1.5 中添加了 Linux 客户端支持,并且从该版本开始才可用。

  1. 使用 Symantec LiveUpdate Administrator 2.x (LUA 2.x)。对于 Mac 和/或 Linux 计算机数量较多的安装,这是最佳选项。
  2. 对于小型安装,可以将 Apache Web 服务器配置为反向代理。这样,当发布新 LU 内容时,随 Symantec Endpoint Protection Manager (SEPM) 一起安装的 Apache Web 服务器可以在本地为 Mac 和 Linux 客户端下载和缓存该内容。此配置可节省外部网络带宽。

下面的说明用于在 Symantec Endpoint Protection Manager 中设置 Apache Web 服务器,以允许适用于 Mac 和 Linux 的 Symantec Endpoint Protection 客户端通过 webserver 下载 LiveUpdate (LU) 内容。请注意,此解决方案可以使 Symantec Endpoint Protection Manager 充当缓存:它不会如处理 Windows 定义一样,将 Mac 或 Linux 定义处理为 .dax 文件。它不支持适用于 Mac 或 Linux 的 Symantec Endpoint Protection 客户端通过组更新提供程序 (GUP) 进行更新。

注意:只能在 Symantec Endpoint Protection 的 Enterprise 版本上进行这些配置更改。这些说明不适用于 Symantec Endpoint Protection Small Business Edition 12.1 (SEP SBE)。

在 Symantec Endpoint Protection Manager 中配置 Apache Web 服务器

执行下列步骤可将 Apache Web 服务器配置为反向代理:

  1. 停止 semwebsrv (Symantec Endpoint Protection Manager Webserver) 和 semsrv (Symantec Endpoint Protection Manager)。
  2. 在 Symantec Endpoint Protection Manager 安装目录的 Apache 文件夹中创建名为 cache-root 的文件夹,例如
    SEPM_Install\apache\cache-root

    SEPM_Install 的默认路径如下:

    确保运行 Symantec Endpoint Protection Manager Webserver 的帐户对 SEPM_Install\apache\cache-root 具有完全控制。
    • 64 位系统:C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager
    • 32 位系统:C:\Program Files\Symantec\Symantec Endpoint Protection Manager(仅限 12.1.x)
  3. 验证下列文件是否位于文件夹 \apache\modules 中:

    如果不存在这些文件,请将它们从下载的安装文件夹或 DVD 的 \Tools\Apache-ReverseProxy 复制到 SEPM_Install\apache\modules。有关更多详细信息,请参考安全与兼容性部分。

    • mod_cache.so
    • mod_cache_disk.so(12.1.5 及更高版本)
    • mod_disk_cache.so (12.1.4)
    • mod_proxy.so
    • mod_proxy_http.so
    • mod_setenvif.so
  4. 要对原始配置文件进行备份,请导航到 SEPM_Install\apache\conf\,然后将 httpd.conf 复制到 httpd-orig.conf。
  5. 对 http.conf 进行以下更改:
    • 将以下行添加到末尾。将以下文本中的 SEPM_Install 替换为 Symantec Endpoint Protection Manager 安装的实际路径。

      对于 12.1.5 及更高版本:
      注意:红色文本表示已从 12.1.4 随附的 Apache 版本中更改的文件名称。如果之前为 12.1.4 实现了此功能,则只需在 httpd.conf 中更新更改后的文件名称。 
      # SEPM_APACHE_AS_PROXY_START Preserve this line to maintain configuration across SEPM upgrades
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule cache_module modules/mod_cache.so
LoadModule cache_disk_module modules/mod_cache_disk.so
LoadModule setenvif_module modules/mod_setenvif.so
     

       
  
         
         
          mod_cache_disk.c> 
          
            SetEnvIf Request_URI "/luproxy/" dolog SetEnvIf Request_URI "/luproxy/.*_livetri.zip" no-cache CustomLog "|| bin/rotatelogs.exe logs/access-%Z.log 25M" common env=dolog 
           ProxyPass /luproxy/ http://liveupdate.symantecliveupdate.com/ retry=0 smax=0 ttl=60 CacheRoot "cache-root" # CacheRoot is a path defined relative to [SEPM_Install]/apache/ CacheEnable disk /luproxy/ CacheDirLevels 1 CacheDirLength 5 # directives to override any caching prohibitions in LiveUpdate content headers # see TECH230862 CacheStoreNoStore On CacheIgnoreCacheControl On CacheStoreExpired On CacheIgnoreHeaders Cache-Control Pragma #allow downloads up to 1 GB CacheMaxFileSize 1000000000 
          
         

       
# SEPM_APACHE_AS_PROXY_END Preserve this line to maintain configuration across SEPM upgrades
      对于 12.1.4: 
      # SEPM_APACHE_AS_PROXY_START Preserve this line to maintain configuration across SEPM upgrades
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule cache_module modules/mod_cache.so
LoadModule disk_cache_module modules/mod_disk_cache.so
LoadModule setenvif_module modules/mod_setenvif.so


       
  
         
          
          
            SetEnvIf Request_URI "/luproxy/" dolog SetEnvIf Request_URI "/luproxy/.*_livetri.zip" no-cache CustomLog "|| bin/rotatelogs.exe logs/access-%Z.log 25M" common env=dolog 
           ProxyPass /luproxy/ http://liveupdate.symantecliveupdate.com/ retry=0 smax=0 ttl=60 CacheRoot "cache-root" # CacheRoot is a path defined relative to [SEPM_Install]/apache/ CacheEnable disk /luproxy/ CacheDirLevels 1 CacheDirLength 5 # directives to override any caching prohibitions in LiveUpdate content headers # see TECH230862 CacheStoreNoStore On CacheIgnoreCacheControl On CacheStoreExpired On CacheIgnoreHeaders Cache-Control Pragma #allow downloads up to 1 GB CacheMaxFileSize 1000000000 
          
         

       
# SEPM_APACHE_AS_PROXY_END Preserve this line to maintain configuration across SEPM upgrades
    • 查找以下行,然后添加字符 # 将其注释掉,如下所示:
      #AsyncSendFile anydirectory
    • 查找下列行,删除字符 # 将其取消注释,然后进行以下更改,其中 SEPM_Install 是 Symantec Endpoint Protection Manager 安装的实际路径。
      AsyncSendFile givendirectory
      ForceAsyncSendFile "SEPM_Install\Inetpub"
    • 或者,要添加缓存日志记录,请在 httpd.conf 中搜索以下行:
      LogFormat "%h %l %u %t \"%r\" %>s %b" common
      ...并将其替换为:
      LogFormat "%h %l %u %t %{cache-status}e \"%r\" %>s %b" common
  6. 保存并关闭此文件。
  7. 启动 semwebsrv (Symantec Endpoint Protection Manager Webserver) 和 semsrv (Symantec Endpoint Protection Manager)。

要通过下载 LU 文件测试代理服务器是否正在运行,请单击“开始”>“运行”,然后输入 http://localhost:8014/luproxy/masttri.zip。如果 Symantec Endpoint Protection Manager Apache Web 服务器使用的不是 8014 端口,则将 8014 替换为以上 URL 中的实际端口号。

将在位于 SEPM_Install\apache\logs\access-%Z.log 的单独日志文件中记录 Apache Web 服务器的 LU 下载请求。

更新适用于 Mac 和 Linux 客户端的 LiveUpdate 策略以指向新的 LiveUpdate 服务器

执行下列步骤可为所需组更新适用于 Mac 和 Linux 客户端的 LiveUpdate 策略。更新该策略后,这些客户端将指向新配置的 Apache Web 服务器以下载 LU 内容。

  1. 在 Symantec Endpoint Protection Manager 中,单击“策略”> LiveUpdate。在“LiveUpdate 设置”选项卡上,双击适用于所需组的 LiveUpdate 设置策略。
  2. “Mac 设置”>“服务器设置”(或“Linux 设置”>“服务器设置”)下,单击“使用指定的内部 LiveUpdate 服务器”,然后在相应的 URL 中指定名称 SEPM HTTP LU Proxy: http://ServerIP:8014/luproxyhttp://ServerName:8014/luproxy
    其中,ServerIP 或 ServerName 表示托管 Symantec Endpoint Protection Manager 的服务器的 IP 编号或名称。如果 Symantec Endpoint Protection Manager Apache Web 服务器使用的不是 8014 端口,则将 8014 替换为以上 URL 中的实际端口号。
  3. 将 Symantec LiveUpdate 服务器添加为备用机制(这是可选操作,因为这始终为备用选项)。使用 http://liveupdate.symantecliveupdate.com。
  4. 启用“Mac 设置”>“调度”(或“Linux 设置”>“调度”)下的“下载随机化”。如果该选项未灰显,请选中“随机产生开始时间”。这将避免 Apache Web 服务器在一天的某些时间出现过载。

此外,在适用于 Linux 的 Symantec Endpoint Protection 客户端上,编辑 liveupdate.conf 文件并设置 serverlogging=false。请参见相关文章

管理缓存文件大小

要管理缓存文件的大小,请执行以下步骤。

  1. 验证 htcacheclean.exe 文件是否位于以下文件夹中:
    SEPM_Install\apache\bin
  2. 如果该文件并非位于上述位置中,请将 htcacheclean.exe 从 DVD 上的 \Tools\Apache-ReverseProxy 文件夹中复制到 SEPM_Install\apache\bin
  3. 在使用对 cache-root 文件夹具有完全访问权限的帐户登录时,输入以下命令:
    htcacheclean -n -t -d1440 -l1024M -p" SEPM_Install/apache/cache-root"

这将在后台驻留程序模式下运行 htcacheclean 工具。每天将执行一次缓存清理。磁盘上允许的最大缓存大小为 1 GB。

要在每次启动 Windows 时自动启动 htcacheclean 后台驻留程序,请执行以下步骤。

  1. 按住键盘上的 Windows 键,然后按字母 R 以打开“运行”对话框。键入 taskschd.msc,然后单击“确定”
  2. 在任务调度程序的右窗格中,单击“创建基本任务”
  3. 使用描述(如“管理 Apache 缓存大小”)命名新任务,然后单击“下一步”
  4. 要将任务设置为在每次启动 Windows 时运行,请在“任务触发器”窗格中单击“在计算机启动时”,然后单击“下一步”
  5. “操作”对话框中,单击“启动程序”,然后单击“下一步”
  6. 将 htcacheclean 的完整路径输入到 Program/script 中:
    SEPM_Install\apache\bin\htcacheclean.exe
  7. 将以下参数输入到“添加参数 (可选)”中,然后单击“下一步”
    -n -t -d1440 -l1024M -p" SEPM_Install/apache/cache-root"
  8. 要完成调度任务添加操作,请单击“完成”
  9. 在 Windows 任务调度程序库中,右键单击创建的任务,然后单击“属性”
  10. 在“设置”选项卡中,单击以取消选择“如果任务运行时间超过以下时间,停止任务”,然后单击“确定”

由于任务在您重新启动系统之前不会运行,因此您可以立即运行它。在任务调度程序中,右键单击创建的任务,然后单击“运行”

注意:确保运行任务的用户帐户对文件夹 SEPM_Install\apache\cache-root 具有完全控制。

性能与规模

此配置旨在用于少量 Mac 和/或 Linux 客户端。仅当只有少数 Mac 和/或 Linux 客户端,并且连接客户端与 Symantec Endpoint Protection Manager 的网络具有较好的带宽吞吐量时,才应使用此设置。假设每个客户端每天下载约 500KB 的 LU 内容,则 2000 个 Mac 或 Linux 客户端每天将通过 Apache Web 服务器下载约 1 GB 的 LU 内容。对于具有大量客户端的配置,应考虑 Symantec LiveUpdate Administrator 等替代方案。

安全与兼容性

对于本文中提到的 Apache 模块,Symantec 建议仅使用 Symantec 签名的二进制文件。这些签名的二进制文件位于 Symantec Endpoint Protection 下载安装文件中。请注意,所需的二进制文件也会与适用于 12.1.4 及更高版本的 Symantec Endpoint Protection Manager 一同安装。

对于 Symantec Endpoint Protection 14:

  • 下载的完整安装文件 \Tools\Apache-ReverseProxy

对于 Symantec Endpoint Protection 12.1.5 及更高版本:

  • Symantec Endpoint Protection(Enterprise 版本):磁盘 1: \Tools\Apache-ReverseProxy
  • Symantec Network Access Control: \Tools\Apache-ReverseProxy

对于 Symantec Endpoint Protection 12.1.4x:

  • Symantec Endpoint Protection(Enterprise 版本):磁盘 1: \Resource\Apache-ReverseProxy
  • Symantec Network Access Control: \Resource\Apache-ReverseProxy

本文所述配置适用于 Symantec Endpoint Protection 12.1 及更高版本。如果要将该配置用于早于 12.1.4 的 Symantec Endpoint Protection 12.1 版本,则这些二进制文件不适用于这些版本。在这种情况下,请确保使用的 Apache 模块二进制文件版本与 Symantec Endpoint Protection Manager 安装中的 Apache Web 服务器版本匹配。

发布本文后,可能会发布新的漏洞,因此请查看 Apache 项目针对相应的 Apache Web 服务器版本发布的漏洞:http://httpd.apache.org/security/

Description:

TECH103198:使用 LiveUpdate Administrator 2.x 为适用于 Macintosh 的 Symantec Endpoint Protection 下载更新

TECH131735:受管的适用于 Macintosh 的 Symantec Endpoint Protection 客户端是否会通过 SEPM 或 GUP 自动更新病毒定义?

TECH123038:使用内置的图形用户界面 (GUI) 为 Linux Java LiveUpdate 配置 SAV/SEP

TECH228869:适用于 Linux 的 SEP 中 liveupdate.conf 的默认内容

TECH230862:Symantec Endpoint Protection Manager 的反向代理未缓存 LiveUpdate 内容

Imported Document ID: HOWTO85034

非常感谢您的反馈。如果您还有其他意见,请在下方告诉我们。(需要登录)

    © 1995-2019 Broadcom. All Rights Reserved. The term “Broadcom” refers to Broadcom Inc. and/or its subsidiaries.