Verwaltung des Symantec Endpoint Protection (SEP / SEPM) -Verkehrsvolumens

8

Meine Organisation verfügt über eine umfangreiche Bereitstellung von Symantec Endpoint Protection (SEP) (~ 20.000 Clients) mit einer einzelnen SEPM-Instanz, die in einer ESX-VM ausgeführt wird. Wir haben viele Remote-Clients, die nach Möglichkeit als Group Update Providers (GUPs) bezeichnet werden.

Unsere Systemadministratoren haben berichtet, dass die SEP-Software keine native Möglichkeit hat, die Nutzung der Netzwerkbandbreite zu drosseln. Es muss ein 'vollständiges' Definitionsupdate an jeden Client mit einer Größe von einigen hundert MB gesendet werden. Wir haben festgestellt, dass das SEPM praktisch Tausende von Client-Check-in-Anfragen akzeptiert und alle Client-Updates mit der maximal möglichen Datenrate sendet.

Wir brauchen eine Möglichkeit, die Bandbreite zu reduzieren, die vom SEPM zum nativen Aktualisieren von Clients verwendet wird, damit auf seiner Netzwerkverbindung Headroom für den Verwaltungsverkehr besteht (Remote-Eingang, Überprüfung der SEP-Konsole usw.).

Bisher haben wir den SEPM-Verkehr extern (auf VM- und Switching-Ebene) gedrosselt, um eine Überlastung des gesamten Netzwerks zu vermeiden. Dies verhindert eine Überlastung des Head-End-Netzwerks. Dies garantiert jedoch keine Bandbreite für den Verwaltungsverkehr.

Wir möchten einige Änderungen auf Betriebssystem- oder Anwendungsebene implementieren, um den Datenverkehr zu drosseln, ohne dass eine umfangreiche QoS-Bereitstellung in Hunderten von Büros erforderlich ist. Idealerweise möchten wir in der Lage sein, den pro Client für SEP-Updates verwendeten Datenverkehr zu drosseln.

Bitte lassen Sie mich wissen, wenn Sie Ideen haben, wie Sie dieses Ziel erreichen können.

windows vmware-esxi symantec-endpoint-protection trp
quelle
Fand diesen Artikel, werde einige der darin enthaltenen
trp
Hinweise im Artikel sind mit der neuen Version von SEP nicht gut, da sie Webserver auf Apache umstellen.
trp
Ich arbeite mit SEPM und Windows und QoS ist der einzige Weg, um das zu tun, was Sie verlangen. Die SEPs sollten jedoch nicht jedes Mal nach einem vollständigen Download fragen. Es sei denn, das SEPM und seine GUP sind nur auf <5 Defs eingestellt. Stellen Sie sicher, dass sie mindestens 10 enthalten, da es standardmäßig 4 Def-Updates
pro
2
symantec.com/business/support/… - Setzen Sie "Maximale Zeit, die Clients versuchen, Updates von einem Gruppenaktualisierungsanbieter herunterzuladen, bevor sie den Standardverwaltungsserver testen" auf Nie. Sie können auch die Bandbreite der GUPs drosseln, wenn diese mit der Einstellung "Maximal zulässige Bandbreite für Downloads von Gruppenaktualisierungsanbietern vom Verwaltungsserver"
August
1
Danke, das hilft auch sehr. Der Fall, in dem kein GUP verfügbar ist, wird immer noch nicht behandelt. Ich möchte in der Lage sein, die vom SEPM pro Client verwendete Bandbreite unabhängig von seinem GUP-Status zu steuern. (Könnten alle Hosts als GUPs markiert und mit der Option für maximalen Download hier gedrosselt werden?)
trp

Antworten:

2

Ich denke, Ihre beste Lösung besteht darin, Ihre Remote-Clients so zu konfigurieren, dass:

  1. Ziehen Sie nur Aktualisierungen von den GUPs an jedem Remotestandort ab und drosseln Sie die Bandbreite auf dem GUP mithilfe der LiveUpdate-Richtlinieneinstellungen

    oder

  2. Lassen Sie Ihre Remote-Clients einfach direkt zu Symantec, um Updates zu erhalten, und nicht zu Ihrem SEPM-Server

Dieser Artikel hilft Ihnen bei der ersten Konfiguration : symantec.com/business/support/… :

  • Setzen Sie "Maximale Zeit, die Clients versuchen, Updates von einem Gruppenaktualisierungsanbieter herunterzuladen, bevor sie den Standardverwaltungsserver testen" auf Nie.
  • Sie können auch die Bandbreite der GUPs drosseln, wenn diese mit der Einstellung "Maximal zulässige Bandbreite für Downloads von Gruppenaktualisierungsanbietern vom Verwaltungsserver" immer noch zu hohe Anforderungen stellen.

Wenn Sie so viele Remotestandorte haben, dass die Verwaltung der GUPs an jedem Standort Kopfschmerzen bereitet, würde ich mich für die zweite Option entscheiden.

Leider scheint Symantec keine integrierte Möglichkeit zu haben, die Bandbreite auf den Remote-Clients direkt zu drosseln, sondern nur auf den GUP-Clients.

August
quelle
5

Sie können die Bandbreite des SEP Manager-Prozesses mithilfe richtlinienbasierter QoS-Funktionen drosseln, die in Windows Server 2008 und höher integriert sind.

  1. Melden Sie sich beim Server an und öffnen Sie gpedit.msc.

  2. Navigieren Sie zu Computer Configuration\Windows Settings\Policy-based QoS.

  3. Klicken Policy-based QoSSie mit der rechten Maustaste auf und klicken SieCreate new policy...

  4. Geben Sie als Richtlinienname ein SEPM Throttling.

  5. Deaktivieren Sie Specify DSCP Value.

  6. Überprüfen Sie Specify Outbound Throttle Rate.

  7. Geben Sie die gewünschte maximale Rate in Megabit pro Sekunde ein und wählen Sie Mbps(anstelle von Kbps) aus der Dropdown-Liste.

  8. Klicken Sie auf Next.

  9. Klicken Sie auf Only appliations with this executable name.

  10. Geben Sie den Prozessnamen des SEPM-Webservers ein (wahrscheinlich httpd.exe).

  11. Klicken Sie Nextzweimal und dann auf Finish.

Skyhawk
quelle
SEP ist in der Regel problematischer als bestimmte andere Antivirenprodukte für Unternehmen. SEP ist nicht ausreichend konfigurierbar, hat einen übermäßigen CPU- / Netzwerk- / Festplatten-Overhead und kann auf ausgelasteten Servern mit hoher CPU-Auslastung (insbesondere Terminalservern) schwerwiegende Probleme verursachen, selbst wenn vernünftige Ausschlüsse konfiguriert sind. Ich empfehle ESET lieber meinen Kunden.
Skyhawk
Danke für den Tipp! Dies löst immer noch nicht das Problem der Drosselung der Bandbreite / pro Client /, sondern nur der vom Server verwendeten Gesamtbandbreite (die wir durch die Drosselung auf der VM erhalten). Wir müssen vermeiden, sowohl das Netzwerk des Servers als auch die Netzwerke der Clients zu verstopfen.
Trp