Symantec Endpoint Protection Policy İncelemleri Antivirus And Antispyware Policy

Symantec Endpoint Protection (SEP) merkezi yönetime sahip bir antivirüs programıdır. Bu yönetimi ise SEP Manager üzerinden uygulanan Policy’ler ile yaparız. Bu makalemde sizlere SEP’in can alıcı ve birinci sırada tuttuğu “Antivirus and Antispyware” Policy’sinden bahsedeceğim.

SEP Manager’i kurduğunuzda sizlere 3 tane standart Antivirus ve Antispyware politikası sunacaktır. Bunlar;

• Standart
• Yüksek Koruma
• Yüksek Performans

şeklindedir. Adlarından da anlaşılacağı gibi standart değerleri olan politikada her şey ortalama alınmıştır, Yüksek korumada ise bilgisayar performansı önemsiz bırakılıp her türlü korumayı ön plana sürülmüştür. Yüksek performansta ise son kullanıcının işini rahatsız etmeden çalışacak şekilde dizayn edilmiştir.

Sağ taraftaki “Location Use Count” ise bu politikaların kaç tane lokasyonda kullanıldığını göstermektedir.

Bu kısımda dikkatinizi bir kısma çekmek isterim, grup sayısı değil lokasyon sayısıdır. Daha öneki makalemde belirtiğim “Out Of Office” kuralı için yeni bir lokasyon oluşturmuştuk. Böylece bir grup içerisinde iki farklı lokasyon olabileceğine göre  örnek olarak bizde grup sayımız 5 ama “Location Use Count” neden 6 gibi bir yanılgıya düşmeyelim.

Antivirus and Antispyware politikamızın üzerinde sağ click edit diyerek aşağıdaki pencereyi açalım.

Overview tabında göreceklerimiz

• Policy adı,
• Policy açıklaması,
• Aktif olup olmadığı (dikkat ederseniz pasiftir.Her Lokasyonda bir Antivirus and Antispyware Policy sinin olması gerektiğinden dolayı disable edemezsiniz)
• Kimin tarafından yaratıldığı
• En son değiştirilme tarihi

Uygulandığı lokasyonlar.

Administrator –defined Scans kısmı Admin tarafından manuel gönderilen veya haftalık taramaların tanımlandığı kısımdır. Standart olarak gelen her Pazartesi bir tarama mevcuttur. Edit diyerek bu taramanın gününü,saatini ve bir çok özelliklerini değiştirebiliriz. Aynı şekilde On-demand kısmındaki edit kısmı ile manuel taramanın ayarlarını değiştirebiliriz.

Advanced tabında ise zamanlanmış taramanın ayarları bulunmaktadır. Burada laptop lar için eğer pil ile çalışıyor ise ertelenmesi ve kullanıcı eğer log on olmamış olsa bile başlatmak gibi işlemleri onayı verilir.

Bir alt kısımda kullanıcı log on olduğunda başlangıç taraması yapması ve yeni bir virüs update geldiğinde tarama yapması gibi seçenekler bulunmaktadır.

En aşağıdaki “Scan Progress Options” kısmında ise taramaların kullanıcı ekranında gözüküp, gözükmeyeceği ayarlarının yapıldığı kısımdır.

Burada seçenek olarak;

• Tarama işlemi tamamlandığında tarama penceresini kapat
• Kullanıcıya tarama işlemini sonlandırmasına izin ver
• Kullanıcıya taramayı duraklatma ve ötelemesine izin ver

gibi seçenekler bulunmaktadır.

File System Auto-Protect kısmı ise bilgisayar üzerinde gerçek zamanlı (real time) çalışan taramadır.

Burada genel bir bilgi olarak kilitten bahsetmek gerekirse göreceğimiz iki tane kilit şekli vardır biri açık diğeri kapalı. Bunun anlamı şudur; açık kilit olarak bıraktığınız ayarlar kullanıcı tarafından müdahale edilebilir, kilitli ise kullanıcı tarafından değiştirilemez demek.

Aşağıdaki resimde “Enable File System Auto-protect” kısmının önünde açık kilit işareti var. Yani kullanıcı otomatik korumayı kapatabilir demek. (Kesinlikle önerilmeyen bir yöntemdir kullanıcıların otomatik korumayı kapatması)

Network Settings kısmında ise network üzerindeki diğer bilgisayarlar için gerekli ayarların yapıldığı kısımdır. Burada “Trust files on remote computers running Auto-Protect” kısmı uzaktaki bilgisayarda otomatik koruma açık ise oradan gelen dosyalara güven demektir. Tabi oradan virüslü bir dosya gelirse o dosyayı bırakacak değil. Kendi otomatik taraması ile bulur. Deneme amaçlı eicar dan bir virüs indirip kendi korumanızı kapatın, uzaktaki bilgisayara o dosyayı atmaya çalıştığında yapamayacağını göreceksiniz.

Action kısmında otomatik korumanın bir virüs durumunda nasıl davranacağını belirtiyoruz. Burada macro,makro olmayan ve güvenlik riskleri için farklı işlemler seçebiliriz. Mesela macro virüsü için ilk önce temizle sonra karantinaya al ama güvenlik riskleri için önce sil, hiç temizlemekle uğraşma diyebiliriz. Buradaki kilitlerinde kapalı olması tavsiye edilir.

Tabiki de dosyayı tamir etmenden önce bir yedeğini alabilir, işlemi hemen sonlandırabilir eğer bir servis ise servisi de otomatik olarak durdurma seçeneklerinizi seçmeniz sizin güvenliğinizi arttıracaktır.

Notification kısmı ise eğer kullanıcıda otomatik koruma esnasında bilgisayarında virüs bulursa karşısına bir pencere açıp bilgilendirmek içindir. Bu kısım şirketinizin güvenlik politikasına göre aktif yada pasif hale getirebilirsiniz.

Advanced tabında; aşağıdaki işlemler üzerinde müdahale edebiliyoruz;

• otomatik korumamızın bilgisayar başladığında başlayacağının,
• bilgisayar kapandığında disket sürücülerini kontrol edeceğinin,
• eğer otomatik koruma servisinin yeniden yüklenmesi gerekirse nasıl davranacağının,
• eğer otomatik koruma kapanmış ise kaç dakika sonra yeniden başlatılacağının

ayaları yapılmaktadır.

Burada önemli bir kısım “Risk tracert” kısmıdır. Bu kısım ile network üzerinden gelen bir virüsün kaynağını tespit etmek için geri dönüş yaptığı kısımdır.

Not: Bu kısmı aktif etmek için bulunduğunuz lokasyonda firewall politikası ve Intrusion Prevention Policy’sinin aktif olması gerekmektedir.

Internet Email Auto-Protect kısmı pop3 ve SMTP ile mail alış verişi yaptığınız programların korunması içindir. Eklerin ve giden maillerin taranma kısmı buradan yapılmaktadır.

Action kısmında otomatik korumada olduğu gibi virüslere karşı ne yapacağının bilgisinin verildiği kısımdır.Tek farkı burada virüslü mail geldiğine gönderen kişiye ve başka kişilere durumu bildiren mail atabileceğimiz ve maile bir uyarı yazısı ekleyebileceğimizdir.

Advanced kısmında ise pop3 ve smtp portlarını girdiğimiz, şifreleme işlemlerinin izin verilip verilmeyeceğini belirttiğimiz kısım ile mass mail yapacak tarzda mailleri bulursa ne yapacağının belirtildiği kısımdır.

Microsoft Outlook Auto-Protect ise adından da anlaşılacağı gibi Outlook programını korumaya yönelik olan kısımdır. Aynı şekilde action ve notification tabları bulunmaktadır. Bu ayarı aktif ettiğinizde kullanıcılarınızdan Outlook eklerini açarken bilgisayarım yavaşlıyor gibi uyarı alabilirsiniz.

Lotus notes kullanıcıları için koruma, Outlook ayarlarının yapıldığı ayarlar ile bire bir aynıdır.

truScan Proactive Threat Scans kısmında bilgisayarımızı Truva atları ve kurtlar için koruduğumuz yerdir. Aynı şekilde bir keylogler (yazılan her şeyi kaydeden ve ekran resmini çekebilen programlar) koruma kısmı da gene burada bulunmaktadır.

Tarama hassasiyetini otomatik Symantec varsayılanında bırakabileceğimiz gibi bizde daha katı yada daha yumuşak hale getirebiliriz.

Burada dikkatinizi aşağıdaki 2 seçeneğe vermek istiyorum.

Keyloggler’lar kötü amaçlı olabileceği gibi bir nevi ebeveyn kontrolü içinde olabilir. Eğer kullandığınız keyloggler tanınmış ve kötü amaçlı değilse sadece loglayıp silinmesine engel olabilirsiniz. Aynı şekilde uzaktan erişim programları için aynı seçenek mevcuttur. Buradaki ayara dikkat etmenizi öneririm. Eğer  remote control application programına karantina seçeneğini seçerseniz şirket içerisinde bağlantı için kullandığınız programı siler ve hiçbir bilgisayara bağlanamaz duruma gelebilirsiniz. Bu tarz programları en güvenlisi Centralized Exception ile hariç kılmaktır.

Tarama sıklığını da varsayılan bırakıp yada kendiniz manuel hale getirebileceğiniz kısım gene bu ekranda “Scan Frequency” kısmında bulunmaktadır.

Qurantine kısmında ise karantinaya alınan dosyalar üzerinde neler yapabileceğimiz ile ilgili kısımdır. Burada;

• karantinadaki dosyaları otomatik tamir et ve sessizce yerine koy,
• karantinadaki dosyaları tamir et ama yerine yerleştirme,
• kullanıcıya ne yapacağını sor,
• hiç bir şey yapma,

seçenekleri bulunmaktadır. Bunun anlamı şudur. Bilgisayarınızda o an temizlenemeyen bir dosya karantinaya alındığında karantinada bekler ve yeni bir virüs update i geldiğinde bu update ile karantinayı tekrar tarar ve dosyayı tamir etmeye çalışır. İşte bu işlemin nasıl yapılacağını buradan seçebilirsiniz.

Local Qurantine Options kısmı ise kullanıcıdaki bir virüslü dosyayı isterseniz kullanıcının katantinasında mı tutulacağının yada belirttiğiniz karantina bölgesine mi gönderileceğinizin seçiminin yapıldığı yerdir.

Cleanup kısmında ise  tamir edilmiş,yedeği alınmış ve karantinada duran dosyaların silinip silinmeyeceğinin eğer silinecek ise kaç gün sonra silineceğinin ve belli bir Mb dan daha fazla boyutta ulaştığında eski dosyaların silinip silinmeyeceğinin ayarlarının yapıldığı yerdir.

Submissions kısmında ise bilgisayarlarımızın ve karantina durumumuzun Symantec e gönderilip gönderilmeyeceğinin ayarlarının yapıldığı kısımdır. Bu kısımı ayarlarken de şirket güvenlik politikanıza göre hareket edersiniz.

Miscelaneous kısmı bizlere Symantec in diğer ayarlarının, loglarının ve uyarının değiştirildiği yeri sunmaktadır.

Burada en aşağıdaki “Scan Network Drive” kısmını açıklamak istiyorum. Burada map ettiğiniz bir drive ı tarayabilrisiniz. Fakat burada şunu eklemek gerekir bir file server ı map edip hem network ü hem server ı hemde kendi makinanızı yorabilirsiniz.

Log Handling kısmında ise SEP tarafında nelerin loglarının tutulacağının ayarlandığı kısım yer alıyor, bir altında ise belli bir günden sonra eski logların silineceğinin ayarlarını yapıyoruz. En alt kısımda ise belirttiğimiz dakikada bir log gönderecektir.

Notifications kısmında ise göreceklerimiz

• virüs definitions u belirlediğimiz günden daha geride ise bir ekranda uyarı vermesi özelliğin ayarlanması,
• virüs definition u olmadan çalışıyor ise bir uyarı vermesi,
• bulduğu problemlerin çözümleri için ister Symantec in kendi sitesine ister bizim vereceğimiz bir adrese yönlendirme yapılması

gibi ayarlar bulunmaktadır.

Elimden geldiği kadar bütün tabları anlatmaya çalıştım. Umarım yardımcı olmuştur. bir sonraki makalemde görüşmek dileği ile.