Gestione del volume del traffico Symantec Endpoint Protection (SEP / SEPM)

8

La mia organizzazione ha una vasta distribuzione di Symantec Endpoint Protection (SEP) (~ 20k client) con una singola istanza SEPM in esecuzione in una VM ESX. Abbiamo molti client remoti designati come Group Update Provider (GUP) ove possibile.

Ciò che i nostri amministratori di sistema hanno segnalato è che il software SEP non ha alcun modo nativo per limitare l'uso della larghezza di banda della rete. Deve inviare un aggiornamento di definizione "completo" a tutti i client, con dimensioni di alcune centinaia di MByte. Abbiamo scoperto che SEPM accetterà praticamente migliaia di richieste di check-in dei clienti e invierà tutti gli aggiornamenti dei clienti alla massima velocità di dati possibile.

Abbiamo bisogno di un modo per ridurre la quantità di larghezza di banda utilizzata da SEPM per aggiornare i client in modo nativo, in modo che ci sia spazio sulla sua connessione di rete per il traffico di gestione (accesso remoto, controllo della console SEP, ecc.).

Finora, per mitigare le inondazioni dell'intera rete, abbiamo limitato il traffico SEPM esternamente (a livello di VM e di commutazione), il che funziona per prevenire la congestione della rete principale. Tuttavia, ciò non garantisce alcuna larghezza di banda per il traffico di gestione.

Vorremmo implementare alcune modifiche a livello di sistema operativo o di applicazione per limitare il traffico senza la necessità di implementare QoS pesanti in centinaia di uffici. Idealmente vorremmo essere in grado di limitare la quantità di traffico utilizzata per client per gli aggiornamenti SEP.

Per favore fatemi sapere se avete idee su come raggiungere questo obiettivo.

windows  vmware-esxi  symantec-endpoint-protection 
trp
fonte
Trovato questo articolo, proverò alcune delle idee in esso contenute: symantec.com/connect/articles/…
trp
I suggerimenti nell'articolo non vanno bene con la nuova versione di SEP, poiché passano i server web su Apache.
trp,
Lavoro con SEPM e Windows e QoS è l'unico modo per fare ciò che chiedi. Tuttavia, i SEP non dovrebbero richiedere sempre il download completo di def. A meno che SEPM e i suoi GUP non siano impostati per contenere <5 def. Assicurati che contengano almeno 10, dato che ci sono 4 aggiornamenti def / giorno predefiniti
Lizz
2
symantec.com/business/support/… - Impostare "Tempo massimo che i client provano a scaricare gli aggiornamenti da un fornitore di aggiornamenti di gruppo prima di provare il server di gestione predefinito" su Mai. Inoltre è possibile limitare la larghezza di banda sulle GUPS se sono ancora troppo esigenti con l'impostazione "della larghezza di banda massima consentita per il gruppo di aggiornamento download Provider dal server di gestione"
Agosto
1
Grazie, aiuta anche molto. Non copre ancora il caso in cui non è disponibile GUP. Voglio essere in grado di controllare la quantità di larghezza di banda utilizzata da SEPM per client indipendentemente dal suo stato GUP. (Tutti gli host possono essere contrassegnati come GUP e limitati con l'opzione di download massimo qui?)
trp,

Risposte:

2

Penso che la tua migliore soluzione sia configurare i tuoi client remoti per:

  1. estrarre gli aggiornamenti dai GUP solo in ciascun sito remoto, limitando la larghezza di banda sul GUP utilizzando le impostazioni dei criteri di LiveUpdate

    o

  2. lascia che i tuoi client remoti vadano direttamente su Symantec per gli aggiornamenti e non sul tuo server SEPM

Questo articolo ti aiuterebbe a configurarlo nel primo modo- symantec.com/business/support/… :

  • Impostare "Tempo massimo che i client tentano di scaricare gli aggiornamenti da un provider di aggiornamenti di gruppo prima di provare il server di gestione predefinito" su Mai.
  • Inoltre, puoi limitare la larghezza di banda dei GUP se richiedono ancora troppo con l'impostazione "Larghezza di banda massima consentita per i download del provider di aggiornamenti di gruppo dal server di gestione"

Se hai così tanti siti remoti che gestire i GUP in ogni sito è un mal di testa, allora sceglierei la seconda opzione.

Sfortunatamente, Symantec non sembra avere un modo integrato per limitare la larghezza di banda direttamente sui client remoti, solo sui client GUP.

agosto
fonte
5

È possibile limitare la larghezza di banda del processo di SEP Manager utilizzando le funzionalità QoS basate su criteri integrate in Windows Server 2008 e versioni successive.

  1. Accedi al server e apri gpedit.msc.

  2. Vai a Computer Configuration\Windows Settings\Policy-based QoS.

  3. Fare clic con il tasto destro su Policy-based QoSe fare clicCreate new policy...

  4. Per Nome criterio, immettere SEPM Throttling.

  5. Deseleziona Specify DSCP Value.

  6. Controllare Specify Outbound Throttle Rate.

  7. Immettere la velocità massima desiderata in megabit al secondo e selezionare Mbps(anziché Kbps) dall'elenco a discesa.

  8. Fare clic Next.

  9. Fare clic Only appliations with this executable name.

  10. Immettere il nome del processo del server Web SEPM (probabilmente httpd.exe).

  11. Fare Nextdoppio clic , quindi fare clic su Finish.

Skyhawk
fonte
Per quanto valga la pena, SEP tende ad essere più problematico di alcuni altri prodotti antivirus aziendali. SEP non è configurabile in modo sufficiente, ha un sovraccarico eccessivo di CPU / rete / disco e può causare seri problemi su server occupati con elevato utilizzo della CPU (in particolare terminal server), anche con esclusioni sensate configurate. Preferisco raccomandare ESET ai miei clienti.
Skyhawk,
grazie per il consiglio! Questo non risolve ancora il problema della limitazione della larghezza di banda / per client /, solo della larghezza di banda totale utilizzata dal server (che stiamo ottenendo attraverso la limitazione della VM). Dobbiamo evitare sia di soffocare la rete del server sia di soffocare le reti dei client.
trp,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.