Gestion du volume de trafic Symantec Endpoint Protection (SEP / SEPM)

8

Mon organisation dispose d'un large déploiement de Symantec Endpoint Protection (SEP) (~ 20 000 clients) avec une seule instance SEPM exécutée dans une machine virtuelle ESX. Nous avons de nombreux clients distants désignés comme fournisseurs de mise à jour de groupe (GUP) lorsque cela est possible.

Ce que nos administrateurs système ont rapporté, c'est que le logiciel SEP n'a aucun moyen natif de limiter son utilisation de la bande passante réseau. Il doit envoyer une mise à jour de définition «complète» à chaque client, quelques centaines de Moctets. Nous avons constaté que le SEPM acceptera pratiquement des milliers de demandes d'enregistrement de clients et enverra toutes les mises à jour des clients au débit de données maximum possible.

Nous avons besoin d'un moyen de réduire la quantité de bande passante utilisée par le SEPM pour mettre à jour les clients en mode natif, afin qu'il y ait de la marge sur sa connexion réseau pour le trafic de gestion (à distance, vérifiez la console SEP, etc.).

Jusqu'à présent, pour limiter l'inondation de l'ensemble du réseau, nous avons limité le trafic SEPM en externe (au niveau de la machine virtuelle et de la commutation), ce qui fonctionne pour éviter la congestion au niveau du réseau tête de réseau. Cependant, cela ne garantit aucune bande passante pour le trafic de gestion.

Nous aimerions implémenter des changements au niveau du système d'exploitation ou de l'application pour limiter le trafic sans avoir besoin d'un déploiement QoS lourd dans des centaines de bureaux. Idéalement, nous aimerions pouvoir limiter la quantité de trafic utilisée par client pour les mises à jour SEP.

Veuillez me faire savoir si vous avez des idées sur la manière d'atteindre cet objectif.

trp
la source
J'ai
trp
Les conseils dans l'article ne sont pas bons avec la nouvelle version de SEP, car ils basculent les serveurs Web vers Apache.
trp
Je travaille avec SEPM et Windows et QoS est le seul moyen de faire ce que vous demandez. Cependant, les SEP ne devraient pas demander à chaque fois un téléchargement complet de la définition. Sauf si le SEPM et ses GUP ne sont définis que pour contenir <5 défs. Assurez-vous qu'ils en détiennent au moins 10, car il y a des mises à jour par défaut de 4 déf / jour
Lizz
2
symantec.com/business/support/… - Définissez "Temps maximum pendant lequel les clients essaient de télécharger les mises à jour à partir d'un fournisseur de mise à jour de groupe avant d'essayer le serveur de gestion par défaut" sur Jamais. Vous pouvez également limiter la bande passante sur les GUP s'ils demandent encore trop avec le paramètre «Bande passante maximale autorisée pour les téléchargements de fournisseur de mise à jour de groupe à partir du serveur de gestion»
août
1
Merci, ça aide aussi beaucoup. Il ne couvre toujours pas le cas où il n'y a pas de GUP disponible. Je veux pouvoir contrôler la quantité de bande passante utilisée par le SEPM par client indépendamment de son état GUP. (Tous les hôtes peuvent-ils être marqués comme GUP et limités avec l'option de téléchargement maximal ici?)
trp

Réponses:

2

Je pense que votre meilleure solution est de configurer vos clients distants sur:

  1. extraire uniquement les mises à jour des GUP de chaque site distant, en limitant la bande passante du GUP à l'aide des paramètres de stratégie LiveUpdate

    ou

  2. laissez simplement vos clients distants accéder directement à Symantec pour les mises à jour et non à votre serveur SEPM

Cet article vous aidera à le configurer de la première façon : symantec.com/business/support/… :

  • Définissez «Délai maximum pendant lequel les clients tentent de télécharger les mises à jour à partir d'un fournisseur de mise à jour de groupe avant d'essayer le serveur de gestion par défaut» sur Jamais.
  • Vous pouvez également limiter la bande passante sur les GUP s'ils demandent encore trop avec le paramètre «Bande passante maximale autorisée pour les téléchargements de fournisseur de mise à jour de groupe à partir du serveur de gestion»

Si vous avez tellement de sites distants que la gestion des GUP dans chaque site est un casse-tête, je choisirais la deuxième option.

Malheureusement, Symantec ne semble pas avoir un moyen intégré de limiter la bande passante directement sur les clients distants, uniquement sur les clients GUP.

août
la source
5

Vous pouvez limiter la bande passante du processus SEP Manager à l'aide de fonctionnalités de QoS basées sur des stratégies intégrées à Windows Server 2008 et versions ultérieures.

  1. Connectez-vous au serveur et ouvrez gpedit.msc.

  2. Accédez à Computer Configuration\Windows Settings\Policy-based QoS.

  3. Faites un clic droit sur Policy-based QoSet cliquez surCreate new policy...

  4. Pour Nom de la stratégie, entrez SEPM Throttling.

  5. Décochez Specify DSCP Value.

  6. Vérifiez Specify Outbound Throttle Rate.

  7. Saisissez le débit maximum souhaité en mégabits par seconde, puis sélectionnez Mbps(au lieu de Kbps) dans la liste déroulante.

  8. Cliquez Next.

  9. Cliquez Only appliations with this executable name.

  10. Entrez le nom du processus du serveur Web SEPM (probablement httpd.exe).

  11. Cliquez Nextdeux fois, puis cliquez sur Finish.

Skyhawk
la source
Pour tout ce qu'il vaut, SEP a tendance à être plus problématique que certains autres produits antivirus d'entreprise. SEP est insuffisamment configurable, a une surcharge excessive de CPU / réseau / disque et peut causer de graves problèmes sur les serveurs occupés avec une utilisation élevée du CPU (en particulier les serveurs de terminaux), même avec des exclusions sensées configurées. Je préfère recommander ESET à mes clients.
Skyhawk
Merci pour le conseil! Cela ne résout toujours pas le problème de limitation de la bande passante / par client /, uniquement la bande passante totale utilisée par le serveur (que nous obtenons grâce à la limitation de la machine virtuelle). Nous devons éviter à la fois d'étouffer le réseau du serveur et d'étouffer également les réseaux des clients.
trp