Deep Security 9.5-Installationshandbuch (Basiskomponenten) · Über dieses Dokument Deep Security 9.5-Installationshandbuch (Basiskomponenten) Dieses Dokument beschreibt die Installation und Konfiguration

Trend Micro Incorporated behält sich das Recht vor, ohne vorherige Ankündigung Änderungen an diesem Dokument und den hier beschriebenen Produkten vorzunehmen. Bevor Sie die Software installieren und verwenden, lesen Sie bitte die Readme-Dateien, Versionshinweise und die neueste Version der entsprechenden Benutzerdokumentation, die auf der Trend Micro-Website unter http://www.trendmicro.com/downloadTrend Micro verfügbar sind Das T-Ball-Logo von Trend Micro, Deep Security, Control Server Plug-in, Damage Cleanup Services, eServer Plug-in, InterScan, Network VirusWall, ScanMail, ServerProtect und TrendLabs sind Marken oder eingetragene Marken von Trend Micro, Incorporated. Alle anderen Produkt- oder Firmennamen können Marken oder eingetragene Marken ihrer Eigentümer sein.Dokumentversion: 1.2Dokumentnummer: APEM96336/140306Veröffentlichungsdatum: 27. August 2014Dokument erstellt: 27. August 2014 (18:34:39)

http://www.trendmicro.com/download

Inhaltsverzeichnis

Einführung ................................................. ................................................. ......................4

Über dieses Dokument................................................. ................................................. ................................................. ................... 5

Über Deep Security ................................................ ................................................. ................................................. .................... 7

Was ist neu in Deep Security 9.5 ................................... ................................................. ................................................. .... 10

Vorbereitung ................................................. ................................................. ............................ 11

System Anforderungen ................................................ ................................................. ................................................. ......... 12

Was Sie benötigen (Grundkomponenten) .................................... ................................................. ................................................. 14

Überlegungen zur Datenbankbereitstellung................................................ ................................................. ................................................. 17

Installation ................................................. ................................................. ............................ 19

Installation des Deep Security Managers ................................................ ................................................. ................................................. 20

Installieren des Deep Security Agents ................................................ ................................................. ................................................. . 27

Installieren und Konfigurieren eines Relay-fähigen Agenten............................................. ................................................. ................................. 35

Überlegungen zur Datenbankbereitstellung................................................ ................................................. ................................................. 17

Upgrade durchführen ................................................. ................................................. ................................ 38

Aktualisieren einer Basis-Agent-basierten Installation............................................. ................................................. ......................................... 39

Schnellstart ................................................ ................................................. ................................ 42

Schnellstart: Systemkonfiguration ................................................ ................................................. ................................................. . 43

Schnellstart: Einen Computer schützen................................................ ................................................. ................................................. . 51

Anhänge ................................................. ................................................. ............................ 58

Speichernutzung des Deep Security Managers................................................ ................................................. ................................................. 59

Stille Installation von Deep Security Manager ................................................ ................................................. ................................................. 60

Eigenschaftendatei für Deep Security Manager-Einstellungen .................................... ................................................. .................................... 62

Leistungsmerkmale des Deep Security Managers ................................... ................................................. .................................... 67

Erstellen eines SSL-Authentifizierungszertifikats .................................... ................................................. ........................................ 69

Schutz eines mobilen Laptops................................................ ................................................. ................................................. ........... 71

Einführung

Über dieses Dokument

Deep Security 9.5 Installationshandbuch (Grundkenntnisse)

In diesem Dokument wird die Installation und Konfiguration der grundlegenden Deep Security 9.5-Softwarekomponenten beschrieben, die erforderlich sind, um Ihren Computern einen grundlegenden agentenbasierten Schutz zu bieten:1. Der Deep Security Manager2. Der Deep Security Agent (mit optionaler Relay-Funktionalität) Dieses Dokument behandelt:1. Systemanforderungen2. Vorbereitung3. Richtlinien zur Datenbankkonfiguration4. Installieren der Deep Security Manager-Verwaltungskonsole5. Installieren von Deep Security Agents6. Implementierung von Deep Security-Schutz mithilfe von Sicherheitsrichtlinien und Empfehlungsscans7. Richtlinien zur Überwachung und Wartung Ihrer Deep Security-Installation

Zielgruppe

Dieses Dokument richtet sich an alle, die den agentenbasierten Deep Security 9.5-Schutz implementieren möchten. Die Informationen richten sich an erfahrene Systemadministratoren, die über gute Erfahrungen mit Softwarebereitstellungen und Skriptsprachen verfügen. Weitere Dokumentation zu Deep Security 9.5

• Deep Security 9.5-Installationshandbuch (Cloud) • Deep Security 9.5-Installationshandbuch (VMware NSX) • Deep Security 9.5-Installationshandbuch (VMware vShield) • Deep Security 9.5-Benutzerhandbuch

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Über dieses Dokument

• Von Deep Security 9.5 unterstützte Funktionen und Plattformen. • Von Deep Security 9.5 unterstützte Linux-Kernel. Deep Security 9.5-Installationshandbuch (Grundkomponenten) Über dieses Dokument

Über Deep Security

Deep Security bietet erweiterte Serversicherheit für physische, virtuelle und Cloud-Server. Es schützt Unternehmensanwendungen und -daten vor Sicherheitsverletzungen und Geschäftsunterbrechungen, ohne dass Notfall-Patches erforderlich sind. Diese umfassende, zentral verwaltete Plattform hilft Ihnen, Sicherheitsabläufe zu vereinfachen, gleichzeitig die Einhaltung gesetzlicher Vorschriften zu ermöglichen und den ROI von Virtualisierungs- und Cloud-Projekten zu beschleunigen. Die folgenden eng integrierten Module erweitern die Plattform problemlos, um Server-, Anwendungs- und Datensicherheit auf physischen, virtuellen und Cloud-Servern sowie virtuellen Desktops zu gewährleisten.Schutzmodule

Anti-Malware

Integriert sich in VMware-Umgebungen für agentenlosen Schutz oder stellt einen Agenten zur Verteidigung physischer Server und virtueller Desktops im lokalen Modus bereit. Integriert neue VMware vShield Endpoint-APIs, um agentenlosen Anti-Malware-Schutz für virtuelle VMware-Maschinen ohne Fußabdruck im Gast bereitzustellen. Hilft, Sicherheitsausfälle zu vermeiden, die häufig bei vollständigen Systemscans und Musteraktualisierungen auftreten. Bietet außerdem agentenbasierten Anti-Malware zum Schutz physischer Server, Hyper-V- und Xen-basierter virtueller Server, öffentlicher Cloud-Server sowie virtueller Desktops im lokalen Modus. Koordiniert den Schutz sowohl mit agentenlosen als auch agentenbasierten Formfaktoren, um adaptive Sicherheit zum Schutz virtueller Server bei der Bewegung zwischen dem Rechenzentrum und der öffentlichen Cloud zu bieten.

Web-Reputation

Verstärkt den Schutz vor Web-Bedrohungen für Server und virtuelle Desktops. Integriert sich in die Web-Reputation-Funktionen des Trend Micro Smart Protection Network, um Benutzer und Anwendungen zu schützen, indem der Zugriff auf bösartige URLs blockiert wird. Bietet dieselben Funktionen in virtuellen Umgebungen im agentenlosen Modus über dieselbe virtuelle Appliance, die auch agentenlose Sicherheitstechnologien für mehr Sicherheit ohne zusätzlichen Platzbedarf bereitstellt. Firewall

Verringert die Angriffsfläche Ihrer physischen und virtuellen Server. Zentralisiert die Verwaltung der Server-Firewall-Richtlinien mithilfe einer bidirektionalen Stateful-Firewall. Unterstützt die Zonierung virtueller Maschinen und verhindert Denialof-Service-Angriffe. Bietet umfassende Abdeckung für alle IP-basierten Protokolle und Frame-Typen sowie eine feinkörnige Filterung für Ports sowie IP- und MAC-Adressen. Intrusion Prevention

Schützt bekannte Schwachstellen vor unbegrenzten Exploits, bis sie gepatcht werden können. Trägt zum rechtzeitigen Schutz vor bekannten und Zero-Day-Angriffen bei. Verwendet Schwachstellenregeln, um eine bekannte Schwachstelle – beispielsweise die von Microsoft monatlich veröffentlichten Schwachstellen – vor einer unbegrenzten Anzahl von Exploits zu schützen. Bietet sofort einsatzbereiten Schwachstellenschutz für über 100 Anwendungen, einschließlich Datenbank-, Web-, E-Mail- und FTP-Server. Stellt innerhalb von Stunden automatisch Regeln bereit, die neu entdeckte Schwachstellen abschirmen, und kann innerhalb von Minuten ohne Systemneustart auf Tausende von Servern übertragen werden. Schützt vor Schwachstellen in Webanwendungen. Ermöglicht die Einhaltung der PCI-Anforderung 6.6 für den Schutz von Webanwendungen und den von ihnen verarbeiteten Daten. Schützt vor SQLinjections-Angriffen, Cross-Site-Scripting-Angriffen und anderen Schwachstellen in Webanwendungen. Schützt Schwachstellen, bis Codekorrekturen abgeschlossen werden können.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Über Deep Security

Identifiziert bösartige Software, die auf das Netzwerk zugreift. Erhöht die Sichtbarkeit oder Kontrolle über Anwendungen, die auf das Netzwerk zugreifen. Identifiziert schädliche Software, die auf das Netzwerk zugreift, und verringert die Gefährdung Ihrer Server durch Sicherheitslücken. Integritätsüberwachung

Erkennt und meldet böswillige und unerwartete Änderungen an Dateien und der Systemregistrierung in Echtzeit. Jetzt im agentenlosen Formfaktor verfügbar. Bietet Administratoren die Möglichkeit, sowohl autorisierte als auch nicht autorisierte Änderungen an der Instanz zu verfolgen. Die Fähigkeit, nicht autorisierte Änderungen zu erkennen, ist eine entscheidende Komponente Ihrer Cloud-Sicherheitsstrategie, da sie Einblick in Änderungen bietet, die auf die Kompromittierung einer Instanz hinweisen könnten.

Protokollinspektion

Bietet Einblick in wichtige Sicherheitsereignisse, die in Protokolldateien verborgen sind. Optimiert die Identifizierung wichtiger Sicherheitsereignisse, die in mehreren Protokolleinträgen im gesamten Rechenzentrum verborgen sind. Leitet verdächtige Ereignisse zur Korrelation, Berichterstellung und Archivierung an ein SIEM-System oder einen zentralen Protokollierungsserver weiter. Nutzt und verbessert die Open-Source-Software, die bei OSSEC.Deep Security Components verfügbar ist

Deep Security besteht aus den folgenden Komponenten, die zusammenarbeiten, um Schutz zu bieten: • Deep Security Manager, die zentrale webbasierte Verwaltungskonsole, mit der Administratoren Sicherheitsrichtlinien konfigurieren und Schutz für die Durchsetzungskomponenten bereitstellen: die Deep Security Virtual Appliance und die Deep Security Agent.• Deep Security Virtual Appliance ist eine virtuelle Sicherheitsmaschine, die für VMware vSphere-Umgebungen entwickelt wurde und virtuellen Maschinen ohne Agenten Anti-Malware, Web Reputation Service, Firewall, Intrusion Prevention und Integritätsüberwachung bietet.• Deep Security Agent ist ein bereitgestellter Sicherheitsagent direkt auf einem Computer, der den Computern, auf denen er installiert ist, Schutz vor Malware, Web-Reputation-Dienst, Firewall, Intrusion Prevention, Integritätsüberwachung und Protokollprüfung bietet.◦ Der Deep Security Agent enthält ein Relay-Modul. Ein Relay-fähiger Agent verteilt Software- und Sicherheitsupdates über Ihr Netzwerk von Deep Security-Komponenten. • Deep Security Notifier ist eine Windows-Taskleistenanwendung, die Informationen über den Sicherheitsstatus und Ereignisse auf dem lokalen Computer kommuniziert, und im Fall von Deep Security Relays auch Bietet Informationen zu den Sicherheitsupdates, die vom lokalen Computer verteilt werden.

Deep Security Manager

Deep Security Manager („der Manager“) ist ein leistungsstarkes, zentralisiertes webbasiertes Verwaltungssystem, das es Sicherheitsadministratoren ermöglicht, umfassende Sicherheitsrichtlinien zu erstellen und zu verwalten sowie Bedrohungen und als Reaktion darauf ergriffene vorbeugende Maßnahmen zu verfolgen. Deep Security Manager lässt sich in verschiedene Aspekte des Rechenzentrums integrieren, einschließlich VMware vCenter und Microsoft Active Directory. Um die Bereitstellung und Integration in Kunden- und Partnerumgebungen zu unterstützen, verfügt Deep Security über eine offengelegte Webservice-API, die eine einfache, sprachneutrale Methode für den externen Zugriff auf Daten und Programmierkonfigurationen ermöglicht. Richtlinien

Richtlinien sind Vorlagen, die die Einstellungen und Sicherheitsregeln angeben, die für einen oder mehrere Computer automatisch konfiguriert und durchgesetzt werden sollen. Diese kompakten, verwaltbaren Regelsätze erleichtern die Bereitstellung umfassender Sicherheit, ohne dass Tausende von Regeln verwaltet werden müssen. DefaultPolicies stellen die notwendigen Regeln für eine Vielzahl gängiger Computerkonfigurationen bereit.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Über Deep Security

http://www.ossec.net/

Armaturenbrett

Die anpassbare, webbasierte Benutzeroberfläche erleichtert die schnelle Navigation und den Drilldown zu bestimmten Informationen. Es bietet: • Umfangreiche System-, Ereignis- und Computerberichte • Diagramme wichtiger Kennzahlen mit Trends • Detaillierte Ereignisprotokolle • Möglichkeit zum Speichern mehrerer personalisierter Dashboard-Layouts Integrierte Sicherheit

Der rollenbasierte Zugriff ermöglicht es mehreren Administratoren (Benutzern) mit jeweils unterschiedlichen Zugriffs- und Bearbeitungsrechten, verschiedene Aspekte des Systems zu bearbeiten und zu überwachen und für sie geeignete Informationen zu erhalten. Digitale Signaturen werden zur Authentifizierung von Systemkomponenten und zur Überprüfung der Integrität von Regeln verwendet. Die Sitzungsverschlüsselung schützt die Vertraulichkeit der zwischen Komponenten ausgetauschten Informationen. Deep Security Virtual Appliance

Die Deep Security Virtual Appliance läuft als virtuelle VMware-Maschine und schützt die anderen virtuellen Maschinen auf demselben ESXi-Server, jede mit ihrer eigenen individuellen Sicherheitsrichtlinie. Deep Security Agent

Der Deep Security Agent („der Agent“) ist eine leistungsstarke Softwarekomponente mit geringem Platzbedarf, die auf einem Computer installiert wird, um Schutz zu bieten. Der Deep Security Agent enthält ein Relay-Modul (standardmäßig deaktiviert). In jeder Deep Security-Installation ist mindestens ein Relay-fähiger Agent erforderlich, um Sicherheits- und Software-Updates in Ihrem Deep Security-Netzwerk zu verteilen. Sie können mehrere Relays aktivieren und sie in hierarchischen Gruppen organisieren, um Updates effizienter in Ihrem Netzwerk zu verteilen. Deep Security Notifier

Der Deep Security Notifier ist eine Windows-Taskleistenanwendung, die Client-Rechnern den Status des Deep Security Agent und des Deep SecurityRelay mitteilt. Der Notifier zeigt Popup-Benutzerbenachrichtigungen an, wenn der Deep Security Agent einen Scan startet, oder blockiert Malware oder den Zugriff auf schädliche Webseiten. Der Notifier bietet außerdem ein Konsolendienstprogramm, mit dem der Benutzer Ereignisse anzeigen und konfigurieren kann, ob Popups angezeigt werden.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Über Deep Security

Was ist neu in Deep Security 9.5?

Unterstützung für VMware vSphere 5.5

• Sicherheit für Netzwerkvirtualisierung und Software-Defined Data Center mit NSX. • Unterstützung für Bereitstellungen mit gemischten Modellen (NSX und vShield). Intelligenterer, leichter Agent

• Leichtes Installationsprogramm. • Die selektive Bereitstellung von Schutzmodulen für Agenten basierend auf Sicherheitsrichtlinienanforderungen führt zu einem geringeren Agenten-Footprint. • Automatische Unterstützung für neue Linux-Kernel. Verbesserungen bei Trend Micro Control Manager

• Mehr Dashboard-Widgets mit Drilldown-Funktion. • Vollständige Ereignisse für Anti-Malware und Web Reputation Service. Linux-Unterstützung

• Neue Distributionen: CloudLinux, Oracle Unbreakable • On-Demand-Anti-Malware-Scan für alle Distributionen • Echtzeit-Anti-Malware für Red Hat und SuSE Eine Liste der unterstützten Deep Security-Funktionen nach Softwareplattform finden Sie im Dokument mit dem Titel „Deep Security 9.5 SupportedFeatures“. und Plattformen. Eine Liste der spezifischen Linux-Kernel, die für jede Plattform unterstützt werden, finden Sie im Dokument mit dem Titel „Deep Security9.5 Supported Linux Kernels“.

Verbesserungen der Sicherheit und des Software-Update-Managements

• Verbesserte Sichtbarkeit des Sicherheits- und Software-Update-Status. • Verbesserte Zugänglichkeit zu Software-Updates. Multi-Tenant-Verbesserungen

• Melden Sie sich als Mandant an. • Sicherheitsmodell-Nutzungsbericht

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Was ist neu in Deep Security 9.5?

Vorbereitung

System Anforderungen

Deep Security Manager

• Speicher: 8 GB, einschließlich:◦ 4 GB Heap-Speicher◦ 1,5 GB JVM-Overhead◦ 2 GB Betriebssystem-Overhead• Festplattenspeicher: 1,5 GB (5 GB empfohlen)• Betriebssystem:◦ Windows Server 2012 (64-Bit), Windows Server 2012 R2 (64-Bit)◦ Windows Server 2008 (64-Bit), Windows Server 2008 R2 (64-Bit)◦ Windows 2003 Server SP2 (64-Bit), Windows 2003 Server R2 (64-Bit)◦ Red Hat Linux 5/ 6 (64-Bit)• Datenbank:◦ Oracle 11g, Oracle 11g Express◦ Oracle 10g, Oracle 10g Express◦ Microsoft SQL Server 2014, Microsoft SQL Server 2014 Express◦ Microsoft SQL Server 2012, Microsoft SQL Server 2012 Express◦ Microsoft SQL Server 2008 , Microsoft SQL Server 2008 Express◦ Microsoft SQL Server 2008 R2, Microsoft SQL Server 2008 R2 Express• Webbrowser: Firefox 24+, Internet Explorer 9.x, Internet Explorer 10.x, Internet Explorer 11.x, Chrome 33+, Safari 6+. (Cookies aktiviert.)◦ Monitor: Auflösung 1024 x 768 bei 256 Farben oder höher

Deep-Security-Agent

• Speicher:◦ mit Anti-Malware-Schutz: 512 MB◦ ohne Anti-Malware-Schutz: 128 MB• Speicherplatz:◦ mit Anti-Malware-Schutz: 1 GB◦ ohne Anti-Malware-Schutz: 500 MB◦ mit aktivierter Relay-Funktionalität: 8 GB• Windows:◦ Windows Server 2012 (64-Bit), Windows Server 2012 R2 (64-Bit)◦ Windows 8.1 (32-Bit und 64-Bit)◦ Windows 8 (32-Bit und 64-Bit)◦ Windows 7 (32-Bit und 64-Bit)◦ Windows Server 2008 (32-Bit und 64-Bit), Windows Server 2008 R2 (64-Bit)

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Systemanforderungen

◦ Windows Vista (32-Bit und 64-Bit)◦ Windows Server 2003 SP1 (32-Bit und 64-Bit) mit Patch „Windows Server 2003 Scalable Networking Pack“◦ Windows Server 2003 SP2 (32-Bit und 64-Bit) ◦ Windows Server 2003 R2 SP2 (32-Bit und 64-Bit)◦ Windows XP (32-Bit und 64-Bit)◦ Mit aktivierter Relay-Funktionalität: Alle oben genannten 64-Bit-Windows-Versionen• Linux:◦ Red Hat 5 (32-Bit) Bit und 64-Bit)◦ Red Hat 6 (32-Bit und 64-Bit)◦ Oracle Linux 5 (32-Bit und 64-Bit)◦ Oracle Linux 6 (32-Bit und 64-Bit)◦ CentOS 5 (32 -Bit und 64-Bit)◦ CentOS 6 (32-Bit und 64-Bit)◦ SuSE 10 SP3 und SP4 (32-Bit und 64-Bit)◦ SuSE 11 SP1, SP2 und SP3 (32-Bit und 64-Bit) Bit)◦ CloudLinux 5 (32-Bit und 64-Bit)◦ CloudLinux 6 (32-Bit und 64-Bit)◦ Amazon Red Hat Enterprise 6 EC2 (32-Bit und 64-Bit)◦ Amazon SuSE 11 EC2 (32-Bit) Bit und 64-Bit)◦ Amazon Ubuntu 12 EC2 (32-Bit und 64-Bit)◦ Amazon AMI Linux EC2 (32-Bit und 64-Bit)◦ Ubuntu 10.04 LTS (64-Bit)◦ Ubuntu 12.04 LTS(64-Bit) Bit)◦ Ubuntu 14.04 LTS (64-Bit)◦ Mit aktivierter Relay-Funktionalität: Alle oben genannten 64-Bit-Linux-Versionen

Die CentOS Agent-Software ist im Red Hat Agent-Softwarepaket enthalten. Um einen Deep Security Agent unter CentOS zu installieren, verwenden Sie das Red Hat Agent-Installationsprogramm.

Eine Liste der unterstützten Deep Security-Funktionen nach Softwareplattform finden Sie im Dokument mit dem Titel Deep Security 9.5 SupportedFeatures and Platforms. Eine Liste der spezifischen Linux-Kernel, die für jede Plattform unterstützt werden, finden Sie im Dokument mit dem Titel „Deep Security9.5 Supported Linux Kernels“.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Systemanforderungen

Was Sie benötigen (Grundkomponenten)

Deep-Security-Softwarepakete

Deep Security Manager: Laden Sie eine Kopie des Deep Security Manager-Installationspakets vom Trend Micro Download Center herunter: http://downloadcenter.trendmicro.com/ Um manuell zu bestätigen, dass Sie über eine legitime Version jedes Installationspakets verfügen, verwenden Sie einen Hash-Rechner Berechnen Sie den Hashwert der heruntergeladenen Software und vergleichen Sie ihn mit dem auf der Trend Micro Download Center-Website veröffentlichten Wert.

Deep Security Agents: Sobald der Deep Security Manager installiert ist, importieren Sie damit die Deep Security Agent-Softwarepakete für die Plattform, die Sie schützen möchten. Jede Deep Security-Installation, unabhängig davon, ob sie agentenlosen oder agentenbasierten Schutz bietet, erfordert Folgendes: Mindestens ein Relay-fähiger Agent muss installiert sein, um Sicherheits- und Softwareupdates herunterzuladen und zu verteilen. Jeder 64-Bit-Windows- oder Linux-Agent kann Relay-Funktionalität bereitstellen

Informationen zum Importieren der Deep Security Agent-Software finden Sie unter Installieren des Deep Security Agent (Seite 27) und Installieren und Konfigurieren eines Relay-fähigen Agenten (Seite 35). Andere „unterstützende“ Pakete (z. B. Linux-Kernel-Support-Updates) stehen zum Download bereit als Nun ja, aber diese werden bei Bedarf automatisch in Deep Security importiert, wenn Sie die Agent-Software bereits heruntergeladen haben. Anweisungen zum Importieren der Agent-Software finden Sie unter Installieren des Deep Security Agent.

Lizenz (Aktivierungscodes)

Sie benötigen Deep Security-Aktivierungscodes für die Schutzmodule und einen separaten Aktivierungscode für Multi-Tenancy, wenn Sie diese implementieren möchten. (Für VMware-Komponenten sind außerdem VMware-Lizenzen erforderlich.)Administrator/Root

Sie benötigen Administrator-/Root-Rechte auf den Computern, auf denen Sie Deep Security-Softwarekomponenten installieren möchten. SMTP-Server

Zum Versenden von Warn-E-Mails benötigen Sie einen SMTP-Server. Der DSM verwendet standardmäßig Port 25 für die Verbindung zum SMTP-Server. Verfügbare Ports

Auf dem Deep Security Manager-Host müssen Sie sicherstellen, dass die folgenden Ports auf dem Computer, auf dem Deep Security Manager gehostet wird, geöffnet und nicht für andere Zwecke reserviert sind: • Port 4120: Der „Heartbeat“-Port, der von Deep Security Agents und Appliances zur Kommunikation mit Deep Security verwendet wird Manager (konfigurierbar).• Port 4119: Wird von Ihrem Browser für die Verbindung mit Deep Security Manager verwendet. Wird auch für die Kommunikation von ESXi und Anfragen nach Sicherheitsupdates durch die DSVA (konfigurierbar) verwendet.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Was Sie benötigen (Grundkomponenten)

http://downloadcenter.trendmicro.com/

• Port 1521: Bidirektionaler Oracle-Datenbankserver-Port.• Ports 1433 und 1434: Bidirektionale Microsoft SQL Server-Datenbank-Ports.• Ports 389, 636 und 3268: Verbindung zu einem LDAP-Server für die Active Directory-Integration (konfigurierbar).• Port 25: Kommunikation mit einem SMTP-Server zum Senden von E-Mail-Benachrichtigungen (konfigurierbar).• Port 53: Für DNS-Suche.• Port 514: Bidirektionale Kommunikation mit einem Syslog-Server (konfigurierbar).• Port 443: Kommunikation mit VMware vCloud, vCenter , vShield/NSX Manager und Amazon AWS. Weitere Informationen dazu, wie jeder dieser Ports von Deep Security verwendet wird, finden Sie unter „Von Deep Security verwendete Ports“ im Abschnitt „Referenz“ der Online-Hilfe oder im Administratorhandbuch.

Auf den Deep Security Agents, Relay-fähigen Agents und Appliances müssen Sie sicherstellen, dass die folgenden Ports auf Computern, auf denen Relay-fähige Agents ausgeführt werden, offen und nicht für andere Zwecke reserviert sind:• Port 4122: Kommunikation zwischen Relay und Agent/Appliance.• Port 4118: Kommunikation zwischen Manager und Agent. • Port 4123: Wird für die interne Kommunikation verwendet. Sollte nicht nach außen offen sein.• Port 80, 443: Verbindung zum Trend Micro Update Server und Smart Protection Server.• Port 514: bidirektionale Kommunikation mit einem Syslog-Server (konfigurierbar).Der Deep Security Manager implementiert automatisch bestimmte Firewall-Regeln um die erforderlichen Kommunikationsports auf Maschinen zu öffnen, auf denen Deep Security Relays, Agents und Appliances gehostet werden.

Netzwerk-Kommunikation

Die Kommunikation zwischen Deep Security Manager und Deep Security Relay-fähigen Agenten, Agenten/Appliances und Hypervisoren verwendet standardmäßig DNS-Hostnamen. Damit Deep Security Agent/Appliance-Bereitstellungen erfolgreich sind, müssen Sie sicherstellen, dass jeder Computer den Hostnamen des Deep Security Managers und eines Relay-aktivierten Agenten auflösen kann. Dies erfordert möglicherweise, dass die Deep Security Manager- und Relay-aktivierten Agent-Computer über einen DNS-Eintrag oder einen Eintrag in der Hosts-Datei des Agent-/Appliance-Computers verfügen. Sie werden im Rahmen des Deep Security Manager-Installationsverfahrens nach diesem Hostnamen gefragt. Wenn Sie kein DNS haben, geben Sie während der Installation eine IP-Adresse ein.

Zuverlässige Zeitstempel

Alle Computer, auf denen Deep Security Software läuft, sollten mit einer zuverlässigen Zeitquelle synchronisiert werden. Beispielsweise die regelmäßige Kommunikation mit einem NTP-Server (Network Time Protocol). Leistungsempfehlungen

Siehe Leistungsmerkmale von Deep Security Manager (Seite 67).Deep Security Manager und Datenbankhardware

Viele Deep Security Manager-Vorgänge (z. B. Updates und Empfehlungsscans) erfordern hohe CPU- und Speicherressourcen. Trend Micro empfiehlt, dass jeder Manager-Knoten in hochskalierten Umgebungen über vier Kerne und ausreichend RAM verfügt.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Was Sie benötigen (Grundkomponenten)

Die Datenbank sollte auf Hardware installiert werden, die den Spezifikationen des besten Deep Security Manager-Knotens entspricht oder diese übertrifft. Für die beste Leistung sollte die Datenbank über 8–16 GB RAM und schnellen Zugriff auf den lokalen oder über das Netzwerk angeschlossenen Speicher verfügen. Wann immer möglich, sollte ein Datenbankadministrator bezüglich der besten Konfiguration des Datenbankservers konsultiert und ein Wartungsplan in Kraft gesetzt werden. Weitere Informationen finden Sie unter Überlegungen zur Datenbankbereitstellung (Seite 17). Dedizierte Server

Der Deep Security Manager und die Datenbank können auf demselben Computer installiert werden, wenn Ihre endgültige Bereitstellung voraussichtlich nicht mehr als 1000 Computer (real oder virtuell) umfassen wird. Wenn Sie davon ausgehen, dass Sie mehr als 1000 Computer haben, sollten Sie den Deep Security Manager und die Datenbank auf dedizierten Servern installieren. Es ist außerdem wichtig, dass sich die Datenbank und der Deep Security Manager im selben Netzwerk mit einer 1GBLAN-Verbindung befinden, um eine ungehinderte Kommunikation zwischen beiden zu gewährleisten. Das Gleiche gilt auch für weitere Deep Security Manager Nodes. Für die Verbindung vom Manager zur Datenbank wird eine Latenz von zwei Millisekunden oder besser empfohlen. Hochverfügbarkeitsumgebungen

Wenn Sie die Hochverfügbarkeitsfunktionen (HA) von VMware verwenden, stellen Sie sicher, dass die HA-Umgebung eingerichtet ist, bevor Sie mit der Installation von Deep Security beginnen. Deep Security muss auf allen ESXi-Hypervisoren bereitgestellt werden (einschließlich derjenigen, die für Wiederherstellungsvorgänge verwendet werden). Durch die Bereitstellung von Deep Security auf allen Hypervisoren wird sichergestellt, dass der Schutz auch nach einem HA-Wiederherstellungsvorgang wirksam bleibt. Wenn eine virtuelle Appliance in einer VMware-Umgebung bereitgestellt wird, die den VMware Distributed Resource Scheduler (DRS) nutzt, ist es wichtig, dass die Appliance keinen Zugriff erhält Wird im Rahmen des DRS-Prozesses zusammen mit den virtuellen Maschinen vMotioned. Virtuelle Appliances müssen an ihren jeweiligen ESXi-Server „angeheftet“ werden. Sie müssen die DRS-Einstellungen für alle VirtualAppliances aktiv auf „Manuell“ oder „Deaktiviert“ (empfohlen) ändern, damit sie nicht vom DRS vMotioniert werden. Wenn eine virtuelle Appliance (oder eine beliebige virtuelle Maschine) auf „Deaktiviert“ gesetzt ist, migriert vCenter Server diese virtuelle Maschine nicht und stellt keine Migrationsempfehlungen dafür bereit. Dies wird als „Anheften“ der virtuellen Maschine an ihren registrierten Host bezeichnet. Dies ist die empfohlene Vorgehensweise für virtuelle Appliances in einer DRS-Umgebung. Eine Alternative besteht darin, die virtuelle Appliance auf lokalem Speicher statt auf gemeinsam genutztem Speicher bereitzustellen. Wenn die virtuelle Appliance auf lokalem Speicher bereitgestellt wird, kann sie nicht per DRS vMotioniert werden. Weitere Informationen zu DRS und dem Anheften virtueller Maschinen an einen bestimmten ESXi-Server finden Sie in Ihrer VMware-Dokumentation.

Wenn eine virtuelle Maschine durch DRS von einem ESXi, der durch eine DSVA geschützt ist, auf einen ESXi übertragen wird, der nicht durch eine DSVA geschützt ist, wird die virtuelle Maschine ungeschützt. Wenn die virtuelle Maschine anschließend per vMotion wieder auf den ursprünglichen ESXi übertragen wird, wird sie nicht automatisch wieder geschützt, es sei denn, Sie haben eine ereignisbasierte Aufgabe erstellt, um Computer zu aktivieren und zu schützen, die per vMotion auf einen ESXi mit einer verfügbaren DSVA übertragen wurden. Weitere Informationen finden Sie in den Abschnitten „Ereignisbasierte Aufgaben“ der Online-Hilfe oder im Administratorhandbuch.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Was Sie benötigen (Grundkomponenten)

Überlegungen zur Datenbankbereitstellung

Anweisungen zur Datenbankinstallation und -bereitstellung finden Sie in der Dokumentation Ihres Datenbankanbieters. Beachten Sie jedoch die folgenden Überlegungen zur Integration mit Deep Security.Version

Deep Security erfordert Microsoft SQL Server 2012 oder 2008 oder Oracle Database 11g oder 10g für Unternehmensbereitstellungen. Deep Security Manager verfügt über eine eingebettete Apache Derby-Datenbank, die jedoch nur für Evaluierungszwecke geeignet ist. (Sie können kein Upgrade von Apache Derby auf SQL Server oder Oracle Database durchführen.) Vor Deep Security installieren

Sie müssen die Datenbanksoftware installieren, eine Datenbankinstanz für Deep Security erstellen (falls Sie nicht die Standardinstanz verwenden) und ein Benutzerkonto für Deep Security erstellen, bevor Sie Deep Security Manager.Location installieren

Die Datenbank muss sich im selben Netzwerk wie der Deep Security Manager mit einer Verbindungsgeschwindigkeit von 1 Gbit/s über LAN befinden. (WAN-Verbindungen werden nicht empfohlen.)Dedizierter Server

Die Datenbank sollte auf einem separaten dedizierten Computer installiert werden. Microsoft SQL Server

• Aktivieren Sie „Remote-TCP-Verbindungen“. (Siehe http://msdn.microsoft.com/en-us/library/bb909712(v=vs.90).aspx)• Das vom Deep Security Manager verwendete Datenbankkonto muss über db_owner-Rechte verfügen.• Bei Verwendung von Multi-Tenancy , das vom Deep Security Manager verwendete Datenbankkonto muss über dbcreator-Rechte verfügen. • Wählen Sie die Eigenschaft „einfaches“ Wiederherstellungsmodell für Ihre Datenbank. (Siehe http://technet.microsoft.com/en-us/library/ms189272.aspx)Oracle-Datenbank

• Starten Sie den „Oracle Listener“-Dienst und stellen Sie sicher, dass er TCP-Verbindungen akzeptiert.• Dem vom Deep Security Manager verwendeten Datenbankkonto müssen die Rollen CONNECT und RESOURCE sowie die Systemberechtigungen CREATESEQUENCE, CREATE TABLE und CREATE TRIGGER gewährt werden. Tenancy: Dem vom Deep Security Manager verwendeten Datenbankkonto müssen die Systemberechtigungen CREATE USER, DROP USER, ALTER USER, GRANT ANY PRIVILEGE und GRANT ANY ROLE gewährt werden.

Transportprotokoll

Das empfohlene Transportprotokoll ist TCP. Wenn Sie Named Pipes verwenden, um eine Verbindung zu einem SQL Server herzustellen, muss ein ordnungsgemäß authentifizierter Microsoft Windows-Kommunikationskanal zwischen dem Deep Security Manager-Host und dem SQL Server-Host verfügbar sein. Dies kann bereits vorhanden sein, wenn:

Deep Security 9.5 Installationshandbuch (Basiskomponenten) Überlegungen zur Datenbankbereitstellung

http://msdn.microsoft.com/en-us/library/bb909712(v=vs.90).aspx

http://technet.microsoft.com/en-us/library/ms189272.aspx

• Der SQL Server befindet sich auf demselben Host wie Deep Security Manager. • Beide Hosts sind Mitglieder derselben Domäne. • Zwischen den beiden Hosts besteht eine Vertrauensbeziehung. Wenn kein solcher Kommunikationskanal verfügbar ist, ist Deep Security Manager nicht dazu in der Lage über Named Pipes mit dem SQL Server kommunizieren.

Verbindungseinstellungen, die während der Installation von Deep Security Manager verwendet werden.

Während der Installation von Deep Security Manager werden Sie nach Details zur Datenbankverbindung gefragt. Geben Sie unter „Hostname“ den Datenbank-Hostnamen und unter „Datenbankname“ die vorab erstellte Datenbank für Deep Security ein. Die Installation unterstützt sowohl SQL- als auch Windows-Authentifizierung. Wenn Sie die Windows-Authentifizierung verwenden, klicken Sie auf die Schaltfläche „Erweitert“, um zusätzliche Optionen anzuzeigen. Der Screenshot oben zeigt ein Beispiel für die Verbindung zu einer benannten SQL-Instanz mithilfe der Windows-Authentifizierung. Vermeiden Sie Sonderzeichen für den Datenbankbenutzernamen (Oracle).

Obwohl Oracle bei der Konfiguration des Datenbankbenutzerobjekts Sonderzeichen zulässt, sofern diese in Anführungszeichen gesetzt sind. Deep Security unterstützt keine Sonderzeichen für den Datenbankbenutzer. Halten Sie den Datenbanknamen kurz (SQL Server).

Wenn Sie Multi-Tenancy verwenden, können Sie die Datenbanknamen Ihrer Mandanten leichter lesen, indem Sie den Namen der Hauptdatenbank kurz halten. (d. h. wenn die Hauptdatenbank „MAINDB“ lautet, lautet der Datenbankname des ersten Mandanten „MAINDB_1“, der Datenbankname des zweiten Mandanten lautet „MAINDB_2“ und bald. )Oracle RAC-Unterstützung

Deep Security unterstützt: • SUSE Linux Enterprise Server 11 SP1 mit Oracle RAC 11g R2 (v11.2.0.1.0) • Red Hat Linux Enterprise Server 5.8 mit Oracle RAC 11g R2 (v11.2.0.1.0) Anwenden der standardmäßigen Linux Server Deep Security-Richtlinie zu den Oracle RAC-Knoten sollten keine Kommunikationsprobleme mit Oracle Automated Storage Management (ASM) und Clusterdiensten verursachen. Wenn jedoch Probleme auftreten, versuchen Sie, die Firewall-Einstellungen entsprechend den Portanforderungen in der Oracle RAC-Dokumentation anzupassen oder die Firewall vollständig zu deaktivieren.

http://docs.oracle.com/cd/E11882_01/install.112/e41962/ports.htm#BABECFJF

Hohe Verfügbarkeit

Die Deep Security-Datenbank ist mit dem Datenbank-Failover-Schutz kompatibel, solange keine Änderungen am Datenbankschema vorgenommen werden. Beispielsweise fügen einige Datenbankreplikationstechnologien während der Replikation Spalten zu den Datenbanktabellen hinzu, was zu kritischen Fehlern führen kann. Aus diesem Grund wird die Datenbankspiegelung gegenüber der Datenbankreplikation empfohlen.

Notiz:

Deep Security 9.5 Installationshandbuch (Basiskomponenten) Überlegungen zur Datenbankbereitstellung

http://docs.oracle.com/cd/E11882_01/install.112/e41962/ports.htm#BABECFJF

Installation

Installieren des Deep Security Managers

Bevor Sie beginnen

Datenbank

Bevor Sie Deep Security Manager installieren, müssen Sie Datenbanksoftware installieren, eine Datenbank und ein Benutzerkonto für die Verwendung von Deep Security Manager erstellen. Informationen zur Installation einer Datenbank finden Sie unter Überlegungen zur Datenbankbereitstellung (Seite 17). Gemeinsam platzierter, Relay-fähiger Agent

Für eine Deep Security-Bereitstellung ist mindestens ein Deep Security Relay (ein Deep Security Agent mit aktivierter Relay-Funktionalität) erforderlich. Relays verteilen Software- und Sicherheitsupdates an Agents/Appliances, die Ihren Schutz auf dem neuesten Stand halten. Trend Micro empfiehlt, einen Relay-fähigen Agenten auf demselben Computer wie den Deep Security Manager zu installieren, um den Host-Computer zu schützen und als lokales Relay zu fungieren. Während der Installation des Deep Security Managers sucht das Installationsprogramm in seinem lokalen Verzeichnis nach einem Agenten Installationspaket (das vollständige Zip-Paket, nicht nur das Kern-Agent-Installationsprogramm). Wenn lokal kein Installationspaket gefunden wird, versucht es, über das Internet eine Verbindung zum Trend Micro DownloadCenter herzustellen und dort ein Agent-Installationspaket zu finden. Wenn an einem dieser Speicherorte ein Installationspaket gefunden wird, haben Sie die Möglichkeit, während der Installation des Deep Security Managers einen am gleichen Standort befindlichen Relay-fähigen Agenten zu installieren. (Wenn an beiden Speicherorten Agent-Installationspakete gefunden werden, wird die neueste der beiden Versionen ausgewählt.) Der Agent kann zum Schutz des Deep Security Manager-Hostcomputers verwendet werden, wird jedoch zunächst nur mit aktiviertem Relay-Modul installiert. Um den Schutz zu aktivieren, müssen Sie eine entsprechende Sicherheitsrichtlinie anwenden. Wenn kein Agent-Installationspaket verfügbar ist, wird die Installation des Deep Security Manager ohne dieses fortgesetzt (Sie müssen jedoch zu einem späteren Zeitpunkt einen Relay-fähigen Agenten installieren). Abhängig In Ihrer Umgebung können zu einem späteren Zeitpunkt zusätzliche Relay-fähige Agenten installiert werden. (Anweisungen zur Installation eines Relay-fähigen Agenten finden Sie unter „Installieren des Deep Security Agent“ (Seite 27) und „Konfigurieren eines Relay“ (Seite 35). )

Informationen zum Proxyserver

Wenn Deep Security einen Proxyserver verwenden muss, um über das Internet eine Verbindung zu Trend Micro Update Servern herzustellen, halten Sie die Adresse, den Port und die Anmeldeinformationen Ihres Proxyservers bereit. Laden Sie das Installationspaket herunter

Laden Sie die neueste Version der Deep Security Manager-Software (und optional des Deep Security Agent) vom Trend Micro DownloadCenter herunter unter: http://downloadcenter.trendmicro.com/Installieren Sie den Deep Security Manager für Windows

1. Kopieren Sie das Deep Security Manager-Installationspaket auf den Zielcomputer. Starten Sie das Deep Security Manager-Installationsprogramm, indem Sie auf das Installationspaket doppelklicken.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Managers

http://downloadcenter.trendmicro.com/

2. Lizenzvereinbarung: Wenn Sie den Bedingungen der Lizenzvereinbarung zustimmen, wählen Sie Ich akzeptiere die Bedingungen der Trend Micro-Lizenzvereinbarung.

3. Installationspfad: Wählen Sie den Ordner aus, in dem Deep Security Manager installiert werden soll, und klicken Sie auf Weiter.

4. Datenbank: Wählen Sie die Datenbank aus, die Sie zuvor installiert haben.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Managers

Wenn es sich bei Ihrer Datenbank um einen SQL Server handelt und Sie eine benannte Instanz verwenden, klicken Sie auf „Erweitert“, um die Einzelheiten einzugeben.

5. Produktaktivierung: Geben Sie Ihre(n) Aktivierungscode(s) ein. Geben Sie den Code für alle Schutzmodule oder die Codes für die einzelnen Module ein, für die Sie eine Lizenz erworben haben. Sie können ohne Eingabe von Codes fortfahren, es steht jedoch keines der Schutzmodule zur Verfügung. (Sie können Ihren ersten oder weitere Codes nach der Installation des Deep Security Managers eingeben, indem Sie zu Verwaltung > Lizenzen gehen.)

6. Adresse und Ports: Geben Sie den Hostnamen, die URL oder die IP-Adresse dieses Computers ein. Die Manager-Adresse muss entweder ein auflösbarer Hostname, ein vollständig qualifizierter Domänenname oder eine IP-Adresse sein. Wenn DNS in Ihrer Umgebung nicht verfügbar ist oder einige Computer DNS nicht verwenden können, sollte anstelle eines Hostnamens eine feste IP-Adresse verwendet werden. Ändern Sie optional die Standardkommunikationsports: Der „Manager-Port“ ist der Port, über den über HTTPS auf die browserbasierte Benutzeroberfläche des Managers zugegriffen werden kann. Der „Heartbeat-Port“ ist der Port, an dem der Manager auf Kommunikation von den Agenten/Appliances lauscht.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Managers

7. Administratorkonto: Geben Sie einen Benutzernamen und ein Passwort für das Master-Administratorkonto ein. Wenn Sie die Option „Starke Passwörter erzwingen“ (empfohlen) auswählen, müssen dieses und zukünftige Administratorkennwörter Groß- und Kleinbuchstaben, nicht alphanumerische Zeichen und Zahlen enthalten und eine Mindestanzahl an Zeichen erfordern. Wenn Sie über Administratorrechte auf dem Manager-Hostcomputer verfügen, Sie können ein Kontopasswort mit dsm_c zurücksetzen.

action unlockout -username USERNAME -newpassword NEWPASSWORD Befehl.

8. Automatische Updates: Wenn Sie die Option „Geplante Aufgabe erstellen“ auswählen, wird eine geplante Aufgabe erstellt, um automatisch die neuesten Sicherheits- und Software-Updates von Trend Micro abzurufen und sie an Ihre Agenten und Appliances zu verteilen. (Sie können Updates später mit dem Deep Security Manager konfigurieren.) Wenn der Deep Security Manager einen Proxy verwenden muss, um über das Internet eine Verbindung zu den Trend MicroUpdate-Servern herzustellen, wählen Sie Proxyserver verwenden, wenn Sie eine Verbindung zu Trend Micro herstellen, um nach Sicherheitsupdates zu suchen und geben Sie Ihre Proxy-Informationen ein.

9. Co-lokalisierter Relay-fähiger Agent: Wenn ein Agent-Installationspaket entweder im lokalen Ordner oder im Trend MicroDownload Center verfügbar ist, haben Sie die Möglichkeit, einen Co-lokalisierten Relay-aktivierten Agent zu installieren. Für jede Deep Security-Installation ist mindestens ein Relay zum Herunterladen und Verteilen von Sicherheits- und Softwareupdates erforderlich. Wenn Sie jetzt keinen Relay-fähigen Agenten installieren, müssen Sie dies zu einem späteren Zeitpunkt nachholen. Es wird dringend empfohlen, einen am gleichen Standort befindlichen Relay-fähigen Agenten zu installieren.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Managers

10. Smart Protection Network: Wählen Sie aus, ob Sie Trend Micro Smart Feedback aktivieren möchten (empfohlen). (Sie können Smart Feedback später mit dem Deep Security Manager aktivieren oder konfigurieren.) Geben Sie optional Ihre Branche ein, indem Sie sie aus der Dropdown-Liste auswählen.

11. Installationsinformationen: Überprüfen Sie die von Ihnen eingegebenen Informationen und klicken Sie auf „Installieren“, um fortzufahren.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Managers

12. Wählen Sie Deep Security Manager-Konsole starten aus, um nach Abschluss der Einrichtung einen Browser mit der Deep Security Manager-URL zu öffnen. Klicken Sie auf Fertig stellen, um den Setup-Assistenten zu schließen.

Der Deep Security Manager-Dienst wird gestartet, wenn die Einrichtung abgeschlossen ist. Der Installer platziert im Programmmenü eine Verknüpfung zum Deep Security Manager. Sie sollten sich diese URL merken, wenn Sie von einem entfernten Standort aus auf den Manager zugreifen möchten.Installieren des Deep Security Manager für Linux

Die Schritte zur Installation von Deep Security Manager auf einem Linux-Betriebssystem mit X-Window-System sind dieselben wie für Windows (oben) beschrieben. Informationen zum Durchführen einer stillen Linux-Installation finden Sie unter Stille Installation von Deep Security Manager (Seite 60). Wenn Sie Deep Security Manager unter Linux mit aktiviertem iptables installieren, müssen Sie iptables so konfigurieren, dass Datenverkehr auf den TCP-Ports 4119 und 4120 zugelassen wird.

Deep Security Manager starten

Der Deep Security Manager-Dienst startet automatisch nach der Installation. Der Dienst kann über die MicrosoftServices Management Console gestartet, neu gestartet und gestoppt werden. Der Dienstname lautet „Trend Micro Deep Security Manager“. Um die webbasierte Verwaltungskonsole auszuführen, gehen Sie zur Trend Micro-Programmgruppe im Startmenü (MS Windows) oder K-Menü (X Windows) und klicken Sie auf Deep Security Manager. Um die webbasierte Verwaltungskonsole von einem Remote-Computer aus auszuführen, müssen Sie sich die URL https://[Hostname]:[Port]/ notieren, wobei [Hostname] der Hostname des Servers ist, auf dem Sie Deep installiert haben Security Manager und [Port] ist der „Manager-Port“, den Sie in Schritt 8 der Installation angegeben haben (standardmäßig 4119). Benutzer, die auf die webbasierte Verwaltungskonsole zugreifen, müssen sich mit ihren Benutzerkonto-Anmeldeinformationen anmelden. (Die während der Installation erstellten Anmeldeinformationen können zum Anmelden und Erstellen anderer Benutzerkonten verwendet werden.)

Manuelles Importieren zusätzlicher Deep-Security-Software

Deep Security Agents und ihre unterstützenden Softwarepakete können aus dem Deep Security Manager auf der Seite „Administration > Updates > Software > Download Center“ importiert werden. Andere Softwarepakete müssen manuell von der Trend Micro Download Center-Website (http://downloadcenter.trendmicro.com/) importiert werden. So importieren Sie zusätzliche Deep Security-Software manuell in den Deep Security Manager:

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Managers

http://downloadcenter.trendmicro.com/

1. Laden Sie die Software von der Trend Micro Download Center-Website in ein lokales Verzeichnis herunter.2. Gehen Sie im Deep Security Manager zu Administration > Updates > Software > Lokal und klicken Sie in der Symbolleiste auf Importieren..., um den Assistenten zum Importieren von Software anzuzeigen.3. Verwenden Sie die Option „Durchsuchen...“, um zu Ihrer heruntergeladenen Software zu navigieren und diese auszuwählen.4. Klicken Sie auf Weiter und dann auf Fertig stellen, um den Assistenten zu verlassen.

Die Software wird nun in den Deep Security Manager importiert.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Managers

Installieren des Deep Security Agent

In diesem Abschnitt wird beschrieben, wie Sie Deep Security Agents installieren und aktivieren und wie Sie die Relay-Funktionalität aktivieren (falls erforderlich). Agent-Software importieren

Ein Deep Security Agent wird zunächst nur mit Kernfunktionalität installiert. Erst wenn ein Schutzmodul auf einem Agent aktiviert ist, werden die für dieses Modul erforderlichen Plug-Ins heruntergeladen und installiert. Aus diesem Grund müssen Agent-Softwarepakete in Deep SecurityManager importiert werden, bevor Sie den Agent auf einem Computer installieren. (Ein zweiter Grund für den Import des Agenten in Deep Security Manager ist die Bequemlichkeit, das Agent-Installationsprogramm über die Benutzeroberfläche des Deep Security Managers einfach daraus extrahieren zu können.)So importieren Sie Agent-Softwarepakete in Deep Security:1. Gehen Sie im Deep Security Manager zu Administration > Updates > Software > Download Center. Auf der Download-Center-Seite werden die neuesten Versionen aller von Trend Micro verfügbaren Agent-Software angezeigt.2. Wählen Sie Ihr Agent-Softwarepaket aus der Liste aus und klicken Sie in der Menüleiste auf Importieren. Deep Security beginnt mit dem Herunterladen der Software vom Trend Micro Download Center zum Deep Security Manager.

3. Wenn der Download der Software abgeschlossen ist, wird in der Spalte „Importiert“ für diesen Agenten ein grünes Häkchen angezeigt.

So exportieren Sie das Agent-Installationsprogramm:1. Gehen Sie im Deep Security Manager zu Administration > Updates > Software > Local.2. Wählen Sie Ihren Agenten aus der Liste aus und wählen Sie in der Menüleiste Exportieren > Installationsprogramm exportieren... aus. Wenn Sie ältere Versionen des Agenten für dieselbe Plattform haben, wird die neueste Version der Software in der Spalte Ist aktuell mit einem grünen Häkchen versehen.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Agent

3. Speichern Sie das Agent-Installationsprogramm in einem lokalen Ordner. Verwenden Sie nur das exportierte Agent-Installationsprogrammpaket (die .msi- oder die .rpm-Datei) allein, um den Deep Security Agent zu installieren. Wenn Sie das vollständige Agent-ZIP-Paket extrahieren und dann das Agent-Installationsprogramm aus demselben Ordner ausführen, in dem sich auch die anderen komprimierten Agent-Komponenten befinden, werden alle Sicherheitsmodule installiert (aber nicht aktiviert). Wenn Sie das Kern-Agent-Installationsprogramm verwenden, werden einzelne Module von Deep Security Manager heruntergeladen und nach Bedarf installiert, wodurch die Auswirkungen auf den lokalen Computer minimiert werden. Die „zip“-Dateien des Deep Security Agent werden im Trend Micro Download Center zur Verfügung gestellt für Benutzer, die die Agents manuell in ihre Deep Security-Umgebung importieren müssen, da ihr Deep Security Manager über einen Luftspalt verfügt und keine direkte Verbindung zur Download Center-Website herstellen kann. Benutzern, deren Deep Security Manager eine Verbindung zum Download Center herstellen kann, wird dringend empfohlen, ihre Agent-Softwarepakete über die Deep Security Manager-Schnittstelle zu importieren. Der Versuch, einen Agenten zu installieren, wenn das entsprechende Softwarepaket nicht in Deep Security Manager importiert wurde, kann zu schwerwiegenden Problemen führen.

Installieren des Windows-Agenten

1. Kopieren Sie die Agent-Installationsdatei auf den Zielcomputer und doppelklicken Sie auf die Installationsdatei, um das Installationspaket auszuführen. Klicken Sie im Begrüßungsbildschirm auf Weiter, um mit der Installation zu beginnen.

2. Endbenutzer-Lizenzvereinbarung: Wenn Sie den Bedingungen der Lizenzvereinbarung zustimmen, wählen Sie „Ich akzeptiere die Bedingungen der Lizenzvereinbarung“ und klicken Sie auf „Weiter“.

3. Zielordner: Wählen Sie den Speicherort aus, an dem Deep Security Agent installiert werden soll, und klicken Sie auf Weiter.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Agent

4. Bereit zur Installation des Trend Micro Deep Security Agent: Klicken Sie auf „Installieren“, um mit der Installation fortzufahren.

5. Abgeschlossen: Wenn die Installation erfolgreich abgeschlossen wurde, klicken Sie auf Fertig stellen.

Der Deep Security Agent ist jetzt auf diesem Computer installiert und wird ausgeführt. Er wird bei jedem Systemstart gestartet. Während einer Installation werden die Netzwerkschnittstellen für einige Sekunden angehalten, bevor sie wiederhergestellt werden. Wenn Sie DHCP verwenden, wird eine neue Anfrage generiert, die möglicherweise zu einer neuen IP-Adresse für die wiederhergestellte Verbindung führt.

Die Installation des Deep Security Agent über den Windows-Remotedesktop wird NICHT empfohlen, da es während des Installationsvorgangs zu einem vorübergehenden Verbindungsverlust kommt. Wenn Sie jedoch beim Starten von Remote Desktop den folgenden Befehlszeilenschalter verwenden, kann das Installationsprogramm nach einem Verbindungsverlust auf dem Server fortgesetzt werden. Verwenden Sie unter Windows Server 2008 oder Windows Vista SP1 und höher oder Windows XP SP3 und höher:

mstsc.exe /admin

Verwenden Sie in früheren Windows-Versionen:

mstsc.exe /console

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Agent

Installieren des Red Hat-, SuSE- oder Oracle Linux-Agenten

Die folgenden Anweisungen gelten für Red Hat, SuSE und Oracle Linux. Für die Installation unter SuSE oder Oracle Linux ersetzen Sie Red Hat durch den RPM-Namen von SuSE oder Oracle Linux.

Sie müssen als „root“ angemeldet sein, um den Agenten zu installieren. Alternativ können Sie auch „sudo“.1 verwenden. Kopieren Sie die Installationsdatei auf den Zielcomputer.2. Verwenden Sie „rpm -i“, um das ds_agent-Paket zu installieren:# rpm -i

Vorbereiten... ######################################## [100 %]

1:ds_agent ######################################## [100 %]

Laden der ds_filter_im-Modulversion ELx.x [OK]

ds_agent starten: [OK]

(Verwenden Sie „rpm -U“, um ein Upgrade von einer früheren Installation durchzuführen. Bei diesem Ansatz bleiben Ihre Profileinstellungen erhalten.)3. Der Deep Security Agent wird bei der Installation automatisch gestartet. Installation des Ubuntu-Agenten

Um unter Ubuntu zu installieren, kopieren Sie die Installationsdatei auf den Zielcomputer und verwenden Sie den folgenden Befehl: sudo dpkg -i wobei das Debian-Paket mit dem Treiber ist, der erstellt und im Verzeichnis /src/ abgelegt wurde. dsa/agent/deb/-Verzeichnis.

Starten, Stoppen und Zurücksetzen des Agenten unter Linux:

Befehlszeilenoptionen:

Um den Agenten zu starten:/etc/init.d/ds_agent start. Um den Agenten zu stoppen:/etc/init.d/ds_agent stop

/etc/init.d/ds_filter stopUm den Agenten zurückzusetzen:/etc/init.d/ds_agent resetUm den Agenten neu zu starten:/etc/init.d/ds_agent restart

Verwenden von Bereitstellungsskripts zum Installieren von Agents

Das Hinzufügen eines Computers zu Ihrer Liste geschützter Ressourcen in Deep Security und das Implementieren des Schutzes ist ein mehrstufiger Prozess. Die meisten dieser Schritte können lokal über die Befehlszeile auf dem Computer ausgeführt werden und können daher per Skript ausgeführt werden. Auf den DeploymentScript-Generator des Deep Security Managers kann über das Hilfemenü des Managers zugegriffen werden.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Agent

So generieren Sie ein Bereitstellungsskript:1. Starten Sie den Bereitstellungsskript-Generator, indem Sie im Hilfemenü des Deep Security Managers (oben rechts im Deep Security Manager-Fenster) auf Bereitstellungsskripte... klicken. Wählen Sie die Plattform aus, auf der Sie die Software bereitstellen. Die im Dropdown-Menü aufgeführten Plattformen entsprechen der Software, die Sie in Deep SecurityManager importiert haben.

3. Wählen Sie „Agent automatisch aktivieren“ aus. (Optional, aber Agenten müssen vom Deep Security Manager aktiviert werden, bevor eine Schutzrichtlinie implementiert werden kann.)4. Wählen Sie die Richtlinie aus, die Sie auf dem Computer implementieren möchten (optional)5. Wählen Sie die Computergruppe aus (optional)6. Wählen Sie die Relay-Gruppe aus. Wenn Sie die oben genannten Auswahlen treffen, generiert der Bereitstellungsskriptgenerator ein Skript, das Sie in das Bereitstellungstool Ihrer Wahl importieren können.

Der Deployment Script Generator kann auch über die Menüleiste auf der Seite Administration > Updates > Software > Lokal gestartet werden.

Die von Deep Security Manager für Windows-Agenten generierten Bereitstellungsskripts müssen in Windows Powershell Version 2.0 oder höher ausgeführt werden. Sie müssen Powershell als Administrator ausführen und möglicherweise den folgenden Befehl ausführen, um Skripte ausführen zu können:

Set-ExcecutionPolicy RemoteSigned

Auf Windows-Rechnern verwendet das Bereitstellungsskript dieselben Proxy-Einstellungen wie das lokale Betriebssystem. Wenn das lokale Betriebssystem für die Verwendung eines Proxys konfiguriert ist und der Deep Security Manager nur über eine direkte Verbindung zugänglich ist, schlägt das Bereitstellungsskript fehl.

Iptables unter Linux

Iptables unter Linux werden unterstützt und bleiben nur mit 9.5 aktiviert. Wenn Sie einen älteren Agenten haben, müssen Sie wie unten beschrieben vorgehen: Um den Deep Security Agent ohne Auswirkungen auf iptables auszuführen, erstellen Sie die folgende leere Datei:/etc/use_dsa_with_iptables

Wenn der Deep Security Agent das Vorhandensein der Datei erkennt, sind iptables beim Start des ds_filter-Dienstes nicht betroffen.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Agent

Für SuSE 11 auf dem Zielrechner vor Beginn des Installationsvorgangs:in:/etc/init.d/jexec

after# Erforderlicher Start: $local_fs

Fügen Sie die Zeile hinzu:# Required-Stop:

Aktivieren des Agenten

Der Agent muss über Deep Security Manager aktiviert werden, bevor er als Relay oder zum Schutz des Hostcomputers konfiguriert werden kann. So aktivieren Sie den neu installierten Agenten: 1. Gehen Sie im Deep Security Manager zur Seite „Computer“ und klicken Sie auf „Neu“ > „Neuer Computer...“, um den Assistenten für neue Computer anzuzeigen.

2. Geben Sie den Hostnamen oder die IP-Adresse des Computers ein. Wenn Sie den Agenten zum Schutz des Host-Computers verwenden und gleichzeitig als Relay fungieren möchten, wählen Sie im Menü „Richtlinie“ eine Deep Security-Richtlinie aus. Andernfalls lassen Sie die Richtlinie auf „Keine“ eingestellt.

3. Der Assistent bestätigt, dass er den Agenten auf dem Computer aktiviert und eine Sicherheitsrichtlinie anwendet (falls eine ausgewählt wurde).

4. Deaktivieren Sie im letzten Bildschirm die Option „Computerdetails beim ‚Schließen‘ öffnen“ und klicken Sie auf „Schließen“.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Agent

5. Der Agent ist nun aktiviert. Gehen Sie im Deep Security Manager zum Bildschirm „Computer“ und überprüfen Sie den Status des Computers. Es sollte „Verwaltet (Online)“ angezeigt werden.

Aktivieren der Relay-Funktionalität

Jeder aktivierte 64-Bit-Windows- oder Linux-Agent kann so konfiguriert werden, dass er als Relay fungiert und Sicherheits- und Softwareupdates herunterlädt und verteilt. Sobald die Relay-Funktionalität auf einem Agent aktiviert ist, kann sie nicht mehr deaktiviert werden.

So aktivieren Sie die Relay-Funktionalität:1. Gehen Sie im Deep Security Manager zur Seite „Computer“ und doppelklicken Sie auf den Computer mit dem neu aktivierten Agenten, um dessen Fenster „Details“ anzuzeigen.2. Gehen Sie im Computereditor zum Bereich „Übersicht“ > „Aktionen“ > „Software“ und klicken Sie auf „Relay aktivieren“. Klicken Sie auf Schließen, um das Editorfenster zu schließen.

3. Im Deep Security Manager auf der Seite „Computer“ ändert sich das Symbol des Computers von „normaler Computer“ ( ) zu „Computer mit Relay-aktiviertem Agenten“ ( ). Klicken Sie auf das Vorschausymbol, um das Vorschaufenster anzuzeigen, in dem Sie die Anzahl der Aktualisierungskomponenten sehen können, die das Relaismodul zur Verteilung bereit ist.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren des Deep Security Agent

Installieren und Konfigurieren eines Relay-fähigen Agenten

Das Deep Security Relay ist ein Deep Security Agent mit aktivierter Relay-Funktionalität. Relays laden Sicherheits- und Softwareupdates herunter und verteilen sie an Ihre Deep Security Agents und Appliances. Sie müssen über mindestens ein Deep Security Relay verfügen, um Ihren Schutz auf dem neuesten Stand zu halten. Installieren und aktivieren Sie einen Deep Security Agent

Wenn Sie noch keinen Agenten auf Ihrem Computer installiert haben, befolgen Sie dazu die Anweisungen unter Installieren des Deep Security Agenten (Seite 27). Sie fahren mit dem Abschnitt „Manuelle Installation“ fort. Sobald der Agent installiert ist, müssen Sie ihn aktivieren. Um den Agenten zu aktivieren, 1. Gehen Sie im Deep Security Manager zur Seite „Computer“.2. Klicken Sie in der Menüleiste auf Neu > Neuer Computer..., um den Assistenten für neue Computer anzuzeigen.3. Geben Sie als Hostname den Hostnamen oder die IP-Adresse des Computers ein, auf dem Sie gerade den Agenten installiert haben.4. Wählen Sie unter Richtlinie eine Richtlinie basierend auf dem Betriebssystem Ihres Computers aus.5. Behalten Sie für „Sicherheitsupdates herunterladen von“ die Standardeinstellung (Standard-Relay-Gruppe) bei.6. Klicken Sie auf Fertig stellen. Deep Security Manager importiert den Computer auf seine Seite „Computer“ und aktiviert den Agenten.

Aktivieren Sie die Relay-Funktionalität auf einem Deep Security Agent

So aktivieren Sie die Relay-Funktionalität auf einem installierten Deep Security Agent:1. Das Hinzufügen eines neuen Computers und der Aktivierungsprozess sollten durch Öffnen des Computer-Editor-Fensters abgeschlossen sein. Ist dies nicht der Fall, befolgen Sie Schritt zwei (unten), um das Fenster zu öffnen.2. Gehen Sie im Deep Security Manager zum Bildschirm „Computer“, suchen Sie den Agenten, auf dem Sie die Relay-Funktionalität aktivieren möchten, und doppelklicken Sie darauf, um das Computer-Editor-Fenster zu öffnen.3. Gehen Sie im Computer-Editor-Fenster zu Übersicht > Aktionen > Software und klicken Sie auf Relay aktivieren. Wenn die Schaltfläche Relay aktivieren nicht angezeigt wird, gehen Sie zu Administration > Updates > Software > Lokal, um zu überprüfen, ob das entsprechende Paket importiert wurde. Stellen Sie außerdem sicher, dass auf dem Computer eine 64-Bit-Version des Agenten ausgeführt wird.

Deep Security Manager installiert die für das Relay-Modul erforderlichen Plug-Ins und der Agent beginnt als Deep Security Relay zu fungieren. Wenn Sie die Windows-Firewall oder iptables ausführen, müssen Sie außerdem eine Firewall-Regel hinzufügen, die TCP/IP zulässt Datenverkehr auf Port 4122 auf dem Relay.

Staffeln sind in Staffelgruppen organisiert. Neue Relays werden automatisch der Standard-Relay-Gruppe zugewiesen. Die Standard-RelayGroup ist so konfiguriert, dass sie Sicherheits- und Softwareupdates von der primären Sicherheitsupdatequelle abruft, die im DeepSecurity Manager auf der Registerkarte „Administration > Systemeinstellungen > Updates“ definiert ist. (Die primäre Update-Quelle sind standardmäßig die Update-Server von TrendMicro, dies ist jedoch konfigurierbar.)

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Installieren und Konfigurieren eines Relay-fähigen Agenten

Überlegungen zur Datenbankbereitstellung

Die Datenbank sollte auf einem separaten dedizierten Computer installiert werden. Microsoft SQL Server

Transportprotokoll

Deep Security 9.5 Installationshandbuch (Basiskomponenten) Überlegungen zur Datenbankbereitstellung

http://msdn.microsoft.com/en-us/library/bb909712(v=vs.90).aspx

http://technet.microsoft.com/en-us/library/ms189272.aspx

Verbindungseinstellungen, die während der Installation von Deep Security Manager verwendet werden.

http://docs.oracle.com/cd/E11882_01/install.112/e41962/ports.htm#BABECFJF

Hohe Verfügbarkeit

Notiz:

Deep Security 9.5 Installationshandbuch (Basiskomponenten) Überlegungen zur Datenbankbereitstellung

http://docs.oracle.com/cd/E11882_01/install.112/e41962/ports.htm#BABECFJF

Upgrade durchführen

Aktualisieren einer einfachen agentenbasierten Installation

Die Schritte zum Upgrade einer grundlegenden agentenbasierten Deep Security 9.0-Installation auf Deep Security 9.5 sind:1. Aktualisieren Sie Ihren Deep Security Manager auf Version 9.52. Installieren Sie mindestens einen Deep Security 9.5 Agent mit aktivierter Relay-Funktionalität.3. Aktualisieren Sie Ihre Deep Security Agents und Relays auf 9.5 (nach Bedarf). Durch den Upgrade-Vorgang werden keine Daten gelöscht oder überschrieben, es ist jedoch immer eine gute Idee, Ihr System vor einem Upgrade zu sichern. Informationen zum Sichern Ihrer 9.0 Deep Security-Daten finden Sie unter „Datenbanksicherung“. und Wiederherstellung“ in der Online-Hilfe zu Deep Security 9.0 oder im Administratorhandbuch.

Aktualisieren Sie Ihren 9.0 Deep Security Manager auf Version 9.5

So aktualisieren Sie Deep Security Manager 9.0 auf Deep Security Manager 9.5:1. Laden Sie das Deep Security Manager 9.5-Installationspaket von der Trend Micro Download Center-Website (http://downloadcenter.trendmicro.com/) in ein lokales Verzeichnis herunter.2. Führen Sie das Installationspaket aus und folgen Sie dabei den Schritten für eine Neuinstallation, die unter „Installieren von Deep Security Manager“ (Seite 20) beschrieben werden, außer wenn die Option „Upgrade“ statt „Überschreiben“ ausgewählt wird. Aktualisieren oder Überschreiben einer vorhandenen Installation

Wenn das Deep Security Manager-Installationsprogramm die 9.0-Version von Deep Security Manager auf Ihrem System erkennt, gibt es Ihnen die Möglichkeit, „die vorhandene Installation zu aktualisieren“ oder „die vorhandene Installation zu überschreiben“. Durch die Aktualisierung der Installation wird der Deep SecurityManager auf die neueste Version aktualisiert, Ihre Sicherheitsprofile, IPS-Regeln, Firewall-Regeln, Anwendungstypen usw. werden jedoch nicht überschrieben und es werden keine Sicherheitseinstellungen geändert, die auf die Computer in Ihrem Netzwerk angewendet wurden. Durch das Überschreiben der vorhandenen Installation werden alle mit der vorherigen Installation verknüpften Daten gelöscht und anschließend die neuesten Filter, Regeln, Profile usw. installiert. Stellen Sie einen Deep Security 9.5 Relay-fähigen Agenten bereit

In Deep Security 9.0 war das Deep Security Relay ein eigenständiges Teil der Deep Security-Software, das in dieser Version die Sicherheits- und Software-Update-Distributionen bereitstellte. In Deep Security 9.5 wurde die Relay-Funktionalität als Modul in jeden 64-Bit-Windows- und Linux-Agent integriert. Deep Security Manager 9.5 unterstützt weiterhin 9.0-Relays, jedoch:• 9.5-Agenten können nicht durch 9.0-Relays (und daher ein 9.5-Relay) aktualisiert werden. (aktivierter Agent ist erforderlich)• 9.0-Relays und 9.5-Relay-aktivierte Agenten können nicht in derselben Relay-Gruppe sein. Das empfohlene Verfahren besteht darin, Ihre Deep Security 9.0-Relays durch 9.5-Relay-aktivierte Agenten zu ersetzen. Windows-Relays können über den Deep Security Manager aktualisiert werden. Linux-Relays müssen manuell deinstalliert und durch eine Neuinstallation eines 9.5-Linux-Agenten ersetzt werden. Um eine Neuinstallation eines 9.5-Deep-Security-Agenten durchzuführen und ihn als Relay zu aktivieren, siehe Installieren des Deep-Security-Agenten (Seite 27).

Wenn Sie die Funktionalität des 9.5 Relay-fähigen Agenten testen möchten, bevor Sie alle Ihre 9.0 Relays austauschen, können Sie einen einzelnen 9.5 Relay-fähigen Agenten installieren und ihn in einer eigenen Relay-Gruppe platzieren (da 9.0 Relays nicht mit 9.5 Relay-aktiviert sein können). Agenten in derselben Relay-Gruppe) und weisen Sie der neuen Relay-Gruppe einige VMs zu.

Notiz:

Deep Security 9.5 Installationshandbuch (Basiskomponenten) Upgrade einer einfachen Agent-basierten Installation

http://downloadcenter.trendmicro.com/

Aktualisieren Sie vorhandene Deep Security Agents und Relays

Deep Security Agents und Relays müssen die gleiche oder eine niedrigere Version haben als der Deep Security Manager, der zur Verwaltung verwendet wird. Der Deep Security Manager muss immer vor den Deep Security Agents und Relays aktualisiert werden.

Stellen Sie bei der Planung des Upgrades Ihrer Agenten und Relays von 9.0 auf 9.5 sicher, dass Ihre 9.5-Agenten Relay-Gruppen zugewiesen werden, die nur 9.5-Relays enthalten. Sie sollten alle Relays in einer Gruppe auf 9.5 aktualisieren (oder eine neue 9.5-Gruppe erstellen), bevor Sie 9.5-Agenten für den Empfang von Updates von der Gruppe konfigurieren.

Deep Security 9.0-Agenten können über die Deep Security Manager-Schnittstelle (oder durch manuelles lokales Upgrade) aktualisiert werden, die Agentensoftware muss jedoch zuerst in den Deep Security Manager importiert werden. Deep Security 9.0-Windows-Relays können mithilfe von auf 9.5 Relay-fähige Agenten aktualisiert werden Deep Security Manager-Schnittstelle (oder durch manuelles lokales Upgrade). Deep Security 9.0 Linux-Relays können nicht aktualisiert werden. Sie müssen deinstalliert und durch eine Neuinstallation eines 9.5-Linux-Agenten ersetzt werden. (Anweisungen finden Sie weiter unten unter Upgrade eines Relays unter Linux.) So importieren Sie Agent-Softwarepakete in Deep Security:1. Gehen Sie im Deep Security Manager zu Administration > Updates > Software > Download Center. Auf der Download-Center-Seite werden die neuesten Versionen aller von Trend Micro verfügbaren Agent-Software angezeigt.2. Wählen Sie Ihr Agent-Softwarepaket aus der Liste aus und klicken Sie in der Menüleiste auf Importieren. Deep Security beginnt mit dem Herunterladen der Software vom Trend Micro Download Center zum Deep Security Manager.

3. Wenn der Download der Software abgeschlossen ist, wird in der Spalte „Importiert“ für diesen Agenten ein grünes Häkchen angezeigt.

So aktualisieren Sie Deep Security Agents und Windows Deep Security Relays mit dem Deep Security Manager:1. Gehen Sie im Deep Security Manager zum Bildschirm „Computer“.2. Suchen Sie den Computer, auf dem Sie den Agent oder das Relay aktualisieren möchten.3. Klicken Sie mit der rechten Maustaste auf den Computer und wählen Sie Aktionen > Agent-Software aktualisieren.4. Die neue Agent-Software wird an den Computer gesendet und der Agent oder das Relay wird aktualisiert. Sie können alle Agenten oder Relays manuell lokal auf einem Computer aktualisieren. Befolgen Sie dazu die Anweisungen unter Installieren des Deep Security Agent (Seite 27).

Notiz:

Deep Security 9.5 Installationshandbuch (Basiskomponenten) Upgrade einer einfachen Agent-basierten Installation

Status des Schutzmoduls nach dem Upgrade

Änderungen an den 9.5 Deep Security Windows- und Linux-Agenten seit Version 9.0 führen dazu, dass je nach Plattform nicht alle Schutzmodule, die auf einem 9.0-Agenten aktiviert wurden, nach dem Upgrade auf einem 9.5-Agenten aktiviert bleiben. Die folgende Tabelle zeigt, welche Module von einem Upgrade betroffen sind:Feature Windows Linux

AM Keine Änderung UninstalledIM Deinstalliert DeinstalliertWRS/FW/IPS Deinstalliert DeinstalliertLI Deinstalliert Deinstalliert

Aktualisieren Sie ein Relay unter Linux

Sie können den Befehl im Menü „Aktionen“ nicht verwenden, um ein Relay von 9.0 SP1 auf 9.5 unter Linux zu aktualisieren. So aktualisieren Sie ein 9.0 Relay auf 9.5 unter Linux:1. Aktualisieren Sie Deep Security Manager auf Version 9.5.2. Importieren Sie Agent-platform-9.5.build.zip in Deep Security Manager.3. Deaktivieren Sie das Relay, das Sie aktualisieren möchten, und deinstallieren Sie es anschließend.4. Installieren Sie Agent-Core-platform-9.5.build.rpm auf dem Agent-Computer.5. Aktivieren Sie das Relay. So konvertieren Sie ein 9.0-Relay in einen 9.5-Agenten unter Linux:1. Aktualisieren Sie Deep Security Manager auf Version 9.5.2. Importieren Sie Agent-platform-9.5.build.zip in Deep Security Manager.3. Deaktivieren Sie das Relay, das Sie aktualisieren möchten.4. Löschen Sie das Relay aus Deep Security Manager.5. Deinstallieren Sie das Relay.6. Installieren Sie Agent-Core-platform-9.5.build.rpm auf dem Agent-Computer.7. Fügen Sie in Deep Security Manager den Computer hinzu (Computer > Neu > Neuer Computer).

Deep Security 9.5 Installationshandbuch (Basiskomponenten) Upgrade einer einfachen Agent-basierten Installation

Schnellstart

Schnellstart: Systemkonfiguration

In dieser Schnellstartanleitung wird die anfängliche grundlegende Deep Security-Systemkonfiguration beschrieben, die erforderlich ist, bevor Sie mit dem Schutz Ihrer Computerressourcen beginnen können. Um die grundlegende Deep Security-Systemkonfiguration abzuschließen, müssen Sie Folgendes tun: 1. Stellen Sie sicher, dass Ihr Relay-fähiger Agent betriebsbereit ist2. Konfigurieren Sie die Fähigkeit von Deep Security, Updates von Trend Micro3 abzurufen. Überprüfen Sie, ob Sie über eine geplante Aufgabe zur Durchführung regelmäßiger Updates4 verfügen. Richten Sie E-Mail-Benachrichtigungen über wichtige Ereignisse ein. Stellen Sie sicher, dass Ihr Relay-fähiger Agent betriebsbereit ist

Das Relay ist dafür verantwortlich, Sicherheitsupdates von Trend Micro abzurufen und an Ihre geschützten Computer zu verteilen. Wenn Sie während der Installation des Deep Security Managers keinen am gleichen Ort befindlichen Relay-fähigen Agenten installiert haben, müssen Sie einen Relay-fähigen Agenten installieren, bevor Sie fortfahren können. (Siehe Installieren und Konfigurieren eines Relay-fähigen Agenten (Seite 35).)

Starten Sie die Deep Security Manager-Verwaltungskonsole und navigieren Sie zur Seite „Computer“. Ihr Relay-aktivierter Agent sollte in der Computerliste angezeigt werden und durch ein „Computer“-Symbol mit einem Relay-Logo ( ) gekennzeichnet sein. In der Statusspalte sollte „Verwaltet (Online)“ angezeigt werden.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Systemkonfiguration

Relays werden immer in Relay-Gruppen organisiert, auch wenn es nur die eine „Standard-Relay-Gruppe“ ist, der alle neuen Relays zugewiesen werden. Sie können mehrere Relay-Gruppen erstellen, wenn Sie über eine große Anzahl von Computern verfügen und eine hierarchische Relay-Struktur erstellen möchten oder wenn Ihre Computer über große geografische Gebiete verteilt sind. Weitere Informationen zu Relay-Gruppen finden Sie unter Relay-Gruppen in der Online-Hilfe. Um Ihre Deep Security Relays anzuzeigen, gehen Sie zu Administration > Updates > Relay-Gruppen.

Dadurch werden Ihre aktuellen Relay-Gruppen auf der Relay-Gruppen-Seite angezeigt. Normalerweise verfügen Sie nur über die einzelne Standard-Relay-Gruppe. Doppelklicken Sie auf die Standard-Relay-Gruppe, um das Fenster „Relay-Gruppen-Eigenschaften“ anzuzeigen:

Im Bereich „Mitglieder“ des Fensters „Eigenschaften der Relay-Gruppe“ werden die Relays angezeigt, die Mitglieder der Gruppe sind. Wenn sich im Bereich „Mitglieder“ keine Computer befinden, lesen Sie „Konfigurieren des Deep Security Relay“ im Installationshandbuch.

Konfigurieren Sie die Fähigkeit von Deep Security, Updates von Trend Micro abzurufen

Nachdem Sie nun bestätigt haben, dass Sie über ein Relay verfügen, können Sie das Relay in Ihrer Computerliste finden und prüfen, ob es Updates von Trend Micro abrufen kann. Gehen Sie zur Seite „Verwaltung“ > „Updates“ > „Sicherheit“ und klicken Sie auf „Nach Updates suchen und herunterladen“. .-Schaltfläche unter Musteraktualisierungen.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Systemkonfiguration

Dadurch wird der Assistent zum Herunterladen von Mustern angezeigt, der die Trend Micro Update-Server kontaktiert, die neuesten Anti-MalwarePattern-Updates herunterlädt und sie an Ihre Computer verteilt. (Dies ist das Standardverhalten. Sie können die automatische Verteilung von Sicherheitsupdates auf der Registerkarte „Administration > Systemeinstellungen > Updates“ konfigurieren.) Wenn der Assistent nach Abschluss die Erfolgsmeldung anzeigt, bedeutet dies, dass Ihr Relay-aktivierter Agent mit den Update-Servern kommunizieren kann:

Überprüfen Sie, ob Sie über eine geplante Aufgabe zur Durchführung regelmäßiger Updates verfügen

Da Sie nun wissen, dass Ihr Relay mit den Update-Servern kommunizieren kann, sollten Sie eine geplante Aufgabe erstellen, die regelmäßig Sicherheitsupdates abruft und verteilt. Gehen Sie zu Verwaltung > Geplante Aufgaben. Dort sollte mindestens eine geplante Aufgabe namens „Standardaufgabe zur Überprüfung auf Sicherheitsupdates“ angezeigt werden:

Doppelklicken Sie auf die geplante Aufgabe, um das Fenster „Eigenschaften“ anzuzeigen:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Systemkonfiguration

Beachten Sie, dass (in diesem Fall) die Aufgabe „Tägliche Suche nach Sicherheitsupdates“ so eingestellt ist, dass sie jeden Tag um 12:55 Uhr ein Sicherheitsupdate durchführt. Wenn Sie keine Aufgabe „Tägliche Suche nach Sicherheitsupdates“ in Ihrer Liste haben, können Sie eine erstellen Klicken Sie in der Symbolleiste der Seite „Geplante Aufgabe“ auf „Neu“ und befolgen Sie die Anweisungen im Assistenten „Neue geplante Aufgabe“.

Aktualisiert die Konfiguration in den Systemeinstellungen

Um die feineren Details des Update-Verhaltens zu konfigurieren, gehen Sie im Deep Security Manager zur Registerkarte „Updates“ unter „Administration > Systemeinstellungen“.

Im Bereich „Sicherheitsaktualisierungen“ können Sie die folgenden Optionen konfigurieren (obwohl die Standardeinstellungen empfohlen werden): • Primäre Aktualisierungsquelle: Dies ist die Quelle, zu der die Relays in allen Relay-Gruppen für tiefgreifende Sicherheitsregel- und Musteraktualisierungen gehen, an die sie dann verteilen können Agenten und virtuelle Appliances. (Ändern Sie dies nur, wenn Sie von Ihrem Support-Anbieter dazu angewiesen wurden.)• Muster: Muster werden vom Anti-Malware-Modul verwendet. Die Standardeinstellungen ermöglichen es Agenten und virtuellen Appliances, Musteraktualisierungen direkt von der primären Sicherheitsupdatequelle (oben) herunterzuladen, wenn sie aus irgendeinem Grund keine Verbindung zu einem Relay oder dem Deep Security Manager herstellen können. (Zum Beispiel aufgrund lokaler Verbindungsprobleme oder wenn es sich bei dem Computer um einen Roaming-Laptop handelt.)

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Systemkonfiguration

• Regeln: Aktualisierungen der Deep Security-Regeln, die von den Schutzmodulen Firewall, Intrusion Prevention, Log Inspection und Integrity Monitoring verwendet werden, müssen in Richtlinien auf der Deep Security Manager-Ebene integriert werden, bevor sie an Agenten und virtuelle Appliances gesendet werden können. Diese Einstellung (standardmäßig aktiviert) integriert Regelaktualisierungen automatisch in die Richtlinien im Deep SecurityManager. In jeder Sicherheitsrichtlinie gibt es eine weitere Einstellung (ebenfalls standardmäßig aktiviert), um Computer automatisch zu aktualisieren, wenn eine Änderung an der Sicherheitsrichtlinie vorgenommen wurde in Benutzung. Diese Einstellung finden Sie im Richtlinien-/Computer-Editor (im Detailfenster) unter „Einstellungen“ > „Computer“ > „Richtlinienänderungen sofort senden“.

• Relays: Die beiden Einstellungen unter Relays bestimmen, ob Deep Security Updates für ältere 9.0- und frühere Versionen der Agents und Appliances importiert. Die Architektur des Sicherheitsupdates hat sich seit 9.0 erheblich geändert und die Formate der Updates für 9.0 und 9.5 sind unterschiedlich. Laden Sie keine Updates für ältere Agenten herunter, wenn Sie dies nicht tun, da dies unnötig Bandbreite und Speicherplatz verbrauchen würde. Ebenso laden Sie Muster für alle „Regionen“ (abhängig von der Sprache) nur herunter, wenn Sie Agenten oder Appliances in mehreren Regionen ausführen. Wenn Sie diese Option deaktiviert lassen, wird nur das Paket verteilt, das für die Region entwickelt wurde, in der Ihr Deep Security Manager installiert ist. Im Bereich „Softwareaktualisierungen“ können Sie die folgenden Optionen konfigurieren (obwohl die Standardeinstellungen empfohlen werden): • Trend Micro Download Center: Standardmäßig Deep Security lädt „Updates für importierte Software automatisch herunter“. TrendMicro wird regelmäßig aktualisierte Builds bereits veröffentlichter Agent- und Appliance-Software herausgeben. Wenn Sie diese Option festlegen, werden automatisch Updates für alle Software heruntergeladen, die Sie bereits in Deep Security importiert haben (sichtbar unter „Administration“ > „Updates“ >).

Software > Lokale Seite) aus dem Trend Micro Download Center (die im Trend Micro Download Center verfügbare Software finden Sie auf der Seite Verwaltung > Updates > Software > Download Center.) Die Installation der Software muss nach dem Herunterladen manuell initiiert werden . Dieser letzte Schritt kann nicht automatisiert werden.

Im Abschnitt „Versionskontrolle der virtuellen Appliance“ können Sie steuern, welche Versionen der Schutzmodule auf einer neu aktivierten virtuellen Appliance installiert werden. Die Deep Security Virtual Appliance wird mit Basisversionen der Protection Module-Plug-Ins geliefert. Die Appliance ist für Updates auf die Plug-Ins angewiesen, die mit dem 64-Bit-Red-Hat-Agent-Softwarepaket geliefert werden. Standardmäßig verwendet die Appliance die neueste Version des Red Hat-Pakets, das in Deep Security importiert wurde (auf der Seite Updates > Software > Lokal). Möglicherweise möchten Sie jedoch steuern, welche Version der Schutzmodule installiert werden, und Sie können dies tun Verwenden dieser Einstellung. Weitere Informationen zu den auf dieser Seite verfügbaren Konfigurationsoptionen finden Sie in der zugehörigen Online-Hilfe im DeepSecurity Manager.

Richten Sie E-Mail-Benachrichtigungen über wichtige Ereignisse ein

Deep Security Alerts werden ausgelöst, wenn Situationen auftreten, die besondere Aufmerksamkeit erfordern. Warnungen können aufgrund von Sicherheitsereignissen wie der Erkennung von Malware oder einem abnormalen Neustart auf einem geschützten Computer ausgelöst werden, oder es kann sich um Systemereignisse handeln, z. B. wenn der Speicherplatz des Deep Security Managers zur Neige geht. Deep Security kann so konfiguriert werden, dass E-Mail-Benachrichtigungen gesendet werden, wenn bestimmte Warnungen ausgelöst werden. Um zu konfigurieren, welche Warnungen eine E-Mail-Benachrichtigung generieren, gehen Sie zur Seite Warnungen und klicken Sie auf Warnungen konfigurieren..., um die Liste der DeepSecurity-Warnungen anzuzeigen:

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Systemkonfiguration

Doppelklicken Sie auf eine Warnung. Sehen Sie sich das Fenster „Eigenschaften“ an, in dem Sie die Optionen für die E-Mail-Benachrichtigung festlegen können:

Jetzt müssen Sie Ihr Benutzerkonto so konfigurieren, dass es die E-Mail-Benachrichtigungen erhält, die Deep Security versendet. Gehen Sie zu Administration > Benutzerverwaltung > Benutzer und doppelklicken Sie auf Ihr Benutzerkonto, um dessen Eigenschaftenfenster anzuzeigen. Gehen Sie zur Registerkarte „Kontaktinformationen“, geben Sie eine E-Mail-Adresse ein und wählen Sie die Option „Benachrichtigungs-E-Mails erhalten“:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Systemkonfiguration

Damit Deep Security E-Mail-Benachrichtigungen senden kann, muss es mit einem SMTP-Server kommunizieren können (für E-Mail-Benachrichtigungen ist der Zugriff auf einen SMTP-Server erforderlich). Um den Deep Security Manager mit Ihrem SMTP-Server zu verbinden, gehen Sie zur Registerkarte Verwaltung > Systemeinstellungen > SMTP:

Füllen Sie die erforderlichen Felder im SMTP-Bereich aus und klicken Sie unten auf der Seite auf „SMTP-Einstellungen testen“, wenn Sie fertig sind. Sie sollten die Meldung Testverbindung zum SMTP-Server erfolgreich sehen sehen:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Systemkonfiguration

Wenn Sie keine Verbindung zu Ihrem SMTP-Server herstellen können, stellen Sie sicher, dass der Manager über Port 25 eine Verbindung zum SMTP-Server herstellen kann.

Die Grundkonfiguration ist abgeschlossen

Damit ist die grundlegende Deep Security-Systemkonfiguration abgeschlossen. Deep Security ist jetzt so konfiguriert, dass es Trend Micro regelmäßig für Sicherheitsupdates kontaktiert und diese Updates regelmäßig verteilt. Außerdem werden Ihnen E-Mail-Benachrichtigungen gesendet, wenn Warnungen ausgelöst werden. Jetzt müssen Sie den Deep Security-Schutz auf Ihre Computer anwenden. Weitere Informationen zum Schutz von Computerressourcen finden Sie unter QuickStart: Schützen eines Computers (Seite 51).

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Systemkonfiguration

Schnellstart: Einen Computer schützen

Im Folgenden wird beschrieben, wie Sie Deep Security zum Schutz eines Windows Server 2008-Computers verwenden. Es umfasst die folgenden Schritte:1. Hinzufügen des Computers zum Deep Security Manager.2. Konfigurieren und Ausführen eines Empfehlungsscans3. Scan-Empfehlungen automatisch umsetzen4. Erstellen Sie eine geplante Aufgabe, um regelmäßige Empfehlungsscans durchzuführen5. Überwachen der Aktivität mit dem Deep Security ManagerWir gehen davon aus, dass Sie den Deep Security Manager bereits auf dem Computer installiert haben, von dem aus Sie die Deep Security Agents in Ihrem Netzwerk verwalten möchten. Wir gehen außerdem davon aus, dass Sie DeepSecurity Agent auf dem Computer, den Sie schützen möchten, installiert (aber nicht aktiviert) haben. Und schließlich gehen wir davon aus, dass Sie über ein Deep Security Relay verfügen, von dem Deep Security die neuesten Sicherheitsupdates herunterladen kann. Wenn eine dieser Anforderungen nicht erfüllt ist, lesen Sie im Installationshandbuch nach, wie Sie zu diesem Schritt gelangen.

Hinzufügen des Computers zum Deep Security Manager

Es gibt mehrere Möglichkeiten, Computer zur Seite „Computer“ des Deep Security Managers hinzuzufügen. Sie können Computer hinzufügen, indem Sie: • Computer einzeln aus einem lokalen Netzwerk hinzufügen, indem Sie ihre IP-Adressen oder Hostnamen angeben. • Computer in einem lokalen Netzwerk durch Scannen des Netzwerks erkennen. • Eine Verbindung zu einem Microsoft Active Directory herstellen und eine Liste von Computern importieren. • Eine Verbindung zu einer VMware herstellen vCenter und Importieren einer Liste von Computern • Herstellen einer Verbindung zu Computerressourcen der folgenden Cloud-Anbieterdienste:◦ Amazon EC2◦ VMware vCloud

Für die Zwecke dieser Übung fügen wir einen Computer aus einem lokalen Netzwerk hinzu. Sobald jedoch ein Computer zum Manager hinzugefügt wird, sind die Schutzverfahren dieselben, unabhängig davon, wo sich der Computer befindet. So fügen Sie einen Computer aus einem lokalen Netzwerk hinzu: 1. Gehen Sie in der Deep Security Manager-Konsole zur Seite „Computer“, klicken Sie in der Symbolleiste auf „Neu“ und wählen Sie „Neuer Computer...“ aus dem Dropdown-Menü aus.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Schützen eines Computers

2. Geben Sie im Assistenten „Neuer Computer“ den Hostnamen oder die IP-Adresse des Computers ein und wählen Sie aus der Richtlinienstruktur im Dropdown-Menü eine entsprechende Sicherheitsrichtlinie zur Anwendung aus. (In diesem Fall wählen wir die Windows Server 2008-Richtlinie aus.) Klicken Sie auf Weiter.

3. Der Assistent kontaktiert den Computer, fügt ihn zur Seite „Computer“ hinzu, erkennt den nicht aktivierten Agenten, aktiviert ihn und wendet die ausgewählte Richtlinie an. Klicken Sie auf Fertig stellen.

Ein Agent kann so konfiguriert werden, dass er bei der Installation automatisch seine eigene Aktivierung initiiert. Einzelheiten finden Sie unter „Befehlszeilen-Dienstprogramme“ im Abschnitt „Referenz“ der Online-Hilfe.

4. Wenn der Computer hinzugefügt wurde, zeigt der Assistent eine Bestätigungsmeldung an:

5. Deaktivieren Sie die Option „Computerdetails beim Schließen“ öffnen und klicken Sie auf „Schließen“. Der Computer wird nun in der Liste der verwalteten Computer des Deep Security Managers auf der Seite „Computer“ angezeigt. Nach der Aktivierung lädt Deep Security automatisch die neuesten Sicherheitsupdates auf den Computer herunter. Außerdem ist in der Windows Server 2008-Richtlinie, die dem Computer zugewiesen wurde, die Integritätsüberwachung aktiviert, und es wird mit dem Erstellen einer Basislinie für die Integritätsüberwachung für den Computer begonnen. In der Statusleiste des Manager-Fensters können Sie die aktuell ausgeführten Aktivitäten sehen:

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Schützen eines Computers

Sobald Deep Security Manager seine ersten Aufgaben nach der Aktivierung abgeschlossen hat, sollte der Status des Computers als „Verwaltet (Online)“ angezeigt werden. Weitere Informationen sind für jede Seite im Deep Security Manager verfügbar, indem Sie auf die Schaltfläche „Hilfe“ in der Menüleiste klicken.

Konfigurieren und Ausführen eines Empfehlungsscans

Die Sicherheitsrichtlinie, die wir dem Computer zugewiesen haben, besteht aus einer Sammlung von Regeln und Einstellungen, die für einen Computer mit dem Betriebssystem Windows Server 2008 entwickelt wurden. Allerdings kann eine statische Richtlinie schnell veraltet sein. Dies kann darauf zurückzuführen sein, dass neue Software auf dem Computer installiert wird, dass neue Schwachstellen im Betriebssystem entdeckt wurden, für die Trend Micro neue Schutzregeln erstellt hat, oder dass eine frühere Schwachstelle durch ein Betriebssystem oder ein Software-Service Pack behoben wurde. Aufgrund der dynamischen Natur der Sicherheitsanforderungen auf einem Computer sollten Sie regelmäßig Empfehlungsscans ausführen, die den aktuellen Status des Computers bewerten und ihn mit den neuesten Updates des Deep Security-Schutzmoduls vergleichen, um festzustellen, ob die aktuelle Sicherheitsrichtlinie aktualisiert werden muss. Empfehlung Scans geben Empfehlungen für die folgenden Schutzmodule: • Intrusion Prevention • Integritätsüberwachung • Protokollinspektion

So führen Sie einen Empfehlungsscan auf Ihrem Computer durch: 1. Gehen Sie im Hauptfenster der Deep Security Manager-Konsole zur Seite „Computer“.2. Klicken Sie mit der rechten Maustaste auf Ihren Computer und wählen Sie Aktionen > Nach Empfehlungen suchen:

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Schützen eines Computers

Während des Empfehlungsscans zeigt der Status Ihres Computers „Nach Empfehlungen suchen“ an. Wenn der Scan abgeschlossen ist und DeepSecurity Empfehlungen hat, wird auf dem Bildschirm „Warnungen“ eine Warnung angezeigt:

So sehen Sie die Ergebnisse des Empfehlungsscans:1. Öffnen Sie den Computereditor für Ihren Computer (Details... in der Menüleiste der Seite „Computer“ oder über das Kontextmenü.)2. Gehen Sie im Computer-Editor-Fenster zur Seite des Intrusion Prevention-Moduls. Im Bereich „Empfehlungen“ der Registerkarte „Allgemein“ sehen Sie die Ergebnisse des Scans:

Der aktuelle Status sagt uns, dass diesem Computer derzeit 179 Intrusion Prevention-Regeln zugewiesen sind. Last Scan for Recommendations sagt uns, dass der letzte Scan am 18. Dezember 2012 um 09:14 Uhr stattgefunden hat. Unresolved Recommendations sagt uns das als Ergebnis von Während des Scans empfiehlt Deep Security, weitere 28 Intrusion Prevention Rules zuzuweisen und die Zuweisung von 111 derzeit zugewiesenen Regeln aufzuheben. Der Hinweis informiert uns darüber, dass 111 der zur Aufhebung der Zuweisung empfohlenen Regeln (wie sich herausstellte alle) auf Richtlinienebene zugewiesen wurden (und nicht direkt hier auf der Computerebene). Die Zuweisung von Regeln, die auf einer Ebene weiter oben in der Richtlinienstruktur zugewiesen wurden, kann nur in der Richtlinie aufgehoben werden, der sie zugewiesen wurden – in diesem Fall der Windows Server 2008-Richtlinie. (Wenn wir den Windows Server 2008-Richtlinieneditor geöffnet hätten, hätten wir dieselben Empfehlungen gesehen und hätten von dort aus die Zuweisung aufheben können.) Uns wurde außerdem mitgeteilt, dass 7 der Regeln, die für die Zuweisung empfohlen werden, nicht automatisch zugewiesen werden können. In der Regel handelt es sich dabei entweder um Regeln, die konfiguriert werden müssen, oder um Regeln, die anfällig für Fehlalarme sind und deren Verhalten im Nur-Erkennungsmodus beobachtet werden sollte

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Schützen eines Computers

wird im Verhinderungsmodus erzwungen. Um zu sehen, welche Regeln für die Zuweisung empfohlen wurden, klicken Sie auf Zuweisen/Zuweisung aufheben..., um das modale Regelzuweisungsfenster für IPS-Regeln anzuzeigen. Wählen Sie dann „Für Zuweisung empfohlen“ aus der zweiten Dropdown-Filterliste aus:

Regeln, die konfiguriert werden müssen, werden durch ein Symbol mit einem kleinen Konfigurationsabzeichen ( ) gekennzeichnet. Um die konfigurierbaren Optionen für eine Regel anzuzeigen, doppelklicken Sie auf die Regel, um deren Eigenschaftenfenster zu öffnen (im lokalen Bearbeitungsmodus) und gehen Sie zur Registerkarte „Konfiguration“. Um eine Regel zuzuweisen, aktivieren Sie das Kontrollkästchen neben ihrem Namen. Um Regeln anzuzeigen, deren Zuweisung aufgehoben werden soll, filtern Sie die Liste der Regeln, indem Sie in derselben Dropdown-Liste die Option „Zum Aufheben der Zuweisung empfohlen“ auswählen. Um die Zuweisung einer Regel aufzuheben, deaktivieren Sie das Kontrollkästchen neben ihrem Namen. Regeln, die auf einem Computer in Kraft sind, weil sie in einer Richtlinie weiter oben in der Richtlinienstruktur zugewiesen wurden, können nicht lokal aufgehoben werden. Die einzige Möglichkeit, die Zuweisung solcher Regeln aufzuheben, besteht darin, die Richtlinie zu bearbeiten, der sie ursprünglich zugewiesen wurden, und die Zuweisung von dort aus aufzuheben. Weitere Informationen zu dieser Art der Regelvererbung finden Sie unter „Richtlinien, Vererbung und Außerkraftsetzungen“ im Abschnitt „Referenz“ der Online-Hilfe.

Scan-Empfehlungen automatisch umsetzen

Sie können Deep Security so konfigurieren, dass nach einem Empfehlungsscan automatisch Regeln zugewiesen bzw. ihre Zuweisung aufgehoben wird. Öffnen Sie dazu den Computer oder den Richtlinieneditor und gehen Sie zu den einzelnen Schutzmodulseiten, die Empfehlungsscans unterstützen (Intrusion, Prevention, IntegrityMonitoring und Log Inspection). Legen Sie im Bereich „Empfehlung“ auf der Registerkarte „Allgemein“ die Option „Intrusion Prevention-Empfehlungen automatisch implementieren (wenn möglich)“ auf „Ja“ fest.

Erstellen Sie eine geplante Aufgabe, um regelmäßige Empfehlungsscans durchzuführen

Durch die Durchführung regelmäßiger Empfehlungsscans wird sichergestellt, dass Ihre Computer durch die neuesten relevanten Regelsätze geschützt sind und dass diejenigen, die nicht mehr benötigt werden, entfernt werden. Sie können eine geplante Aufgabe erstellen, um diese Aufgabe automatisch auszuführen. So erstellen Sie eine geplante Aufgabe:1. Gehen Sie im Hauptfenster von Deep Security Manager zu Administration > Geplante Aufgaben2. Klicken Sie in der Menüleiste auf Neu, um den Assistenten für neue geplante Aufgaben anzuzeigen.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Schützen eines Computers

3. Wählen Sie „Computer nach Empfehlungen durchsuchen“ als Scantyp und dann „Wöchentliche Wiederholung“ aus. Klicken Sie auf Weiter.4. Wählen Sie eine Startzeit, alle 1 Woche und einen Wochentag aus. Klicken Sie auf Weiter.5. Wenn Sie angeben, welche Computer gescannt werden sollen, wählen Sie die letzte Option (Computer) und wählen Sie den zu schützenden Windows Server 2008-Computer aus. Klicken Sie auf Weiter.6. Geben Sie einen Namen für die neue geplante Aufgabe ein. Lassen Sie die Option „Aufgabe ausführen“ auf „Fertig stellen“ deaktiviert (da wir gerade einen Empfehlungsscan ausgeführt haben). Klicken Sie auf „Fertig stellen“. Die neue geplante Aufgabe wird nun in der Liste der geplanten Aufgaben angezeigt. Es wird einmal pro Woche ausgeführt, um Ihren Computer zu scannen und Empfehlungen für Ihren Computer zu geben. Wenn Sie für jedes der drei Schutzmodule, die dies unterstützen, die Option „Empfehlungen automatisch implementieren“ festgelegt haben, führt DeepSecurity die Zuweisung und Aufhebung der Zuweisung durch. Regeln sind erforderlich. Wenn Regeln identifiziert werden, die besondere Aufmerksamkeit erfordern, wird eine Warnung ausgelöst, um Sie zu benachrichtigen.

Planen Sie regelmäßige Sicherheitsupdates

Wenn Sie die unter „Schnellstart: Systemkonfiguration“ (Seite 43) beschriebenen Schritte ausführen, wird Ihr Computer nun regelmäßig mit dem neuesten Schutz von Trend Micro aktualisiert. Überwachen Sie die Aktivität mit dem Deep Security Manager

Das Dashboard

Nachdem dem Computer eine Richtlinie zugewiesen wurde und er eine Zeit lang ausgeführt wurde, möchten Sie möglicherweise die Aktivität auf diesem Computer überprüfen. Der erste Ort, an dem Sie Aktivitäten überprüfen können, ist das Dashboard. Das Dashboard verfügt über viele Informationsbereiche („Widgets“), die verschiedene Arten von Informationen zum Status des Deep Security Managers und der von ihm verwalteten Computer anzeigen. Klicken Sie oben rechts auf der Dashboard-Seite auf Widgets hinzufügen/entfernen, um die anzuzeigen Liste der zur Anzeige verfügbaren Widgets. Im Moment fügen wir die folgenden Widgets aus dem Abschnitt „Firewall“ hinzu: • Firewall-Aktivität (verhindert) • Firewall-IP-Aktivität (verhindert) • Firewall-Ereignisverlauf [2x1] Aktivieren Sie das Kontrollkästchen neben jedem der drei Widgets , und klicken Sie auf OK. Die Widgets werden auf dem Dashboard angezeigt. (Das Generieren der Daten kann etwas Zeit in Anspruch nehmen.)• Das Widget „Firewall-Aktivität (verhindert)“ zeigt eine Liste der häufigsten Gründe dafür an, dass Pakete abgelehnt werden (d. h. vom Agenten auf diesem Computer daran gehindert werden, einen Computer zu erreichen). mit der Anzahl der abgelehnten Pakete. Bei den Elementen in dieser Liste handelt es sich entweder um Paketzurückweisungen oder Firewall-Regeln. Jeder „Grund“ ist ein Link zu den entsprechenden Protokollen für das abgelehnte Paket.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Schützen eines Computers

• Das Widget „Firewall-IP-Aktivität (verhindert)“ zeigt eine Liste der häufigsten Quell-IPs abgelehnter Pakete an. Ähnlich wie beim Widget „Firewall-Aktivität (verhindert)“ ist jede Quell-IP ein Link zu den entsprechenden Protokollen abhängig von der ausgewählten Ansicht). Wenn Sie auf einen Balken klicken, werden die entsprechenden Protokolle für den durch den Balken dargestellten Zeitraum angezeigt.

Beachten Sie die Trendindikatoren neben den numerischen Werten in den Widgets „Firewall-Aktivität (verhindert)“ und „Firewall-IP-Aktivität (verhindert)“. Ein nach oben oder unten zeigendes Dreieck zeigt einen Gesamtanstieg oder -abfall über den angegebenen Zeitraum an, und eine flache Linie zeigt an, dass es keine signifikante Änderung gibt.

Protokolle von Firewall- und Intrusion Prevention-Ereignissen

Führen Sie nun einen Drilldown zu den Protokollen durch, die dem Hauptgrund für abgelehnte Pakete entsprechen: Klicken Sie im Widget „Firewall-Aktivität (verhindert)“ auf den ersten Grund für abgelehnte Pakete. Dadurch gelangen Sie zur Seite „Firewall-Ereignisse“. Auf der Seite „Firewall-Ereignisse“ werden alle Firewall-Ereignisse angezeigt, bei denen der Eintrag in der Spalte „Grund“ dem ersten Grund aus dem Widget „Firewall-Aktivität (verhindert)“ („Außerhalb der zulässigen Richtlinie“) entspricht. Die Protokolle werden gefiltert, um nur die Ereignisse anzuzeigen, die während des Anzeigezeitraums des Dashboards aufgetreten sind (letzte 24 Stunden oder letzte sieben Tage). Weitere Informationen zur Seite „Firewall-Ereignisse“ und „Intrusion Prevention-Ereignisse“ finden Sie auf den Hilfeseiten dieser Seiten.

Informationen zur Bedeutung der verschiedenen Gründe für die Paketablehnung finden Sie unter „Firewall-Ereignisse“ und „Intrusion Prevention-Ereignisse“ im Abschnitt „Referenz“ der Online-Hilfe.

Berichte

Häufig ist eine übergeordnete Ansicht der Protokolldaten erforderlich, in der die Informationen zusammengefasst und in einem leichter verständlichen Format dargestellt werden. Die Berichte erfüllen diese Rolle und ermöglichen Ihnen die Anzeige detaillierter Zusammenfassungen zu Computern, Firewall- und Intrusion Prevention-Ereignisprotokollen , Ereignisse, Warnungen usw. Auf der Seite „Berichte“ können Sie verschiedene Optionen für den zu erstellenden Bericht auswählen. Wir erstellen einen Firewall-Bericht, der eine Aufzeichnung der Firewall-Regel- und Firewall-Statuskonfigurationsaktivität über einen konfigurierbaren Datumsbereich anzeigt. Wählen Sie im Dropdown-Menü „Bericht“ die Option „Firewall-Bericht“ aus. Klicken Sie auf „Generieren“, um den Bericht in einem neuen Fenster zu starten. Indem Sie geplante Berichte überprüfen, die vom Deep Security Manager per E-Mail an Benutzer gesendet wurden, indem Sie sich beim System anmelden und das Dashboard konsultieren, indem Sie detaillierte Untersuchungen durchführen, indem Sie einen Drilldown zu bestimmten Protokollen durchführen, usw Indem Sie Warnmeldungen konfigurieren, um Benutzer über kritische Ereignisse zu informieren, bleiben Sie über den Zustand und Status Ihres Netzwerks auf dem Laufenden.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schnellstart: Schützen eines Computers

Anhänge

Speichernutzung des Deep Security Managers

Konfigurieren der maximalen Speichernutzung des Installationsprogramms

Das Installationsprogramm ist standardmäßig so konfiguriert, dass es 1 GB zusammenhängenden Speicher verwendet. Wenn das Installationsprogramm nicht ausgeführt werden kann, können Sie versuchen, das Installationsprogramm auf nutzlosen Speicher zu konfigurieren. So konfigurieren Sie die für das Installationsprogramm verfügbare RAM-Menge: 1. Gehen Sie in das Verzeichnis, in dem sich das Installationsprogramm befindet.2. Erstellen Sie eine neue Textdatei mit dem Namen „Manager-Windows-9.5.xxxx.x64.vmoptions“ oder „Manager-Linux-9.5.xxxx.x64.vmoptions“, abhängig von Ihrer Installationsplattform (wobei „xxxx“ die Build-Nummer des Installationsprogramms ist). ).3. Bearbeiten Sie die Datei, indem Sie die Zeile „-Xmx800m“ hinzufügen (in diesem Beispiel werden dem Installationsprogramm 800 MB Speicher zur Verfügung gestellt.)4. Speichern Sie die Datei und starten Sie das Installationsprogramm.

Konfigurieren der maximalen Speichernutzung des Deep Security Managers

Die Standardeinstellung von Deep Security Manager für die Heap-Speichernutzung beträgt 4 GB. Es ist möglich, diese Einstellung zu ändern. So konfigurieren Sie die für Deep Security Manager verfügbare RAM-Menge: 1. Gehen Sie zum Installationsverzeichnis von Deep Security Manager (dasselbe Verzeichnis wie die ausführbare Datei von Deep Security Manager).2. Erstellen Sie eine neue Datei. Geben Sie ihm je nach Plattform den folgenden Namen:

◦ Windows: „Deep Security Manager.vmoptions“.◦ Linux: „dsm_s.vmoptions“.3. Bearbeiten Sie die Datei, indem Sie die Zeile „ -Xmx10g“ hinzufügen (in diesem Beispiel stellt „10g“ dem Deep SecurityManager 10 GB Speicher zur Verfügung.)4. Speichern Sie die Datei und starten Sie den Deep Security Manager neu.5. Sie können die neue Einstellung überprüfen, indem Sie zu „Administration“ > „Systeminformationen“ gehen und im Bereich „Systemdetails“ den Eintrag „Manager“ erweitern

Knoten > Speicher. Der Wert „Maximaler Speicher“ sollte nun die neue Konfigurationseinstellung anzeigen.

Deep Security 9.5-Installationshandbuch (Grundkomponenten) Deep Security Manager-Speichernutzung

Stille Installation von Deep Security Manager

Windows

So starten Sie eine stille Installation unter Windows:

Manager-Windows-.x64.exe -q -console -Dinstall4j.sprache= -varfile

Linux

So starten Sie eine unbeaufsichtigte Installation unter Linux:

Manager-Linux-.x64.sh -q -console -Dinstall4j.sprache= -varfile

Parameter

Die Einstellung „-q“ erzwingt die Ausführung von install4j im unbeaufsichtigten (stillen) Modus. Die Einstellung „-console“ erzwingt, dass Meldungen in der Konsole (stdout) angezeigt werden. Mit den Optionen -Dinstall4j.sprache= können Sie die Standardeinstellung überschreiben Installationssprache (Englisch), falls andere Sprachen verfügbar sind. Geben Sie eine Sprache mit Standard-ISO-Sprachkennungen an: • Japanisch: jp • Vereinfachtes Chinesisch: zh_CN

Das Argument ist der vollständige/absolute Pfad zu einer Standard-Java-Eigenschaftendatei. Jede Eigenschaft wird durch den entsprechenden GUI-Bildschirm und die entsprechende Einstellung in der Windows Deep Security Manager-Installation (oben beschrieben) identifiziert. Beispielsweise wird die Deep Security Manager-Adresse auf dem Bildschirm „Adresse und Ports“ wie folgt angegeben:AddressAndPortsScreen.ManagerAddress=Die meisten Eigenschaften in dieser Datei haben akzeptable Standardwerte und können weggelassen werden. Die einzigen erforderlichen Werte für eine einfache Installation mit einer eingebetteten Datenbank sind:LicenseScreen.License

CredentialsScreen.Administrator.Benutzername

CredentialsScreen.Administrator.PasswordEine vollständige Beschreibung der verfügbaren Einstellungen finden Sie unter Eigenschaftendatei für Deep Security Manager-Einstellungen (Seite 62).Beispiel-Eigenschaftendatei

Das Folgende ist ein Beispiel für den Inhalt einer typischen Eigenschaftendatei:AddressAndPortsScreen.ManagerAddress=10.201.111.91AddressAndPortsScreen.NewNode=TrueUpgradeVerificationScreen.Overwrite=FalseLicenseScreen.License.-1=XY-ABCD-ABCDE-ABCDE-ABCDE-ABCDE-ABCDEDatabaseScreen. DatabaseType=OracleDatabaseScreen.Hostname=10.201.xxx.xxxDatabaseScreen.Transport=TCP

Deep Security 9.5-Installationshandbuch (Grundkomponenten) Unbeaufsichtigte Installation von Deep Security Manager

DatabaseScreen.DatabaseName = ponents=TrueSecurityUpdateScreen.UpdateSoftware=TrueRelayScreen.Install=TrueSmartProtectionNetworkScreen. EnableFeedback=False

Deep Security 9.5-Installationshandbuch (Grundkomponenten) Unbeaufsichtigte Installation von Deep Security Manager

Eigenschaftendatei für Deep Security Manager-Einstellungen

Dieser Abschnitt enthält Informationen über den Inhalt der Eigenschaftendatei, die bei einer Befehlszeileninstallation (unbeaufsichtigte Installation) des Deep Security Managers verwendet werden kann. (Siehe Stille Installation von Deep Security Manager (Seite 60).)Einstellungen-Eigenschaftendatei

Das Format jedes Eintrags in der Einstellungseigenschaftendatei ist:.=Die Einstellungseigenschaftendatei enthält erforderliche und optionale Werte.

Bei optionalen Einträgen führt die Angabe eines ungültigen Werts dazu, dass der Standardwert verwendet wird.

Erforderliche Einstellungen

Lizenzbildschirm

Eigenschaft Mögliche Werte Standardwert NotesLicenseScreen.License.-1= blankOR

Eigenschaft Mögliche Werte Standardwert NotesLicenseScreen.License.0= blankLicenseScreen.License.1= blankLicenseScreen.License.2= blankLicenseScreen.License.3= blankCredentialsScreen

Eigenschaft Mögliche Werte Standardwert NotesCredentialsScreen.Administrator.Username= blankCredentialsScreen.Administrator.Password= blankOptionale Einstellungen

Sprachbildschirm

Eigenschaft Mögliche Werte Standardwert Hinweise

Dinstall4j.sprache= jpzh_CN „“ = Englisch, „jp“ = Japanisch, „zh_CN“ = vereinfachtes Chinesisch

Notiz:

Deep Security 9.5-Installationshandbuch (Grundkomponenten) Deep Security Manager-Einstellungseigenschaftendatei

UpgradeVerificationScreen

Auf diesen Bildschirm/diese Einstellung wird nicht verwiesen, es sei denn, eine vorhandene Installation wird erkannt.

Eigenschaft Mögliche Werte Standardwert NotesUpgradeVerificationScreen.Overwrite= TrueFalse FalseWenn Sie diesen Wert auf True setzen, werden alle vorhandenen Daten in der Datenbank überschrieben. Dies geschieht ohne weitere Aufforderungen.

Datenbankbildschirm

Dieser Bildschirm definiert den Datenbanktyp und optional die Parameter, die für den Zugriff auf bestimmte Datenbanktypen erforderlich sind. Die interaktive Installation bietet ein Dialogfeld „Erweitert“, um den Instanznamen und die Domäne eines Microsoft SQL-Servers zu definieren. Da die unbeaufsichtigte Installation jedoch keine Dialoge unterstützt, sind dies Argumente in den DatabaseScreen-Einstellungen unten enthalten.

Eigenschaft Mögliche Werte Standardwert Hinweise

DatabaseScreen.DatabaseType= EmbeddedMicrosoft SQL ServerOracle Microsoft SQLServerDatabaseScreen.Hostname= Der Name oder die IP-Adresse des DatenbankhostsAktueller Hostname Aktueller HostnameDatabaseScreen.DatabaseName= Beliebige Zeichenfolge dsm Nicht erforderlich für eingebettetenDatabaseScreen.Transport= Benannt PipesTCP Named Pipes Nur für SQL Server erforderlichDatabaseScreen.Username= Nicht erforderlich für EmbeddedDatabaseScreen.Password= leer Nicht erforderlich für EmbeddedDatabaseScreen.SQLServer.Instance= Leer impliziert eine Standardinstanz. Optional, nur für SQL Server erforderlichDatabaseScreen.SQLServer.Domain= Optional, nur für SQL Server erforderlichDatabaseScreen.SQLServer.UseDefaultCollation= TrueFalse False Optional, nur für SQL Server erforderlich

AddressAndPortsScreen

Dieser Bildschirm definiert den Hostnamen, die URL oder die IP-Adresse dieses Computers und definiert Ports für den Manager. Im interaktiven Installationsprogramm unterstützt dieser Bildschirm auch das Hinzufügen eines neuen Managers zu einer vorhandenen Datenbank, diese Option wird jedoch in der Eigenschaft „Unbeaufsichtigte Installation“ nicht unterstützt

Mögliche Werte

Standardwert

Anmerkungen

AddressAndPortsScreen.ManagerAddress=

AddressAndPortsScreen.ManagerPort= 4119AddressAndPortsScreen.HeartbeatPort= 4120AddressAndPortsScreen.NewNode= TrueFalse False True gibt an, dass es sich bei der aktuellen Installation um einen neuen Knoten handelt. Wenn das Installationsprogramm vorhandene Daten in der Datenbank findet, fügt es diese Installation als neuen Knoten hinzu. (Die Einrichtung mehrerer Knoten erfolgt immer als unbeaufsichtigte Installation.) Hinweis: Die Installationsinformationen „Neuer Knoten“ über die vorhandene Datenbank müssen über die DatabaseScreen-Eigenschaften bereitgestellt werden.

Notiz:

Deep Security 9.5-Installationshandbuch (Grundkomponenten) Deep Security Manager-Einstellungseigenschaftendatei

Anmeldeinformationsbildschirm

Eigenschaft Mögliche Werte Standardwert NotesCredentialsScreen.UseStrongPasswords= trueFalse False True gibt an, dass der DSM so eingerichtet werden sollte, dass sichere PasswörterSecurityUpdateScreen erzwungen werden

PropertyPossibleValues

Standardwert

Anmerkungen

SecurityUpdateScreen.UpdateComponents= TrueFalse True True gibt an, dass Deep Security Manager automatisch die neuesten Komponenten abrufen soll. SecurityUpdateScreen.UpdateSoftware= TrueFalse True True gibt an, dass Sie eine Aufgabe einrichten möchten, um automatisch nach neuer Software zu suchen.SmartProtectionNetworkScreen

Dieser Bildschirm definiert, ob Sie Trend Micro Smart Feedback und optional Ihre Branche aktivieren möchten. Eigenschaft Mögliche Werte Standardwert NotesSmartProtectionNetworkScreen.EnableFeedback= TrueFalse False True aktiviert Trend Micro Smart Feedback.

SmartProtectionNetworkScreen.IndustryType=

Nicht angegebenBankwesenKommunikation und MedienBildungEnergieFast Moving Consumer Goods (FMCG)FinanzenLebensmittel und GetränkeRegierungGesundheitswesenVersicherungFertigungMaterialienMedienÖl und GasImmobilienEinzelhandelTechnologieTelekommunikationTransportVersorgungsunternehmenSonstiges

leer leer entspricht Nicht angegeben

Beispieleigenschaftendateien

Deep Security 9.5-Installationshandbuch (Grundkomponenten) Deep Security Manager-Einstellungseigenschaftendatei

DatabaseScreen.Transport = TCPDatabaseScreen.DatabaseName = ecurityUpdateScreen.UpdateComponents=TrueSecurityUpdateScreen.UpdateSoftware=TrueRelayScreen. Install=TrueSmartProtectionNetworkScreen.EnableFeedback=False

Installationsausgabe

Im Folgenden finden Sie eine Beispielausgabe einer erfolgreichen Installation, gefolgt von einer Beispielausgabe einer fehlgeschlagenen Installation (ungültige Lizenz). Das Tag [Error] in der Ablaufverfolgung weist auf einen Fehler hin. Erfolgreiche Installation

Stoppen des Trend Micro Deep Security Manager-Dienstes...Erkennung früherer Versionen von Trend Micro Deep Security Manager...Einstellungen des Upgrade-Überprüfungsbildschirms akzeptiert...Einstellungen des Datenbankbildschirms akzeptiert...Einstellungen des Lizenzbildschirms akzeptiert...Einstellungen des Adress- und Portbildschirms akzeptiert ...Anmeldeinformationen Bildschirmeinstellungen akzeptiert...Alle Einstellungen akzeptiert, bereit zur Ausführung...Vorherige Version deinstallierenDienste stoppenDateien extrahieren...Einrichten...Verbindung zur Datenbank herstellen...Datenbankschema erstellen...Datenbank aktualisieren Daten...MasterAdmin-Konto erstellen...Einstellungen aufzeichnen...Temporäres Verzeichnis erstellen...Berichte installieren...Hilfesystem erstellen...Standard-Passwortrichtlinie festlegen...Beispielsicherheitsprofile importieren...Sicherheitsupdate anwenden. ..Zuweisen von IPS-Filtern zu Beispielsicherheitsprofilen...Korrigieren des Ports für das Manager-Sicherheitsprofil...Korrigieren der Portliste für den Manager...Erstellen einer IP-Liste zum Ignorieren...Erstellen geplanter Aufgaben...Erstellen der Asset-Wichtigkeit Einträge...Prüferrolle erstellen...Überwachen...Optimieren...Aufzeichnungsinstallation...Eigenschaftsdatei erstellen...Verknüpfung erstellen...SSL konfigurieren...Dienst konfigurieren...

Deep Security 9.5-Installationshandbuch (Grundkomponenten) Deep Security Manager-Einstellungseigenschaftendatei

Java-Sicherheit konfigurieren...Java-Protokollierung konfigurieren...Aufräumen...Deep Security Manager starten...Installation abschließen...Installation fehlgeschlagen

Dieses Beispiel zeigt die Ausgabe, die generiert wurde, wenn die Eigenschaftendatei eine ungültige Lizenzzeichenfolge enthielt: Trend Micro Deep Security Manager-Dienst wird gestoppt... Frühere Versionen von Trend Micro Deep Security Manager werden erkannt... Einstellungen des Upgrade-Überprüfungsbildschirms akzeptiert... Einstellungen des Datenbankbildschirms akzeptiert ...Einstellungen des Datenbankoptionen-Bildschirms akzeptiert...[FEHLER] Der von Ihnen eingegebene Lizenzcode ist ungültig.[FEHLER] Einstellungen des Lizenzbildschirms abgelehnt...Änderungen werden rückgängig gemacht...

Deep Security 9.5-Installationshandbuch (Grundkomponenten) Deep Security Manager-Einstellungseigenschaftendatei

Leistungsmerkmale des Deep Security Managers

Leistungsprofile

Deep Security Manager verwendet einen optimierten Planer für gleichzeitige Jobs, der die Auswirkungen jedes Jobs auf CPU, Datenbank und Agenten/Appliances berücksichtigt. Standardmäßig verwenden Neuinstallationen das Leistungsprofil „Aggressiv“, das für einen dedizierten Manager optimiert ist. Wenn der DeepSecurity Manager auf einem System mit anderer ressourcenintensiver Software installiert wird, ist es möglicherweise vorzuziehen, das Leistungsprofil „Standard“ zu verwenden. Das Leistungsprofil kann geändert werden, indem Sie zu Administration > Manager Nodes navigieren. Wählen Sie in diesem Bildschirm einen Manager-Knoten aus und öffnen Sie das Eigenschaftenfenster. Von hier aus kann das Leistungsprofil über das Dropdown-Menü geändert werden. Das Leistungsprofil steuert auch die Anzahl der vom Agent/Appliance initiierten Verbindungen, die der Manager akzeptiert. Die Standardeinstellung jedes Leistungsprofils gleicht die Anzahl der akzeptierten, verzögerten und abgelehnten Heartbeats effektiv aus. Warnungen bei geringem Speicherplatz

Wenig Speicherplatz auf dem Datenbankhost

Wenn der Deep Security Manager von der Datenbank die Fehlermeldung „Festplatte voll“ erhält, beginnt er, Ereignisse auf seine eigene Festplatte zu schreiben und sendet eine E-Mail-Nachricht an alle Benutzer, um sie über die Situation zu informieren. Dieses Verhalten ist nicht konfigurierbar. Wenn Sie mehrere Manager-Knoten ausführen, werden die Ereignisse auf den Knoten geschrieben, der das Ereignis verarbeitet. (Weitere Informationen zum Ausführen mehrerer Knoten finden Sie im Abschnitt „Multi-Node Manager“ im Abschnitt „Referenz“ der Online-Hilfe oder im Administratorhandbuch.) Sobald das Speicherplatzproblem in der Datenbank behoben wurde, schreibt der Manager die lokal gespeicherten Daten in die Datenbank .Wenig Speicherplatz auf dem Manager-Host

Wenn der verfügbare Speicherplatz auf dem Manager unter 10 % fällt, generiert der Manager eine Warnung zu wenig Speicherplatz. Dieser Alert ist Teil des normalen Alertsystems und kann wie jeder andere konfiguriert werden. (Weitere Informationen zu Warnungen finden Sie unter Warnungskonfiguration im Abschnitt „Konfiguration und Verwaltung“ der Online-Hilfe oder im Administratorhandbuch.) Wenn Sie mehrere Manager-Knoten ausführen, wird der Knoten in der Warnung identifiziert. Wenn der verfügbare Speicherplatz des Managers unterschreitet 5 MB, sendet der Manager eine E-Mail-Nachricht an alle Benutzer und der Manager wird heruntergefahren. Der Manager kann erst neu gestartet werden, wenn der verfügbare Speicherplatz mehr als 5 MB beträgt. Sie müssen den Manager manuell neu starten. Wenn Sie mehrere Knoten ausführen, wird nur der Manager neu gestartet Der Knoten, auf dem nicht mehr genügend Speicherplatz vorhanden ist, wird heruntergefahren. Die anderen Manager-Knoten werden weiterhin betrieben.Agentloser Schutz

Scan-Caching

Scan-Caching verbessert die Effizienz von On-Demand-Scans, die von der virtuellen Appliance durchgeführt werden. Es eliminiert das unnötige Scannen identischer Inhalte auf mehreren VMs in großen VMware-Bereitstellungen. Darüber hinaus beschleunigt • das Scan-Caching von Integrity Monitoring die Scans von Integrity Monitoring durch die gemeinsame Nutzung von Scan-Ergebnissen von Integrity Monitoring

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Leistungsmerkmale von Deep Security Manager

• Anti-Malware-On-Demand-Caching beschleunigt Scans auf nachfolgenden geklonten/ähnlichen VMs. • Anti-Malware-Echtzeit-Caching beschleunigt den VM-Start und die Anwendungszugriffszeit. • Die Funktion „Gleichzeitiger Scan“ ermöglicht eine weitere Verbesserung der gesamten Scanzeit, indem mehrere VMs gescannt werden können gleichzeitig Hochverfügbarkeitsumgebungen

Wenn Sie die Vorteile von VMware High Availability (HA) nutzen möchten, stellen Sie sicher, dass die HA-Umgebung eingerichtet ist, bevor Sie mit der Installation von Deep Security beginnen. Alle für Wiederherstellungsvorgänge verwendeten ESXi-Hypervisoren müssen mit ihrem vCenter in den Deep Security Manager importiert werden, sie müssen „vorbereitet“ sein und auf jedem muss eine Deep Security Virtual Appliance installiert sein. Durch das Einrichten der Umgebung auf diese Weise wird sichergestellt, dass der Deep Security-Schutz nach einem HA-Wiederherstellungsvorgang wirksam bleibt. Wenn eine virtuelle Appliance in einer VMware-Umgebung bereitgestellt wird, die den VMware Distributed Resource Scheduler (DRS) verwendet, ist es wichtig, dass die Die Appliance wird im Rahmen des DRS-Prozesses nicht zusammen mit den virtuellen Maschinen vMotioned. Virtuelle Appliances müssen an ihren jeweiligen ESXi-Server „angeheftet“ werden. Sie müssen die DRS-Einstellungen für alle VirtualAppliances aktiv auf „Manuell“ oder „Deaktiviert“ (empfohlen) ändern, damit sie nicht vom DRS vMotioniert werden. Wenn eine virtuelle Appliance (oder eine beliebige virtuelle Maschine) auf „Deaktiviert“ gesetzt ist, migriert vCenter Server diese virtuelle Maschine nicht und stellt keine Migrationsempfehlungen dafür bereit. Dies wird als „Anheften“ der virtuellen Maschine an ihren registrierten Host bezeichnet. Dies ist die empfohlene Vorgehensweise für virtuelle Appliances in einer DRS-Umgebung. (Eine Alternative besteht darin, die virtuelle Appliance in einem lokalen Store statt in einem gemeinsam genutzten Store bereitzustellen. Wenn die virtuelle Appliance in einem lokalen Store bereitgestellt wird, kann sie nicht per vMotion per DRS bereitgestellt werden.) Weitere Informationen zu DRS und zum Anheften virtueller Maschinen an einen bestimmten ESXi-Server Konsultieren Sie Ihre VMware-Dokumentation.

Wenn eine virtuelle Maschine durch HA von einem ESXi, der durch eine DSVA geschützt ist, auf einen ESXi übertragen wird, der nicht durch eine DSVA geschützt ist, wird die virtuelle Maschine ungeschützt. Wenn die virtuelle Maschine anschließend per vMotion wieder auf den ursprünglichen ESXi übertragen wird, wird sie nicht automatisch wieder geschützt, es sei denn, Sie haben eine ereignisbasierte Aufgabe erstellt, um Computer zu aktivieren und zu schützen, die per vMotion auf einen ESXi mit einer verfügbaren DSVA übertragen wurden. Weitere Informationen finden Sie unter „Ereignisbasierte Aufgaben“ in der Deep Security Manager-Hilfe.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Leistungsmerkmale von Deep Security Manager

Erstellen eines SSL-Authentifizierungszertifikats

Der Deep Security Manager erstellt ein 10-jähriges selbstsigniertes Zertifikat für die Verbindungen mit Agenten/Appliances, Relays und den Webbrowsern der Benutzer. Für zusätzliche Sicherheit kann dieses Zertifikat jedoch durch ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (CA) ersetzt werden. (Solche Zertifikate bleiben nach einem Deep Security Manager-Upgrade erhalten.) Nach der Erstellung muss das CA-Zertifikat in den .keystore im Stammverzeichnis des Deep Security Manager-Installationsverzeichnisses importiert werden und den Alias „tomcat“ haben. Der Deep Security Manager verwendet dann dieses Zertifikat. So erstellen Sie Ihr SSL-Authentifizierungszertifikat:1. Gehen Sie zum Installationsverzeichnis von Deep Security Manager (für diese Anweisungen gehen wir davon aus, dass es „C:\Program

Dateien\Trend Micro\Deep Security Manager") und erstellen Sie einen neuen Ordner mit dem Namen Backupkeystore2. Kopieren Sie .keystore und Configuration.properties in den neu erstellten Ordner Backupkeystore3. Gehen Sie an einer Eingabeaufforderung zum folgenden Speicherort: C:\Programme\Trend Micro\Deep Security Manager\jre\bin4. Führen Sie den folgenden Befehl aus, der ein selbstsigniertes Zertifikat erstellt: C:\Programme\Trend Micro\Deep Security Manager\jre\bin>keytool -genkey -alias tomcat -

keyalg RSA -dname cn=dsmserver

5. Passwort wählen: changeit

HINWEIS: -dname ist der allgemeine Name des Zertifikats, das Ihre Zertifizierungsstelle signieren wird. Einige Zertifizierungsstellen erfordern einen bestimmten Namen zum Signieren der Zertifikatsignierungsanforderung (Certificate Signing Request, CSR). Bitte wenden Sie sich an Ihren CA-Administrator, um zu erfahren, ob Sie diese spezielle Anforderung haben.

6. Im Home-Verzeichnis des Benutzers wird eine neue Keystore-Datei erstellt. Wenn Sie als „Administrator“ angemeldet sind, sehen Sie die.keystore-Datei unter C:\Dokumente und Einstellungen\Administrator7. Zeigen Sie das neu generierte Zertifikat mit dem folgenden Befehl an: C:\Programme\Trend Micro\Deep Security Manager\jre\bin>keytool -list -v

8. Führen Sie den folgenden Befehl aus, um eine CSR für Ihre Zertifizierungsstelle zum Signieren zu erstellen: C:\Programme\Trend Micro\Deep Security Manager\jre\bin>keytool -certreq -keyalg RSA -

Alias tomcat -file certrequest.csr

9. Senden Sie die Datei certrequest.csr zum Signieren an Ihre Zertifizierungsstelle. Im Gegenzug erhalten Sie zwei Dateien. Eine davon ist eine „Zertifikatsantwort“ und die zweite ist das CA-Zertifikat selbst.10. Führen Sie den folgenden Befehl aus, um das CA-Zertifikat in den vertrauenswürdigen JAVA-Keystore zu importieren: C:\Programme\Trend Micro\Deep Security Manager\jre\bin>keytool -import -alias root -

trustcacerts -file cacert.crt -keystore „C:\Programme\Trend Micro\Deep Security Manager\

jre\lib\security\cacerts"

11. Führen Sie den folgenden Befehl aus, um das CA-Zertifikat in Ihren Keystore zu importieren: C:\Programme\Trend Micro\Deep Security Manager\jre\bin>keytool -import -alias root -

trustcacerts -Datei cacert.crt

(Sagen Sie „Ja“ zur Warnmeldung)

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Erstellen eines SSL-Authentifizierungszertifikats

12. Führen Sie den folgenden Befehl aus, um die Zertifikatsantwort in Ihren Schlüsselspeicher zu importieren:C:\Programme\Trend Micro\Deep Security Manager\jre\bin>keytool -import -alias tomcat -

Datei certreply.txt

13. Führen Sie den folgenden Befehl aus, um die Zertifikatskette in Ihrem Schlüsselspeicher anzuzeigen: C:\Programme\Trend Micro\Deep Security Manager\jre\bin>keytool -list -v

14. Kopieren Sie die .keystore-Datei aus Ihrem Benutzer-Home-Verzeichnis C:\Dokumente und Einstellungen\Administrator nach C:\Programme\TrendMicro \Deep Security Manager\15. Öffnen Sie die Datei „configuration.properties“ im Ordner C:\Programme\Trend Micro\Deep Security Manager. Es sieht etwa so aus:keystoreFile=C\:\\\\Program Files\\\\Trend Micro\\\\Deep Security Manager\\\\.keystore

Port=4119

keystorePass=$1$85ef650a5c40bb0f914993ac1ad855f48216fd0664ed2544bbec6de80160b2f

installiert = wahr

serviceName=Trend Micro Deep Security Manager

16. Ersetzen Sie das Passwort in der folgenden Zeichenfolge:keystorePass=xxxx

Dabei ist „xxxx“ das Passwort, das Sie in Schritt 517 angegeben haben. Speichern und schließen Sie die Datei18. Starten Sie den Deep Security Manager-Dienst neu19. Verbinden Sie sich mit Ihrem Browser mit dem Deep Security Manager und Sie werden feststellen, dass das neue SSL-Zertifikat von Ihrer CA signiert ist.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Erstellen eines SSL-Authentifizierungszertifikats

Schutz eines mobilen Laptops

Im Folgenden werden die Schritte beschrieben, die beim Einsatz von Deep Security zum Schutz eines mobilen Laptops erforderlich sind. Es umfasst die folgenden Schritte:1. Computer zum Manager hinzufügen1. Einzelne Computer hinzufügen2. Durchführen einer Erkennungsoperation in Ihrem Netzwerk3. Importieren von Computern aus einem Microsoft Active Directory2. Erstellen Sie eine neue Richtlinie für einen Windows-Laptop1. Erstellen und Benennen der neuen Policy2. Festlegen, welche Schnittstellen überwacht werden sollen3. Einstellen der Netzwerk-Engine auf Inline-Modus4. Zuweisen von Firewall-Regeln (einschließlich einiger mit Standorterkennung) und Aktivieren der Firewall Stateful Configuration5. Zuweisen von Intrusion Prevention-Regeln6. Protokollinspektionsregeln zuweisen7. Zuweisen von Integritätsüberwachungsregeln3. Anwenden der Richtlinie auf den Computer4. Aktivitätsüberwachung mit dem ManagerWir gehen davon aus, dass Sie den Manager bereits auf dem Computer installiert haben, von dem aus Sie die Deep Security Agents in Ihrem Netzwerk verwalten möchten. Wir gehen außerdem davon aus, dass Sie Deep Security Agents auf den mobilen Laptops, die Sie schützen möchten, installiert (aber nicht aktiviert) haben. Wenn Sie dies noch nicht getan haben, sehen Sie in den Installationsanweisungen nach, wie Sie zu diesem Schritt gelangen.

Computer zum Manager hinzufügen

Sie können der Seite „Deep Security-Computer“ Computer hinzufügen, indem Sie:1. Hinzufügen einzelner Computer durch Angabe ihrer IP-Adressen oder Hostnamen2. Erkennen von Computern durch Scannen des Netzwerks3. Herstellen einer Verbindung zu einem Microsoft Active Directory und Importieren einer Liste von Computern4. Herstellen einer Verbindung zu einem VMware vCenter und Importieren einer Liste von Computern (wird in diesem Abschnitt nicht behandelt, da es sich um mobile Laptops handelt). Hinzufügen einzelner Computer durch Angabe ihrer IP-Adressen oder Hostnamen

Um einen einzelnen Computer durch Angabe seiner IP-Adresse oder seines Hostnamens hinzuzufügen, gehen Sie zur Seite „Computer“ und klicken Sie in der Symbolleiste auf „Neu“. Geben Sie den Hostnamen oder die IP-Adresse des neuen Computers in das Textfeld „Hostname“ ein. Mit dem Assistenten für neue Computer können Sie auch eine Richtlinie angeben, die auf den neuen Computer angewendet wird, wenn er den Computer findet und feststellt, dass ein nicht aktivierter Agent vorhanden ist. (Wählen Sie vorerst keine Richtlinie aus.) Wenn Sie auf „Weiter“ klicken, findet der Assistent den Computer und aktiviert den Agenten. Wenn die Aktivierung des Agenten abgeschlossen ist, bietet Ihnen der Assistent die Möglichkeit, das Computer-Editor-Fenster (das Fenster „Details“) zu öffnen, in dem Sie viele Einstellungen des Agenten konfigurieren können. Überspringen Sie vorerst das Fenster „Details“. Hinzufügen von Computern durch Scannen des Netzwerks (Erkennung)

So erkennen Sie Computer durch Scannen des Netzwerks:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schutz eines mobilen Laptops

1. Gehen Sie zur Seite „Computer“.2. Klicken Sie in der Symbolleiste auf „Erkennen...“, um das Dialogfeld „Computer ermitteln“ anzuzeigen.3. Geben Sie einen Bereich von IP-Adressen ein, die Sie nach Computern durchsuchen möchten. Wenn Sie möchten, können Sie für denselben Zweck eine maskierte IP-Adresse eingeben.4. Wählen Sie „IPs automatisch in Hostnamen auflösen“ aus, um den Manager anzuweisen, Hostnamen bei der Erkennung automatisch aufzulösen.5. Sie haben die Möglichkeit, erkannte Computer zu einer von Ihnen erstellten Computergruppe hinzuzufügen. Lassen Sie die Dropdown-Listenauswahl „Erkannte Computer zur Gruppe hinzufügen“ vorerst auf „Computer“ eingestellt.6. Deaktivieren Sie abschließend das Kontrollkästchen „Port-Scan der erkannten Computer automatisch durchführen“. (Port-Scanning erkennt, welche Ports auf den erkannten Computern geöffnet sind.)7. OK klicken. Das Dialogfeld wird ausgeblendet und in der Statusleiste des Managers unten in Ihrem Browser wird „Erkennung läuft…“ angezeigt. (Der Erkennungsprozess kann durch Klicken auf das „X“ abgebrochen werden.)

In wenigen Minuten werden alle sichtbaren Computer im Netzwerk erkannt und der Manager hat diejenigen identifiziert, auf denen Deep Security Agents installiert sind. Diese Agenten müssen nun aktiviert werden.8. Aktivieren Sie die Agenten, indem Sie mit der rechten Maustaste auf einen Agenten (oder mehrere ausgewählte Agenten) klicken und im Kontextmenü „Aktivieren/Reaktivieren“ auswählen. Sobald die Agenten aktiviert sind, wird ihre Statusleuchte grün und in der Statusspalte wird „Verwaltet (Online)“ angezeigt.

Importieren von Computern aus einem Microsoft Active Directory

Aus einem Active Directory importierte Computer werden auf der Seite „Computer“ genauso behandelt wie alle anderen Computer. So importieren Sie Computer aus einem Microsoft Active Directory:1. Klicken Sie in der Symbolleiste der Seite „Computer“ auf den Abwärtspfeil neben „Neu“ und wählen Sie Verzeichnis hinzufügen... aus, um den Assistenten zum Hinzufügen eines Verzeichnisses zu starten.

Die Synchronisierung von Computern aus anderen LDAP-basierten Verzeichnissen ist möglicherweise möglich, erfordert jedoch einige Anpassungen. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren Supportanbieter.

2. Geben Sie den Namen des Active Directory-Servers, einen Namen und eine Beschreibung für Ihr importiertes Verzeichnis ein, wie es im Manager angezeigt wird (es muss nicht mit dem des Active Directory übereinstimmen), die IP und den Port des Active Directory-Servers und schließlich Ihre Zugangsmethode und Anmeldeinformationen. Klicken Sie auf „Weiter“. Sie müssen Ihren Domänennamen zusammen mit Ihrem Benutzernamen in das Feld „Benutzername“ eingeben.

3. Wenn Sie SSL oder TLS als Zugriffsmethode auswählen, werden Sie vom Assistenten aufgefordert, ein Sicherheitszertifikat zu akzeptieren. Sie können das vom Deep Security Manager akzeptierte Zertifikat anzeigen, indem Sie zu „Administration > Systemeinstellungen > Sicherheit“ gehen und im Bereich „Vertrauenswürdige Zertifikate“ auf „Zertifikatliste anzeigen …“ klicken. Klicken Sie auf Weiter.4. Auf der zweiten Seite des Assistenten für neue Verzeichnisse werden Sie nach Schemadetails gefragt. (Belassen Sie die Standardwerte). Klicken Sie auf Fertig stellen.5. Auf der nächsten Seite erfahren Sie, ob Fehler aufgetreten sind. Klicken Sie auf Weiter.6. Auf der letzten Seite können Sie eine geplante Aufgabe erstellen, um die Seite „Manager-Computer“ regelmäßig mit dem ActiveDirectory zu synchronisieren. Lassen Sie die Option vorerst deaktiviert. Klicken Sie auf „Schließen“. Die Verzeichnisstruktur wird nun unter „Computer“ im Navigationsbereich angezeigt.

Zusätzliche Active Directory-Optionen

Wenn Sie mit der rechten Maustaste auf eine Active Directory-Struktur klicken, erhalten Sie die folgenden Optionen, die für normale Computergruppen, die unter Computer aufgeführt sind, nicht verfügbar sind.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schutz eines mobilen Laptops

1. Entfernen Sie Verzeichnis2. Jetzt synchronisieren und Verzeichnis entfernen

Wenn Sie ein Verzeichnis aus dem Deep Security Manager entfernen, haben Sie die folgenden Optionen: • Verzeichnis und alle untergeordneten Computer/Gruppen aus DSM entfernen: Entfernt alle Spuren des Verzeichnisses. • Verzeichnis entfernen, aber Computerdaten und Computergruppenhierarchie beibehalten: Drehungen Die importierte Verzeichnisstruktur wird in identisch organisierte reguläre Computergruppen aufgeteilt, die nicht mehr mit dem Active Directory-Server verknüpft sind. • Verzeichnis entfernen, Computerdaten beibehalten, aber Hierarchie reduzieren: Entfernt Verknüpfungen zum Active Directory-Server, verwirft die Verzeichnisstruktur und platziert alle Computer in derselben Computergruppe. Jetzt synchronisieren

Synchronisiert die Verzeichnisstruktur im Deep Security Manager mit dem Active Directory Server. (Denken Sie daran, dass Sie diesen Vorgang als geplante Aufgabe automatisieren können.) Da die Agenten nun aktiv sind, können ihnen Firewall-Regeln und Intrusion Prevention-Regeln zugewiesen werden. Obwohl alle einzelnen Sicherheitsobjekte einzeln einem Agenten zugewiesen werden können, ist es praktisch, gemeinsame Sicherheitsobjekte in einer Richtlinie zu gruppieren und die Richtlinie dann einem oder mehreren Agenten zuzuweisen. Weitere Informationen sind für jede Seite im Deep Security Manager verfügbar, indem Sie auf die Hilfe klicken Schaltfläche in der Menüleiste.

Aktivieren der Agenten auf Computern

Agenten müssen vom Manager „aktiviert“ werden, bevor ihnen Richtlinien und Regeln zugewiesen werden können. Der Aktivierungsprozess umfasst den Austausch eindeutiger Fingerabdrücke zwischen dem Agenten und dem Manager. Dadurch wird sichergestellt, dass nur dieser Deep Security Manager (oder einer seiner Knoten) Anweisungen an den Agenten senden kann. Ein Agent kann so konfiguriert werden, dass er bei der Installation automatisch seine eigene Aktivierung initiiert. Einzelheiten finden Sie unter „Befehlszeilen-Dienstprogramme“ im Abschnitt „Referenz“ der Online-Hilfe.

Um einen Agenten auf einem Computer manuell zu aktivieren, klicken Sie mit der rechten Maustaste auf einen oder mehrere ausgewählte Computer und wählen Sie Aktionen > Aktivieren/Reaktivieren. Erstellen Sie eine Richtlinie für einen Windows-Laptop

Nachdem die Agenten nun aktiviert sind, ist es an der Zeit, einige Regeln zum Schutz des Computers zuzuweisen. Obwohl Sie Regeln direkt einem Computer zuweisen können, ist es sinnvoller, eine Richtlinie zu erstellen, die diese Regeln enthält und dann mehreren Computern zugewiesen werden kann. Das Erstellen der Richtlinie umfasst die folgenden Schritte:1. Erstellen und Benennen der neuen Policy2. Festlegen, welche Schnittstellen überwacht werden sollen3. Einstellen der Netzwerk-Engine auf Inline-Modus4. Zuweisen von Firewall-Regeln (einschließlich einiger mit Standorterkennung) und Aktivieren von Stateful Inspection5. Zuweisen von Intrusion Prevention-Regeln6. Zuweisen von Integritätsüberwachungsregeln7. Protokollinspektionsregeln zuweisen

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schutz eines mobilen Laptops

8. Zuweisen der Richtlinie zum Computer. Erstellen und Benennen der neuen Richtlinie

So erstellen und benennen Sie die neue Richtlinie:1. Gehen Sie zum Abschnitt „Richtlinien“ und klicken Sie im Navigationsbereich links auf „Richtlinien“, um zur Seite „Richtlinien“ zu gelangen.2. Klicken Sie in der Symbolleiste auf Neu, um den Assistenten für neue Richtlinien anzuzeigen.3. Benennen Sie die neue Richtlinie „Meine neue Laptop-Richtlinie“ und wählen Sie „Basisrichtlinie“ aus dem Menü „Übernehmen von:“. Klicken Sie auf Weiter.4. Auf der nächsten Seite werden Sie gefragt, ob Sie die Richtlinie auf der aktuellen Konfiguration eines vorhandenen Computers basieren möchten. Wenn Sie „Ja“ auswählen würden, würden Sie aufgefordert, einen vorhandenen verwalteten Computer auszuwählen, und der Assistent würde alle Konfigurationsinformationen von diesem Computer übernehmen und darauf basierend eine neue Richtlinie erstellen. Dies kann nützlich sein, wenn Sie beispielsweise die Sicherheitskonfiguration eines vorhandenen Computers über einen längeren Zeitraum hinweg verfeinert haben und nun darauf basierend eine Richtlinie erstellen möchten, um diese auf andere funktionsidentische Computer anzuwenden. Wählen Sie zunächst Nein und klicken Sie auf Weiter.5. Auf der letzten Seite wird bestätigt, dass die neue Richtlinie erstellt wurde. Wählen Sie die Option „Richtliniendetails beim Schließen“ öffnen und klicken Sie auf „Schließen“. Legen Sie fest, welche Schnittstellen überwacht werden sollen

So legen Sie fest, welche Schnittstellen überwacht werden sollen:1. Da Sie die Option „Richtliniendetails öffnen“ auf „Schließen“ setzen, wird das neue Fenster des Richtlinieneditors angezeigt.2. Die Laptops, denen diese Richtlinie zugewiesen wird, sind mit zwei Netzwerkschnittstellen ausgestattet (einer lokalen Verbindung und einer drahtlosen Verbindung). Wir beabsichtigen, die Sicherheitskonfiguration anzupassen, um zu berücksichtigen, welche Schnittstelle verwendet wird. Klicken Sie im Navigationsbereich auf „InterfaceTypes“ und wählen Sie die Option „Regeln können auf bestimmte Schnittstellen angewendet werden“ aus. Geben Sie Namen für die Schnittstellen und Zeichenfolgen (mit optionalen Platzhaltern) ein, die der Agent zum Abgleichen mit Schnittstellennamen auf dem Computer verwendet: „LAN-Verbindung“ und „Lokalbereichsverbindung *“ sowie „Drahtlos“ und „Drahtlose Netzwerkverbindung *“ im ersten beiden Schnittstellentypbereiche. Klicken Sie unten rechts auf der Seite auf Speichern.

Einstellen der Netzwerk-Engine auf den Inline-Modus

Die Netzwerk-Engine des Agenten kann Inline oder im Tap-Modus betrieben werden. Beim Inline-Betrieb durchläuft der Live-Paketstrom die Netzwerk-Engine. Zustandsbehaftete Tabellen werden gepflegt, Firewall-Regeln angewendet und eine Verkehrsnormalisierung durchgeführt, sodass Intrusion Prevention-Regeln auf Nutzlastinhalte angewendet werden können. Beim Betrieb im Tap-Modus wird der Live-Paketstrom geklont und vom Hauptstrom umgeleitet. Im Tap-Modus wird der Live-Paketstrom nicht verändert; Alle Vorgänge werden auf dem geklonten Stream ausgeführt. Zunächst konfigurieren wir unsere Richtlinie so, dass die Engine angewiesen wird, Inline zu arbeiten. So stellen Sie die Netzwerk-Engine auf den Inline-Modus ein: 1. Gehen Sie immer noch im Richtlinieneditor „Mein neuer Laptop“ zu „Einstellungen“ und klicken Sie auf die Registerkarte „Netzwerk-Engine“.2. Stellen Sie den Netzwerk-Engine-Modus auf „Inline“ ein. Standardmäßig sollte die Einstellung bereits auf „Geerbt (Inline)“ eingestellt sein, da der Standardmodus der Basisrichtlinie „Inline“ ist und Ihre neue Richtlinie ihre Einstellungen von dort erbt.

Weisen Sie Firewall-Regeln zu (einschließlich einiger mit Standorterkennung) und aktivieren Sie StatefulInspection

So weisen Sie Firewall-Regeln zu: 1. Klicken Sie im Navigationsbereich auf „Firewall“ und wählen Sie im Bereich „Firewall“ der Registerkarte „Allgemein“ im Dropdown-Menü „Firewall-Status“ die Option „Ein“ aus.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schutz eines mobilen Laptops

Wenn Sie „Übernehmen“ auswählen, wird diese Einstellung dieser Richtlinie von der übergeordneten Richtlinie übernommen. Diese Einstellung in der parentPolicy ist möglicherweise bereits „Ein“, aber vorerst werden Sie die Einstellung auf der Ebene dieser Richtlinie erzwingen, unabhängig von den parentPolicy-Einstellungen. Informationen zur Vererbung finden Sie unter „Richtlinien, Vererbung und Außerkraftsetzungen“ im Abschnitt „Referenz“ der Online-Hilfe.

2. Jetzt werden wir dieser Richtlinie einige Firewall-Regeln und Firewall-Stateful-Konfigurationsregeln zuweisen. Klicken Sie auf „Zuweisen/Zuweisung aufheben“, um die Liste der verfügbaren vordefinierten Firewall-Regeln anzuzeigen. (Sie können Ihre eigenen Firewall-Regeln erstellen, aber für diese Übung wählen wir aus der Liste der vorhandenen aus.) Wählen Sie den folgenden Satz von Firewall-Regeln aus, um grundlegende Kommunikation zu ermöglichen: ◦ Angeforderte ICMP-Antworten zulassen ◦ Angeforderte TCP/UDP-Antworten zulassen ◦ Domänen-Client (UDP)◦ ARP◦ Drahtlose Authentifizierung◦ Windows-Dateifreigabe (Dies ist eine erzwungene Zulassungsregel, um eingehenden Windows-Dateifreigabeverkehr zuzulassen.) Beachten Sie den grauen Abwärtspfeil neben den Kontrollkästchen für die Firewall-Regel. Diese erscheinen, wenn Sie im vorherigen Schritt mehrere Schnittstellen definiert haben. Sie ermöglichen Ihnen festzulegen, ob die Firewall-Regel für alle Schnittstellen auf dem Computer oder nur für die von Ihnen angegebenen Schnittstellen gelten soll. Lassen Sie diese vorerst auf der Standardeinstellung. Klicken Sie auf die Schaltfläche Speichern.

Wir haben eine Firewall-Regel zugewiesen, die die Windows-Dateifreigabe ermöglicht. Die Windows-Dateifreigabe ist eine sehr nützliche Funktion in Windows, weist jedoch einige Sicherheitsprobleme auf. Es wäre besser, diese Funktion auf den Fall zu beschränken, dass sich der Laptop in einer sicheren Büroumgebung befindet, und sie zu verbieten, wenn sich der Laptop außerhalb des Büros befindet. Wir werden die Standorterkennung auf die Firewall-Regel anwenden, wenn sie mit dieser Richtlinie verwendet wird, um diese Richtlinie umzusetzen. So implementieren Sie die Standorterkennung:1. Gehen Sie im Richtlinieneditor „Mein neuer Laptop“ zu „Firewall“ > „Allgemein“ > „Zugewiesene Firewall-Regeln“, klicken Sie mit der rechten Maustaste auf die Regel „Windows FileSharing Firewall“ und wählen Sie „Eigenschaften...“ aus. Dadurch wird das Fenster „Eigenschaften“ für die Firewall-Regel angezeigt (aber die Änderungen wemake dazu gilt nur für die Firewall-Regel, wenn sie als Teil dieser neuen Richtlinie angewendet wird).2. Klicken Sie im Eigenschaftenfenster auf die Registerkarte Optionen.3. Wählen Sie im Bereich Regelkontext die Option Neu... aus der Dropdown-Liste aus. Dadurch wird das Fenster „Neue Kontexteigenschaften“ angezeigt. Wir erstellen einen Regelkontext, der die Aktivierung der Firewall-Regel nur dann zulässt, wenn der Laptop lokalen Zugriff auf seinen Domänencontroller hat. (Das heißt, wenn der Laptop im Büro ist.)4. Benennen Sie den neuen Regelkontext „Im Büro“. Legen Sie im Bereich „Optionen“ die Option „Kontext gilt bei Verbindung ist:“ fest und wählen Sie sie aus

Lokal verbunden mit der Domäne darunter. Klicken Sie dann auf OK.5. Klicken Sie im Eigenschaftenfenster der Windows-Firewall-Regel für die Dateifreigabe auf OK. Jetzt ist die Firewall-Regel für die Windows-Dateifreigabe nur dann wirksam, wenn der Laptop lokalen Zugriff auf seinen Windows-Domänencontroller hat. Die Windows-Dateifreigabe-Firewallregel wird jetzt im Fenster „Richtliniendetails“ in Fettschrift angezeigt. Dies weist darauf hin, dass die Eigenschaften der Firewall-Regel nur für diese Richtlinie bearbeitet wurden.

Standorterkennung ist auch für Intrusion Prevention-Regeln verfügbar.

Der letzte Schritt im Abschnitt „Firewall“ besteht darin, die Stateful-Inspektion zu aktivieren. So aktivieren Sie die Stateful-Inspektion:1. Gehen Sie immer noch im Richtlinieneditorfenster „Mein neuer Laptop“ zu Firewall > Allgemein > Firewall-Zustandskonfigurationen.2. Wählen Sie für die Einstellung „Global (Alle Schnittstellen)“ die Option „Stateful Inspection aktivieren“ aus.3. Klicken Sie zum Abschluss auf Speichern.

Zuweisen von Intrusion Prevention-Regeln

So weisen Sie der Richtlinie Intrusion Prevention-Regeln zu:

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schutz eines mobilen Laptops

1. Klicken Sie im Navigationsbereich im Editorfenster „Mein neuer Laptop-Richtlinie“ auf „Intrusion Prevention“.2. Stellen Sie auf der Registerkarte „Allgemein“ im Bereich „Intrusion Prevention“ den Intrusion Prevention-Status auf „Ein“ ein. Intrusion Prevention kann entweder auf den Modus „Verhindern“ oder „Erkennen“ eingestellt werden, wenn die Netzwerk-Engine Inline arbeitet (im Gegensatz zum Tap-Modus). Der Erkennungsmodus ist nützlich, wenn Sie einen neuen Satz von Intrusion Prevention-Regeln ausprobieren und nicht riskieren möchten, dass der Datenverkehr verloren geht, bevor Sie sicher sind, dass die neuen Regeln ordnungsgemäß funktionieren. Im Erkennungsmodus generiert Datenverkehr, der normalerweise verworfen würde, Ereignisse, wird jedoch durchgelassen. Stellen Sie „Intrusion Prevention“ auf „Ein“.

Beachten Sie den Bereich Empfehlungen. Der Deep Security Agent kann angewiesen werden, einen Empfehlungsscan auszuführen. (Klicken Sie auf der Seite „Computer des Managers“ mit der rechten Maustaste auf einen Computer und wählen Sie „Aktionen“ > „Nach Empfehlungen suchen“.) Die Empfehlungs-Engine scannt den Computer nach Anwendungen und gibt basierend auf der Intrusion Prevention-Regel Empfehlungen ab was es findet. Die Ergebnisse des Empfehlungsscans können im Computereditor-Fenster angezeigt werden, indem Sie zu Intrusion Prevention > Intrusion Prevention-Regeln > Zuweisen/Zuweisung aufheben... gehen und im zweiten Dropdown-Filtermenü „Empfohlen für Zuweisung“ auswählen.

3. Lassen Sie vorerst die Option „Empfehlungen > Intrusion Prevention-Empfehlungen automatisch implementieren (wenn möglich):“ auf „Geerbt (Nein)“ eingestellt.4. Klicken Sie im Bereich „Zugewiesene Intrusion Prevention-Regeln“ auf „Zuweisen/Zuweisung aufheben...“, um das Fenster für die Regelzuweisung zu öffnen.5. Intrusion Prevention-Regeln sind nach Anwendungstyp geordnet. Anwendungstypen sind eine nützliche Möglichkeit, Intrusion Prevention Rules zu gruppieren. Sie haben nur drei Eigenschaften: Kommunikationsrichtung, Protokoll und Ports. Weisen Sie für unsere neue Laptop-Richtlinie die folgenden Anwendungstypen zu:◦ Mail-Client Outlook◦ Mail-Client Windows◦ Malware◦ Malware-Web◦ Microsoft Office◦ Web-Client Allgemein◦ Web-Client Internet Explorer◦ Web-Client Mozilla Firefox◦ Windows-Dienste-RPC-Client◦ Windows-Dienste-RPC Server

Stellen Sie sicher, dass in den ersten beiden Dropdown-Filtermenüs „Alle“ und im dritten Sortierfiltermenü „Sortierung nach Anwendungstyp“ angezeigt wird. Es ist einfacher, durch die Anwendungstypen zu blättern, wenn Sie mit der rechten Maustaste in die Regelliste klicken und „Alle ausblenden“ auswählen. Es gibt viele Anwendungstypen (und Intrusion Prevention-Regeln), daher müssen Sie die Paginierungssteuerelemente unten rechts auf der Seite verwenden, um sie alle zu finden, oder die Suchfunktion oben rechts auf der Seite verwenden. Wählen Sie einen Anwendungstyp aus, indem Sie neben dem Namen des Anwendungstyps ein Häkchen setzen.

Einige Intrusion Prevention-Regeln hängen von anderen ab. Wenn Sie eine Regel zuweisen, die die Zuweisung einer anderen Regel erfordert (die noch nicht zugewiesen wurde), wird ein Popup-Fenster angezeigt, in dem Sie die erforderliche Regel zuweisen können.

Wenn Sie einem Computer beliebige Regeln zuweisen, lassen Sie sich nicht dazu verleiten, „besonders sicher“ zu sein und Ihrem Computer alle verfügbaren Regeln zuzuweisen. Die Regeln gelten für eine Vielzahl von Betriebssystemen, Anwendungen und Schwachstellen und sind möglicherweise nicht auf Ihren Computer anwendbar. Die Traffic-Filter-Engine würde nur CPU-Zeit mit der Suche nach Mustern verschwenden, die nie auftauchen. Seien Sie wählerisch bei der Sicherung Ihrer Computer!

6. Klicken Sie auf OK und dann auf Speichern, um die Anwendungstypen der Richtlinie zuzuweisen. Integritätsüberwachungsregeln zuweisen

So weisen Sie der Richtlinie Integritätsüberwachungsregeln zu:

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schutz eines mobilen Laptops

1. Klicken Sie im Navigationsbereich im Editorfenster „Mein neuer Laptop-Richtlinie“ auf „Integritätsüberwachung“.2. Stellen Sie auf der Registerkarte „Allgemein“ den Integritätsüberwachungsstatus auf „Ein“ ein.3. Legen Sie „Empfehlungen zur Integritätsüberwachung automatisch implementieren (wenn möglich)“ auf „Nr. 4“ fest. Klicken Sie nun im Bereich „Zugewiesene Integritätsüberwachungsregeln“ auf „Zuweisen/Zuweisung aufheben...“.5. Geben Sie im Suchfeld oben rechts auf der Seite das Wort „Windows“ ein und drücken Sie die Eingabetaste. Alle Regeln, die für MicrosoftWindows gelten, werden in der Regelliste angezeigt. Klicken Sie mit der rechten Maustaste auf eine der Regeln und wählen Sie „Alle auswählen“. Klicken Sie dann erneut mit der rechten Maustaste und wählen Sie „Regel(n) zuweisen“. Dadurch werden alle im Suchergebnis angezeigten Regeln der Richtlinie „Zuweisen von Protokollinspektionsregeln“ zugewiesen

So weisen Sie der Richtlinie Protokollinspektionsregeln zu: 1. Klicken Sie im Navigationsbereich immer noch im Editorfenster „Mein neuer Laptop-Richtlinie“ auf „Protokollinspektion“.2. Deaktivieren Sie „Übernehmen“ und stellen Sie „Protokollprüfung“ auf „Ein“ ein.3. Legen Sie „Empfehlungen für Log-Inspektionsregeln automatisch implementieren“ (wenn möglich) auf „Nr. 4“ fest. Klicken Sie nun im Bereich „Zugewiesene Protokollinspektionsregeln“ auf „Zuweisen/Zuweisung aufheben...“.5. Wählen Sie die Regel „1002792 – Standardregelkonfiguration“ (erforderlich, damit alle anderen Protokollinspektionsregeln funktionieren) und die Regel „1002795 – Microsoft Windows-Ereignisse“. (Dadurch werden Ereignisse jedes Mal protokolliert, wenn die Windows-Überwachungsfunktion ein Ereignis auf dem Laptop registriert.)6. Klicken Sie auf „OK“ und dann auf „Speichern“, um die Regeln auf die Richtlinie anzuwenden. Die Bearbeitung der neuen Richtlinie ist nun abgeschlossen. Sie können jetzt das Fenster „Meine neuen Versicherungsdetails“ schließen.

Bearbeiten Sie die IP-Liste der Domänencontroller

Da die neue Richtlinie schließlich drei Firewall-Regeln enthält, die die IP-Liste „Domänencontroller“ verwenden, müssen wir diese IP-Liste bearbeiten, um die IP-Adressen des lokalen Windows-Domänencontrollers einzuschließen. So bearbeiten Sie die IP-Liste der Domänencontroller: 1. Gehen Sie im Hauptfenster der Deep Security Manager-Konsole zu Richtlinien > Gemeinsame Objekte > Listen > IP-Listen.2. Doppelklicken Sie auf die IP-Liste der Domänencontroller, um das Fenster „Eigenschaften“ anzuzeigen.3. Geben Sie die IP(s) Ihres/Ihrer Domänencontroller(s) ein.4. OK klicken.

Wenden Sie die Richtlinie auf einen Computer an

Jetzt können wir die Richtlinie auf den Computer anwenden. So wenden Sie die Richtlinie auf den Computer an: 1. Gehen Sie zur Seite „Computer“.2. Klicken Sie mit der rechten Maustaste auf den Computer, dem Sie die Richtlinie zuweisen möchten, und wählen Sie Aktionen > Richtlinie zuweisen....3. Wählen Sie „Meine neue Laptop-Richtlinie“ aus der Dropdown-Liste im Dialogfeld „Richtlinie zuweisen“.4. OK klicken

Nachdem Sie auf „OK“ geklickt haben, sendet der Manager die Richtlinie an den Agenten. In der Statusspalte des Computers und in der Statusleiste des Managers werden Meldungen angezeigt, dass der Agent aktualisiert wird. Sobald der Agent auf dem Computer aktualisiert wurde, wird in der Statusspalte „Verwaltet (Online)“ angezeigt.

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schutz eines mobilen Laptops

Konfigurieren Sie die SMTP-Einstellungen

Durch Konfigurieren der SMTP-Einstellungen des Deep Security Managers können E-Mail-Benachrichtigungen an Benutzer gesendet werden. So konfigurieren Sie SMTP-Einstellungen:1. Gehen Sie zu Administration > Systemeinstellungen und klicken Sie auf die Registerkarte SMTP.2. Geben Sie die Konfigurationsinformationen ein und klicken Sie auf „SMTP-Einstellungen testen“, um zu bestätigen, dass Deep Security Manager mit dem Mailserver kommunizieren kann.3. Gehen Sie zur Registerkarte „Benachrichtigungen“.4. Geben Sie im Abschnitt „Weiterleitung von Alarmereignissen (vom Manager)“ die Standard-E-Mail-Adresse ein, an die Benachrichtigungen gesendet werden sollen.5. Klicken Sie auf Speichern.

Ob ein Benutzer E-Mail-Benachrichtigungen erhält, kann im Eigenschaftenfenster dieses Benutzers konfiguriert werden (Administration > Benutzerverwaltung > Benutzer). Ob eine bestimmte Warnung E-Mail-Benachrichtigungen generiert, kann im Eigenschaftenfenster dieser Warnung konfiguriert werden.

Überwachen Sie Aktivitäten mit dem Deep Security Manager

Das Dashboard

Nachdem dem Computer eine Richtlinie zugewiesen wurde und er eine Zeit lang ausgeführt wurde, möchten Sie möglicherweise die Aktivität auf diesem Computer überprüfen. Der erste Ort, an dem Sie Aktivitäten überprüfen können, ist das Dashboard. Das Dashboard verfügt über viele Informationsbereiche („Widgets“), die verschiedene Arten von Informationen zum Status des Deep Security Managers und der von ihm verwalteten Computer anzeigen. Klicken Sie oben rechts auf der Dashboard-Seite auf Widgets hinzufügen/entfernen, um die anzuzeigen Liste der zur Anzeige verfügbaren Widgets. Im Moment fügen wir die folgenden Widgets aus dem Abschnitt „Firewall“ hinzu: • Firewall-Computeraktivität (verhindert) • Firewall-Ereignisverlauf [2x1] • Firewall-IP-Aktivität (verhindert) Aktivieren Sie das Kontrollkästchen neben jedem der drei Widgets aus und klicken Sie auf „OK“. Die Widgets werden auf dem Dashboard angezeigt. (Die Generierung der Daten kann einige Zeit in Anspruch nehmen.)• Das Widget „Firewall-Computeraktivität (verhindert)“ zeigt eine Liste der häufigsten Gründe für die Ablehnung von Paketen an (d. h. sie werden vom Agenten auf diesem Computer daran gehindert, einen Computer zu erreichen). zusammen mit der Anzahl der abgelehnten Pakete. Bei den Elementen in dieser Liste handelt es sich entweder um Paketzurückweisungen oder Firewall-Regeln. Jeder „Grund“ ist ein Link zu den entsprechenden Protokollen für das abgelehnte Paket. • Das Widget „Firewall-Ereignisverlauf [2x1]“ zeigt ein Balkendiagramm an, das angibt, wie viele Pakete in den letzten 24 Stunden oder sieben Tagen (je nach ausgewählter Ansicht) blockiert wurden. . Wenn Sie auf eine Leiste klicken, werden die entsprechenden Protokolle für den durch die Leiste dargestellten Zeitraum angezeigt. • Das Widget „Firewall-IP-Aktivität (verhindert)“ zeigt eine Liste der häufigsten Quell-IPs abgelehnter Pakete an. Ähnlich wie

Im Widget „Firewall-Aktivität (verhindert)“ stellt jede Quell-IP einen Link zu den entsprechenden Protokollen dar. Beachten Sie die Trendindikatoren neben den numerischen Werten in den Widgets „Firewall-Computeraktivität (verhindert)“ und „Firewall-IP-Aktivität (verhindert)“. Ein nach oben oder unten zeigendes Dreieck zeigt einen Gesamtanstieg oder -abfall über den angegebenen Zeitraum an, und eine flache Linie zeigt an, dass es keine signifikante Änderung gibt.

Notiz:

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schutz eines mobilen Laptops

Protokolle von Firewall- und Intrusion Prevention-Ereignissen

Berichte

Deep Security 9.5 Installationshandbuch (Grundkomponenten) Schutz eines mobilen Laptops

Deep Security 9.5-Installationshandbuch (Basiskomponenten) · Über dieses Dokument Deep Security 9.5-Installationshandbuch (Basiskomponenten) Dieses Dokument beschreibt die Installation und Konfiguration – [PDF-Dokument] (2023)

References