Administración del volumen de tráfico de Symantec Endpoint Protection (SEP / SEPM)

8

Mi organización tiene una gran implementación de Symantec Endpoint Protection (SEP) (~ 20k clientes) con una sola instancia de SEPM ejecutándose en una VM ESX. Tenemos muchos clientes remotos designados como proveedores de actualizaciones grupales (GUP) siempre que sea posible.

Lo que nuestros administradores de sistemas han informado es que el software SEP no tiene ninguna forma nativa de limitar su uso del ancho de banda de la red. Necesita enviar una actualización de definición 'completa' a cada cliente, algunos cientos de Mbyte de tamaño. Descubrimos que el SEPM prácticamente aceptará miles de solicitudes de registro de clientes y enviará todas las actualizaciones de los clientes a la velocidad de datos máxima posible.

Necesitamos alguna forma de reducir la cantidad de ancho de banda utilizado por el SEPM para actualizar a los clientes de forma nativa, de modo que haya espacio libre en su conexión de red para el tráfico de administración (entrada remota, verificar la consola SEP, etc.).

Hasta ahora, para mitigar la inundación de toda la red, hemos acelerado el tráfico SEPM externamente (a nivel de VM y de conmutación), lo que funciona para evitar la congestión en la red de cabecera. Sin embargo, eso no garantizará ningún ancho de banda para el tráfico de administración.

Nos gustaría implementar algún cambio en el sistema operativo o en el nivel de la aplicación para limitar el tráfico sin necesidad de una implementación de QoS de gran peso en cientos de oficinas. Idealmente, nos gustaría poder reducir la cantidad de tráfico utilizado por cliente para las actualizaciones de SEP.

Avíseme si tiene alguna idea de cómo lograr este objetivo.

windows vmware-esxi symantec-endpoint-protection trp
fuente
Encontré este artículo, probaré
trp
Las sugerencias en el artículo no son buenas con la nueva versión de SEP, ya que cambian los servidores web a Apache.
trp
Trabajo con SEPM y Windows y QoS es la única forma de hacer lo que me pides. Sin embargo, los SEP no deberían solicitar una descarga de definición completa cada vez. A menos que el SEPM y sus GUP solo estén configurados para contener <5 defs. Asegúrese de que contengan al menos 10, ya que hay 4 actualizaciones predeterminadas de def / día
Lizz
2
symantec.com/business/support/… - Establezca " Tiempo máximo que los clientes intentan descargar actualizaciones de un Proveedor de actualizaciones grupales antes de probar el servidor de administración predeterminado" en Nunca. También puede reducir el ancho de banda en los GUP si todavía exigen demasiado con la configuración "Ancho de banda máximo permitido para las descargas del Proveedor de actualizaciones grupales desde el servidor de administración"
agosto del
1
Gracias, eso también ayuda mucho. Todavía no cubre el caso donde no hay GUP disponible. Quiero poder controlar la cantidad de ancho de banda utilizado por el SEPM por cliente, independientemente de su estado GUP. (¿Podrían todos los hosts marcarse como GUP y limitarse con la opción de descarga máxima aquí?)
trp

Respuestas:

2

Creo que su mejor solución es configurar sus clientes remotos para:

  1. solo extraiga actualizaciones de los GUP en cada sitio remoto, reduciendo el ancho de banda en el GUP mediante la configuración de la política de LiveUpdate

    o

  2. simplemente deje que sus clientes remotos vayan directamente a Symantec para obtener actualizaciones y no a su servidor SEPM

Este artículo lo ayudaría a configurarlo de la primera manera : symantec.com/business/support/… :

  • Establezca "Tiempo máximo que los clientes intentan descargar actualizaciones de un Proveedor de actualizaciones grupales antes de probar el servidor de administración predeterminado" en Nunca.
  • También puede reducir el ancho de banda en los GUP si todavía exigen demasiado con la configuración "Ancho de banda máximo permitido para descargas de proveedores de actualizaciones grupales del servidor de administración"

Si tiene tantos sitios remotos que administrar los GUP en cada sitio es un dolor de cabeza, entonces elegiría la segunda opción.

Desafortunadamente, Symantec no parece tener una forma integrada de limitar el ancho de banda en los clientes remotos directamente, solo en los clientes GUP.

agosto
fuente
5

Puede limitar el ancho de banda del proceso del Administrador de SEP utilizando las funciones de QoS basadas en políticas integradas en Windows Server 2008 y posteriores.

  1. Inicie sesión en el servidor y ábralo gpedit.msc.

  2. Navega hacia Computer Configuration\Windows Settings\Policy-based QoS.

  3. Haga clic derecho y haga Policy-based QoSclicCreate new policy...

  4. Para Nombre de política, ingrese SEPM Throttling.

  5. Deseleccionar Specify DSCP Value.

  6. Compruebe Specify Outbound Throttle Rate.

  7. Ingrese la velocidad máxima deseada en megabits por segundo y seleccione Mbps(en lugar de Kbps) de la lista desplegable.

  8. Haga clic Next.

  9. Haga clic Only appliations with this executable name.

  10. Ingrese el nombre del proceso del servidor web SEPM (probablemente httpd.exe).

  11. Haga clic Nextdos veces, luego haga clic Finish.

Skyhawk
fuente
Por lo que sea que valga, SEP tiende a ser más problemático que otros productos antivirus empresariales. SEP es insuficientemente configurable, tiene una sobrecarga excesiva de CPU / red / disco y puede causar serios problemas en servidores ocupados con alta utilización de CPU (especialmente servidores de terminal), incluso con exclusiones sanas configuradas. Prefiero recomendar ESET a mis clientes.
Skyhawk
¡gracias por el consejo! Esto todavía no resuelve el problema de limitar el ancho de banda / por cliente /, solo el ancho de banda total utilizado por el servidor (que estamos superando la limitación en la VM). Necesitamos evitar tanto la asfixia de la red del servidor como la asfixia de las redes de los clientes.
trp