magnify
Home 3. Party Trend Micro Client/Server Messaging Security for SMB Bölüm 2
formats

Trend Micro Client/Server Messaging Security for SMB Bölüm 2

Tarih 26 Şubat 2008 yazar içinde 3. Party

 

Bir önceki makalemde sizlere Trend Micro Client/Server Messaging Security for SMB in kurulumunu ve agentların dağıtımını anlatmaya çalıştım. Bu makalemde Dashboard u anlatmaya çalışacağım. Trend Micro varsayılan virus ayarların değiştirmenizi önermez. Makalenin içeriğinde, yönetim özelliklerine değinmeye çalışacağım. Kurulumu tamamladıktan sonra tavsiyem en güncel Security Patch i yüklemenizdir. Aşağıdaki Linkten en güncel patch leri bulabilirsiniz.

http://www.trendmicro.com/download/product.asp?productid=39

Bu patch, güvenlik açıklarını kapatır ve optimizasyonu sağlar. Eğer yüksek işlemci kullanımı ile problem yaşıyorsanız, patch i kurduktan sonra probleminiz kalmayacaktır.

clip_image002

Resim-1 –

https://ip:4343/SMB/ yazarak konsolumuza ulaşıyoruz ve şifremizi girerek logon oluyoruz.

clip_image004

Resim-2 –

 

Logon olduğumuzda karşımıza Live Status penceresi çıkacaktır. Burada sistemimizin genel durumu hakkında bilgilendirmeleri buluruz.

 

clip_image006

Resim-3 –

Şimdi sırayla inceleyelim. Outbreak Defense, Güvenlik açıklarını belirtir. Yani Microsoft a ait güncellemelerdir. Ne tür patchler gerekli ve hangi tehditler altında kalacağımızı buradan görürürüz. Makine adının üzerine tıkladığımızda daha detaylı rapor alabiliriz.

clip_image007

Resim-4 –

 

Patch Exploited altında güvenlik açığı için bir id verilmiş biz buraya tıklarsak http://www.microsoft.com/technet/ sitesine yönlendiriliriz ve böylece güvenlik güncellemesi hakkında daha detaylı bilgi alırız. Threat name de ise bize hangi tehditler altında olduğumuzu belirtir. Tehditin üzerine tıkladığımızda ise TM in sitesine yönlendiriliriz ve tehdit hakkında detaylı bir bilgi almış oluruz. Güncellemeler çok önemlidir. Son güvenlik güncellemeri yüklenmiş olsaydı burada hata almazdık. Düzenli olarak güncellemelerin yapılması ve kontrolünü sağlamalıyız. Güncellemelerin merkezi olarak dağıtımı ve kontrolü için sitemizde de makalesi olan Wsus kullanırız.

clip_image009

Resim-5 –

 

Antivirus ise kullanıcılarda bulunan virus ü raporlar. Bazı durumlarda anti-virus yazılımları otomatik olarak viruslari temizleyemez bunun sebebi startup ta çalışması veya sistem kaynaklarını kullanması olabilir. Sistemde virus bulunduğunda, kurulumda belirttiğimiz mail adresine bilgi düşer ve bize durum raporu verir eğer temizlenemedi ise manuel olarak virusun konum bilgisinden faydalanarak temizleyebiliriz.

clip_image010

Resim-6 –

 

Anti-Spyware, bize makinelerde bulunan spyware dosyalarının raporunu verir. Detaylı bir rapor için tıklatıyoruz.

clip_image012

Resim-7-

Raporumuzda Schedule Scan sırasında bulunduğunu ve temizlendiğini söylüyor. Eğer Spyware olarak hariç tutulması istediğiniz bir program varsa (Sniffer gibi) Add to Group Approved List e eklemelisiniz.

clip_image014

Resim-8 –

Msn Chat Sniff Monitor yazılımın otomatik olarak kaldırdığını belirtiyor.

clip_image016

Resim-9 –

 

 

Anti-Spam, Exchange server a düşen spam raporunu verir. Kurulumda Spam Detection rate: Medium olarak gelir.Exchange server ile ilgili ayarları bir sonraki makalemde yazacağım.

clip_image018

Resim-10 –

 

Product License, Lisans durumumuzu gösterir. Yeni aldığımız lisans kodunu Enter New Code Linkinden yenileyebiliriz.

clip_image020

Resim-11 –

 

Updates, Agent ların updateleri belirtir. Eğer update edilmeyen client varsa manuel olarak update leri dağıtabiliriz.

System, Disk Boşluğu ile ilgili uyarıları verir. Eğer diskimizde update ve log ların oluşturduğu alan disk kapasitemizde yeterli değilse burada hata alırız.

 

clip_image022

Resim-12 –

Security Settings bizim en çok kullanacağımız bölümdür. Bizim yönetim konsolumuzdur. Makineleri yönetir ve kurallar oluştururuz. Yeni bir konteyner açmak için Add Group seçeniğini kullanırız.

clip_image024

Resim-13 –

 

Add ise agentları dağıtmamıza yarar. Bir önceki makalemde detaylı incelemiştir. Konteyerı seçtiğimizde Remove, Replicate Settings ve Configure ikonları aktif olur.

clip_image026

Resim-14 –

 

Replicate setting, Source (Kaynak) üzerindeki tüm ayarların Target (Hedef) konteynerinde olan makinelere aktarılmasını yani replike olmasını sağlar.

 

clip_image028

Resim-15 –

 

Remove Client kullanarak makineleri konsol üzerinden kaldırırabiliriz (Remove the Selected inactive agents) ve Agent ların uninstall (Uninstall the selected Agents) edilmesini sağlayabiliriz. TM varsayılan ayarlarında, aktif olmayan Clientları 30 gün sonra otomatik olarak kaldırılır. Bu süreyi (Preferences > Global Settings – System dan “Automatically remove a Client/Server Security Agent if inactive for 30 days ”) değiştirebilirsiniz.

clip_image030

Resim-16 –

 

Konteynera girip Configure diyoruz.

Antivirus/Anti-spyware, TM real time scan yapar. Isterseniz kapatabilirsiniz. Önerilmez. Makalenin başında da belirttiğim gibi TM varsayılan virus ayarlarını değiştirmesini önermez.

 

 

clip_image032

Resim-17 –

 

 

Exclusions bize virus veya spyware olarak taranmasını istemediğimiz klasör, dosya veya uzantılıarı tanımlamamızı sağlar. 1. Kısımda taranmasını istemediğimiz klasörü seçtirir. 2. Kısımda dosyayı belirleriz ve 3. Kısım ise uzantı belirlememizi sağlar.

clip_image033

Resim-18 –

 

 

 

Advanced Settings, kısmında dilerseniz network üzerindeki paylaşımda olan dosyaları taratabilirsiniz. veya kapanışta floppy sürücünüzün de taranmasını sağlayabilirsiniz.

clip_image035

Resim-19 –

 

 

TM firewall ile port bazlı kısıtlamaz yaparız. Örneğin kullanıcı http den çıkmasın yada sadece https ten çıksın veya RDP yapamasın gibi. TM Firewall varsayılanda kapalıdır. Enable firewall diyoruz ve Advanced mode u seçiyoruz. İlk yapılandırmada tüm portlar allow mode dadır yani herhangi bir bloklama yoktur. Biz bunları editliyerek deny kuralı oluşturabilirz.

clip_image037

Resim-20 –

 

İlk önce mevcut bir kuralı editliyelim. HTTP kuralını editliyoruz. Action kısmında Deny network traffic olarak değiştiriyoruz. Kuralı Inbound ve Outbound seçeneklerini aynı bırakıyoruz. HTTP, TCP protokolünü aynı bırakıyoruz. 80 nolu port bloklanacak değişiklik yapmıyoruz. Kuralı makine bazlı da yazabiliriz, Ben Tüm konteyner için yazıyorum. All Ip adresses ta bırakıp save diyerek çıkıyorum.

clip_image039

Resim-21 –

 

 

Yazdığımız kural deny olarak değişti. Oluşturduğunuz kuralın baskın olmasını isterseniz. Move Up diyerek yukarı çekeriz ve böylece baskınlık kazanmasını sağlarız. Enable Alert Message açmanızı tavsiye etmem, kullanıcı tarafına bir alert message çıkmasını sağlar. Ben test amaçlı açıyorum. Intrusion Detection System (IDS), network ten client a saldırının nereden geldiğini tespit etmemizi, ve saldırının bloklanması sağlar. Firewall lar tarafından yaygın olan bir teknolojidir.

 

clip_image040

Resim-22 –

 

Client tarafından 80 nolu portun bloklandığını görüyoruz.

clip_image042

Resim-23 –

 

Msn bloklanması için bir kural oluşturalım. Add diyoruz. Kuralımıza bir isim veriyoruz. Deny kuralı olacak. Inbound ve Outbound u seçiyoruz. Protocol type olarak TCP/UDP seçiyoruz. Msn in login portu olan 1863 kapatıyoruz. (Range kısmında port aralığını belirterek kısıtlama yapabiliriz. ) Makine bazlı bir policy olacak. Single IP den engellemeyi yapacağız makinenin ipsini yazıyoruz ve save ederek çıkıyoruz.

clip_image043

Resim-24 –

 

Kullanıcı Msn e log olmaya çalıştığımızda işlem gerçekleşmiyor ve bloklanıyor.

clip_image045

Resim-25 –

 

 

Prilvilages, Kullanıcılara yetkiler vermemizi sağlar. Kullanıcıya, manuel scan yetkisi, scan in durdurmasını, firewall u kapatması sağlayabilirsiniz. Enable Roaming Mode ise, notebook lar için düşünülmüş bir opsiyondur. Enable Roaming Mode diyoruz. Roaming Mode da çalışan bir kullanıcı artık LAN de bulanan TM server üzerinden update leri almayacaktır. Bundan sonra updateler için TM ActiveUpdate server dan alacaktır.

 

clip_image046

Resim-26 –

 

Kullanıcılarında agent üzerinden Enable etmesi gerekir. Bunun için Roaming Mode çalışacak kullanıcıları bilgilendirmeliziniz. Client Tarafında Roaming mode u etkinleştiriyoruz.

 

clip_image047

Resim-27 –

 

Etkinliştirdikten sonra ikonunuz değişecektir.

clip_image049

Resim-28 –

 

ve konsol üzerinden Roaming olarak görünecektir. Şirket içinde Roaming Mode da çalışan kullanıcılara policy yazamasınız bunun sebebi bu kullanıcılar artık LAN de bulunan TM server la ilişkisi kalmamıştır. Roaming Mode aktif etmeden yazılan policy ler geçerlidir. Örneğin kullanıcılar için Msn i kapattınız. Daha sonra kullanıcı Roaming Mode a geçti. O makineden artık Msn i kullanamaz.

 

 

clip_image050

Resim-29 –

 

Disable Roaming Mode geçtiğiniz zaman. Client, “ben artık iç network deyim deyip” server ile iletişime geçer ve senkronize olur.

clip_image052

Resim-30 –

 

Manuel Scan işlemini başlatabilirsiniz. Eğer tek bir makeninin scan edilmesi isteniliyorsa bir grup açıp, o kullanıcıyı üye ettikten sonra tarama işmenini başlatabilirsiniz.

 

 

clip_image054

Resim-31 –

 

Haftalık veya belli aralıklarda tarama işlemini programlayabiliriz.

clip_image056

Resim-32 –

 

Belirlil aralıklarda rapor oluşturmasını sağlayabiliriz.

 

clip_image058

Resim-33 –

 

Add i seçerek aylık bir rapor oluşturacağız. Raporun hangı sıklıkta alınacağını ve içeriğini seçiyoruz ve daha sonra hangi mail adresimizi yazıp raporun formatını seçtikten sonra add diyoruz.

 

 

clip_image060

Resim-34 –

 

Raporumuz başarılı bir şekilde oluştu. Rapor her ayın 01’ inde saat 00:10 da mail adresimize düşecektir.

clip_image062

Resim-35 –

 

 

TM logları 30 gün boyunca saklar. Her 30 günün sonunda bakım işlemi yapılır ve 30 günden eski olan loglar otomatik olarak silinir. Mevcut logları manuel Log Detection dan silebilirsiniz.

clip_image064

Resim-36 –

 

Belirtiğimiz mail adresine düşen tüm bilgilendirme maillerinin içeriğini görebilir, değiştirebilir ve gelmemesini istediğimiz bilgilendirme maillerini burdan kaldırabiliriz.

 

clip_image066

Resim-37 –

 

Ve Event Loglara düşmesini de sağlayabiliriz.

Client/Server tarafında herhangi bir problem yaşarsanız. TM sizden debugging yapmanızı isteyecektir. Bunun için Case Diognostic Tool u kullanırız. Bu tool ile oluşturduğunuz dosyayı TM gönderirsiniz ve size hatanın çözümünü sunar. Ayrıca yararlı bir tool olan Rootkitbuster, bir rootkit tarama aracıdır. Bu tool iler gizlenmiş dosyaları, registry kayıtlarını, sürücüleri ve prosesleri tarar ve temizlemesine yardımcı olur. Bu toolları aşağıdaki linkten indirebilirsiniz. Case Diognostic Tool kullanımı ile ilgili makalesi linkte mevcut.

http://www.trendmicro.com/download

Konsol üzerinde clientler offline gözüküyor ise aşağıdaki linkte olan troubleshoot tan faydalanabilirsiniz.

http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034943&id=EN-1034943

Bu makalemde Trend Micro nun Dashboard üzerinden clientların yönetimi ve ayarlarını anlatmaya çalıştım. Bir sonraki makalemde Exchange Server üzerinde Content Filtering (İçerik Filtreleme), Attachment Blocking , Anti-Virus ve Anti-Spam Özelliklerini anlatmaya çalışacağım. Bir sonraki makalemde görüşmek üzere.

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
Trend Micro Client/Server Messaging Security for SMB Bölüm 2 için yorumlar kapalı  comments 
© Hakan Uzuner
credit