Gestion du volume de trafic Symantec Endpoint Protection (SEP / SEPM)

Mon organisation dispose d'un large déploiement de Symantec Endpoint Protection (SEP) (~ 20 000 clients) avec une seule instance SEPM exécutée dans une machine virtuelle ESX. Nous avons de nombreux clients distants désignés comme fournisseurs de mise à jour de groupe (GUP) lorsque cela est possible.

Ce que nos administrateurs système ont rapporté, c'est que le logiciel SEP n'a aucun moyen natif de limiter son utilisation de la bande passante réseau. Il doit envoyer une mise à jour de définition «complète» à chaque client, quelques centaines de Moctets. Nous avons constaté que le SEPM acceptera pratiquement des milliers de demandes d'enregistrement de clients et enverra toutes les mises à jour des clients au débit de données maximum possible.

Nous avons besoin d'un moyen de réduire la quantité de bande passante utilisée par le SEPM pour mettre à jour les clients en mode natif, afin qu'il y ait de la marge sur sa connexion réseau pour le trafic de gestion (à distance, vérifiez la console SEP, etc.).

Jusqu'à présent, pour limiter l'inondation de l'ensemble du réseau, nous avons limité le trafic SEPM en externe (au niveau de la machine virtuelle et de la commutation), ce qui fonctionne pour éviter la congestion au niveau du réseau tête de réseau. Cependant, cela ne garantit aucune bande passante pour le trafic de gestion.

Nous aimerions implémenter des changements au niveau du système d'exploitation ou de l'application pour limiter le trafic sans avoir besoin d'un déploiement QoS lourd dans des centaines de bureaux. Idéalement, nous aimerions pouvoir limiter la quantité de trafic utilisée par client pour les mises à jour SEP.

Veuillez me faire savoir si vous avez des idées sur la manière d'atteindre cet objectif.

Je pense que votre meilleure solution est de configurer vos clients distants sur:

1. extraire uniquement les mises à jour des GUP de chaque site distant, en limitant la bande passante du GUP à l'aide des paramètres de stratégie LiveUpdate

   ou

2. laissez simplement vos clients distants accéder directement à Symantec pour les mises à jour et non à votre serveur SEPM

Cet article vous aidera à le configurer de la première façon : symantec.com/business/support/… :

• Définissez «Délai maximum pendant lequel les clients tentent de télécharger les mises à jour à partir d'un fournisseur de mise à jour de groupe avant d'essayer le serveur de gestion par défaut» sur Jamais.
• Vous pouvez également limiter la bande passante sur les GUP s'ils demandent encore trop avec le paramètre «Bande passante maximale autorisée pour les téléchargements de fournisseur de mise à jour de groupe à partir du serveur de gestion»

Si vous avez tellement de sites distants que la gestion des GUP dans chaque site est un casse-tête, je choisirais la deuxième option.

Malheureusement, Symantec ne semble pas avoir un moyen intégré de limiter la bande passante directement sur les clients distants, uniquement sur les clients GUP.

Vous pouvez limiter la bande passante du processus SEP Manager à l'aide de fonctionnalités de QoS basées sur des stratégies intégrées à Windows Server 2008 et versions ultérieures.

1. Connectez-vous au serveur et ouvrez gpedit.msc.

2. Accédez à Computer Configuration\Windows Settings\Policy-based QoS.

3. Faites un clic droit sur Policy-based QoSet cliquez surCreate new policy...

4. Pour Nom de la stratégie, entrez SEPM Throttling.

5. Décochez Specify DSCP Value.

6. Vérifiez Specify Outbound Throttle Rate.

7. Saisissez le débit maximum souhaité en mégabits par seconde, puis sélectionnez Mbps(au lieu de Kbps) dans la liste déroulante.

8. Cliquez Next.

9. Cliquez Only appliations with this executable name.

10. Entrez le nom du processus du serveur Web SEPM (probablement httpd.exe).

11. Cliquez Nextdeux fois, puis cliquez sur Finish.