Service Composer kann mithilfe von Antiviruslösungen von Drittanbietern infizierte Systeme auf Ihrem Netzwerk identifizieren und sperren, um spätere Angriffe zu verhindern.

Vorbereitungen

Wir stellen fest, dass Symantec-Tags die virtuelle Maschine mit dem Tag AntiVirus.virusFound infiziert haben.

Warum und wann dieser Vorgang ausgeführt wird

Unser Beispielszenario zeigt, wie Sie Ihre Desktops vollständig schützen können.

Abbildung 1. Konfigurieren des Service Composer
Workflow
Abbildung 2. Bedingter Workflow des Service Composer
Test

Prozedur

  1. Installieren und registrieren Sie die Antimalware-Lösung von Symantec und stellen Sie sie bereit.
  2. Erstellen Sie eine Sicherheitsrichtlinie für Ihre Desktops.
    1. Klicken Sie auf die Registerkarte Sicherheitsrichtlinien (Security Policies) und anschließend auf das Symbol Sicherheitsrichtlinie hinzufügen (Add Security Policy).
    2. Geben Sie unter Name den Namen DesktopPolicy ein.
    3. Geben Sie unter Beschreibung (Description) die Beschreibung Antivirus-Prüfung für alle Desktops ein.
    4. Ändern Sie den Gewichtungswert auf 51000. Für den Richtlinienvorrang ist ein sehr hoher Wert festgelegt, um sicherzustellen, dass sie gegenüber allen anderen Richtlinien durchgesetzt wird.
    5. Klicken Sie auf Weiter (Next).
    6. Klicken Sie auf der Seite „Endpoint-Dienst hinzufügen“ auf Hinzufügen und geben Sie die folgenden Werte ein:

      Option

      Wert

      Aktion (Action)

      Standardwert nicht ändern

      Diensttyp (Service Type)

      Anti Virus

      Dienstname (Service Name)

      Symantec Antimalware

      Dienstkonfiguration (Service Configuration)

      Silver

      Zustand (State)

      Standardwert nicht ändern

      Erzwingen (Enforce)

      Standardwert nicht ändern

      Name

      Desktop-AV

      Beschreibung (Description)

      Obligatorische Richtlinie zur Anwendung auf allen Desktops

    7. Klicken Sie auf OK.
    8. Fügen Sie keine Firewalldienste oder Netzwerk-Introspektionsdienste hinzu. Klicken Sie auf Beenden (Finish).
  3. Erstellen Sie eine Sicherheitsrichtlinie für infizierte virtuelle Maschinen.
    1. Klicken Sie auf die Registerkarte Sicherheitsrichtlinien (Security Policies) und anschließend auf das Symbol Sicherheitsrichtlinie hinzufügen (Add Security Policy).
    2. Geben Sie unter „Name“ den Namen QuarantinePolicy ein.
    3. Geben Sie unter „Beschreibung“ die Beschreibung Richtlinie zur Anwendung auf alle infizierten Systeme ein.
    4. Ändern Sie die Standardgewichtung nicht.
    5. Klicken Sie auf Weiter (Next).
    6. Nehmen Sie auf der Seite „Endpoint-Dienst hinzufügen“ keine Einstellungen vor und klicken Sie auf Weiter (Next).
    7. Fügen Sie unter „Firewall“ drei Regeln hinzu: eine Regel zum Blockieren des ausgehenden Datenverkehrs, eine zweite Regel zum Blockieren des gesamten Datenverkehrs mit Gruppen und die letzte Regel zum Zulassen des eingehenden Datenverkehrs nur von Wartungstools.
    8. Fügen Sie keine Netzwerk-Introspektionsdienste hinzu und klicken Sie auf Beenden (Finish).
  4. Verschieben Sie QuarantinePolicy nach ganz oben in der Sicherheitsrichtlinientabelle, um sicherzustellen, dass sie gegenüber allen anderen Richtlinien durchgesetzt wird.
    1. Klicken Sie auf das Symbol Priorität verwalten (Manage Priority).
    2. Wählen Sie QuarantinePolicy und klicken Sie auf das Symbol Nach oben verschieben (Move Up).
  5. Erstellen Sie eine Sicherheitsgruppe für alle Desktops in Ihrer Umgebung.
    1. Melden Sie sich beim vSphere Web Client an.
    2. Klicken Sie auf Networking & Security und dann auf Service Composer.
    3. Klicken Sie auf die Registerkarte Security Groups und dann auf das Symbol Security Group hinzufügen (Add Security Group).
    4. Geben Sie unter „Name“ den Namen DesktopSecurityGroup ein.
    5. Geben Sie unter „Beschreibung“ die Beschreibung Alle Desktops ein.
    6. Klicken Sie auf den nächsten paar Seiten auf Weiter (Next).
    7. Überprüfen Sie Ihre Auswahl auf der Seite „Bereit zum Abschließen“ und klicken Sie auf Beenden (Finish).
  6. Erstellen Sie eine Sicherheitsgruppe mit dem Namen „Quarantäne“, in der die infizierten virtuellen Maschinen abgelegt werden.
    1. Klicken Sie auf die Registerkarte Security Groups und dann auf das Symbol Security Group hinzufügen (Add Security Group).
    2. Geben Sie unter Name den Namen QuarantineSecurityGroup ein.
    3. Geben Sie unter Beschreibung (Description) die Beschreibung Dynamische Gruppenmitgliedschaft, die auf durch die Antivirus-Prüfung identifizierten infizierten VMs basiert ein.
    4. Klicken Sie auf der Seite „Kriterien für Mitgliedschaft definieren“ auf Hinzufügen und fügen Sie das folgende Kriterium hinzu:

      quar

    5. Nehmen Sie keine Einstellungen auf den Seiten „Einzubeziehende Objekte auswählen“ oder „Auszuschließende Objekte auswählen“ vor und klicken Sie auf Weiter (Next).
    6. Überprüfen Sie Ihre Auswahl auf der Seite „Bereit zum Abschließen“ und klicken Sie auf Beenden (Finish).
  7. Weisen Sie die Richtlinie DesktopPolicy der Sicherheitsgruppe DesktopSecurityGroup zu.
    1. Vergewissern Sie sich, dass auf der Registerkarte „Sicherheitsrichtlinien“ die Richtlinie DesktopPolicy ausgewählt ist.
    2. Klicken Sie auf das Symbol Sicherheitsrichtlinie anwenden (Apply Security Policy) (Anwenden) und wählen Sie die Gruppe SG_Desktops aus.
    3. Klicken Sie auf OK.

      Durch diese Zuweisung wird sichergestellt, dass alle Desktops (zugehörig zur DesktopSecurityGroup) geprüft werden, wenn eine Antivirus-Prüfung gestartet wird.

  8. Navigieren Sie zur Arbeitsflächenansicht, um zu überprüfen, dass in QuarantineSecurityGroup noch keine virtuellen Maschinen eingeschlossen sind.
    1. Klicken Sie auf die Registerkarte Informationssicherheit (Information Security).
    2. Stellen Sie sicher, dass in der Gruppe (vm) 0 virtuelle Maschinen enthalten sind.
  9. Weisen Sie die QuarantinePolicy der QuarantineSecurityGroup zu.

    Durch diese Zuweisung wird sichergestellt, dass kein Datenverkehr in die infizierten Systeme übertragen wird.

  10. Starten Sie auf der Symantec Antimalware-Konsole eine Prüfung für Ihr Netzwerk.

    Die Prüfung identifiziert infizierte virtuelle Maschinen und versieht sie mit dem Sicherheits-Tag AntiVirus.virusFound. Die mit einem Tag versehenen virtuellen Maschinen werden sofort zu der QuarantineSecurityGroup hinzugefügt. Die QuarantinePolicy lässt keinen Datenverkehr von und zu den infizierten Systemen zu.