symantec endpoint protection manager · 上的漏洞攻擊,java...
TRANSCRIPT
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓
http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
為協助各位 IT 管理者快速入門,本文件簡易說明並介紹 SEPM 的管理界面,關於詳
細管理機制及各細項群組、政策等管理或原理說明,請參閱「Symantec™ Endpoint Protection 14 安裝與管理指南 .pdf」。如果您對 SEP 14 完整功能感興趣,也可參考「電
子型錄」以及「快速介紹簡報檔」。如果您要獲得最新版 SEP 14 可憑有效序號至「原
廠下載」或填寫「光碟遞交服務需求」。
為何需要端點防護軟體 ?電腦系統總是需要端點防護軟體,不管其工作的系統類型為何,無論是實體機還是虛
擬系統。Symantec 端點防護是一個軟體式的解決方案,其旨在於針對伺服器,桌上
型電腦,筆記型電腦和虛擬環境防護各種威脅。
Symantec 端點防護可以監控網際網路上幾乎所有已知應用程式的使用普遍程度和安
全級別,因此用戶電腦可以放心,他們正在安裝的程式是完全安全的。
什麼是 Symantec Endpoint Protection ?
Symantec Endpoint Protection 是通過分層防禦方法建立的終端安全解決方案。利用
獨特的分層技術,它可以檢測並刪除比任何其他產品更多的惡意軟體。從賽門鐵克
全球情報網路衍生,我們獨到的 Insight 和 SONAR 技術使掃描速度更快,且檢測更加
準確,效能更高,同時使用更少的資源。藉由單一管理控制台,Symantec Endpoint Protection 可在實體和虛擬的多個平台上提供進階的防護。
Symantec Endpoint Protection Manager
1
(SEPM)快速入門
下圖說明 Symantec Endpoint Protection 分層防禦的概念 :
2
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
借助 Symantec Endpoint Protection Manager,我們能夠:
● 在網路上部署端點用戶端
● 配置防護政策
● 查看公司的安全狀態
如下圖為 Symantec Endpoint Protection Manager 與 SEP 用戶端於一般狀況下的部署
3
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
使用 Symantec Endpoint Protection Manager 進行管理 :
首先 : 打開 SEPM 程式 -> 登錄,請輸入你的帳號密碼。
登錄到 SEPM 伺服器後,你首先看到的是整體狀態的「首頁」儀表板。它會提供有關
安全狀態,用戶端狀態,授權狀態和病毒 / 風險活動摘要訊息等。
4
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
查詢電腦狀態日誌:
要查詢日誌訊息,請點選“監視器"選項 -> 點選“日誌"選項,然後選擇日誌類型(稽
核,遵從,應用程式與裝置控制等),並選擇時間範圍選項以產生日誌。
在 SEPM 中 ,審核各項操作歷程 :
SEPM 附帶有一個名為“ 指令狀態 "的功能,這是一個非常不錯的功能,此功能可以
審查當前誰對 SEPM 做了什麼操作指令。它提供了有關指令核發日期,核發者,指令,
說明,完成狀態和源 IP 位址等各項訊息。
風險報告:
報告對任何安全軟體都是重要的,SEPM 提供了有關不同的風險類別報告,如稽核,
應用程式與裝置控制,遵從,電腦狀態,網路威脅防護等。在此處你還可以排程以產
生報告。
5
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
病毒和間諜軟體防護政策:政策對於任何防毒產品始終是重要的。 SEPM 內建三個預設的病毒和間諜軟體防護政策。
● 平衡:對於大多數環境推薦用此政策。
● 高安全性:高安全性的政策,但可能會影響其他應用程式的效能。
● 高效能:高效能的政策,但會降低安全性。
當然,SEPM 提供建立自定義病毒和間諜軟體防護政策的功能。
要查看特定政策內容,請雙擊政策或選擇政策,然後點選編輯政策。在管理員定義的
掃描中,你可看到有關每日排程的掃描訊息。 在此處你可以選擇新增或編輯排程掃
描。
6
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
防毒自動防護功能,預設值是掃描所有檔案類別,在此處你還可以選擇排除特定的副
檔名。
7
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
在“動作"頁籤中,你可以選擇當檢測出惡意軟體,病毒,間諜軟體,撥號程式和駭
客工具等情況下將做出什麼動作 ( 刪除隔離等 ..)。
你可以針對第一個動作或第一動作失敗時第二個動作改變設定。
基於檔案信譽的防護 ( 下載防護 ):
大多數時候駭客使用惡意檔案感染電腦或網路。 SEPM 使用檔案信譽的技術來防護這
種感染。 此處你可以選擇為下載鑑識自定義安全敏感度。
8
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
SONAR 防護: 賽門鐵克進階快速回應網路(Symantec Online Network for Advanced Response -SONAR)提供即時預防威脅,並主動檢測電腦安全風險。通過在運行時檢查程式,
SONAR 會根據應用程式行為識別新型態的威脅,使其能夠找到最新的和以前未能鑑識
的威脅。
提早啟動防惡意軟體防護:
提早啟動防惡意軟體(Early Launch Anti-Malware -ELAM)是一種新的 Windows 8 安
全技術,用於評估當非 Microsoft Windows 開機時的裝置 / 應用其驅動程式是否含有
惡意代碼。在任何第三方軟體或驅動程式啟動之前,它是第一個在 Windows 8 操作模
式下啟動的系統內核驅動程式。
防毒政策具有提早啟動防惡意軟體(ELAM)的功能。
9
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
指派群組政策:
要為群組指派政策,首先必須在用戶端選項中建立群組,然後右鍵點選要指派的特定
政策,並選擇選項“指派"
接下來,你可以選擇你欲指派政策的群組。
10
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
防火牆政策:
SEPM 有預設的端點防火牆防護政策。
點選“規則"選項可查看為終端電腦配置的預設規則。你可以在此處配置新規則或編
輯規則。
11
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
防護攻擊:
防火牆政策可為通訊埠掃描,服務阻斷攻擊,MAC 地址欺騙,隱形模式網頁瀏覽,
TCP 重排序和作業系統指紋偽裝提供了防護。
入侵預防政策:
網路入侵預防能自動檢測和阻止網路攻擊,其 < 防一般攻擊程式 > 可防堵用戶端電腦
上的漏洞攻擊,Java 攻擊防護,防堆積填充,結構式例外處理覆寫防護 (SEHOP)
只有在已安裝入侵預防的情況下,才能使用「防一般攻擊程式」。「防一般攻擊程式」
有自己的一組獨立特徵,這些特徵會隨入侵預防內容一起下載。不過,即使停用入侵
預防,「防一般攻擊程式」也可以執行。
12
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
瀏覽器入侵預防可自動檢測和阻止瀏覽器攻擊。
如果要刪除或新增一些政策,則可以在"例外"頁籤中新增或編輯。
應用與裝置控制政策:
應用程式控制限制應用程式允許執行的操作以及可以使用的系統資源。 應用程式控制
有許多目的,包括防止惡意軟體劫持應用程式,防止機密資料被無意中從你的公司中
刪除,以及限制哪些應用程式可以運行。
在政策頁籤,點選應用程式與裝置控制選項,如果要新增新的政策請於空白區域點選
滑鼠右鍵並選擇新增。
在此處你可以選擇啟用應用程式控制政策(如將 USB 隨身碟設為唯讀,禁止讀取
Autorun.inf 等 ...)。
13
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
硬體裝置控制政策:
可控制用戶端電腦被存取的硬體裝置,例如 USB 隨身碟,藍牙裝置,印表機等。
在應用程式與裝置控制中的裝置控制頁籤中,你可以選擇新增禁止存取的裝置,也可
以針對裝置排除為白名單。
14
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
主機完整性 :
主機完整性可確保用戶端電腦受到防護並遵從公司的安全性政策。主機完整性政策
可用於定義、強制執行和還原用戶端的安全性,以保護企業網路和資料的安全。
Liveupdate 更新政策:
啟用從 Liveupdate 更新伺服器自動下載的排程。此處的排程設定是針對預設
Liveupate 更新伺服器 ( 通常為外部 ),與群組更新提供程式 ( 與 ) 或第三方內容管理
工具的下載並無關聯性。
此處預設值是排程每 4 小時更新。
15
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
例外政策:
我們可以在“例外"選項頁籤中新增或建立新政策。
你可以在例外頁籤中新增或編輯政策,在此處你還可以選擇對特定例外採取何種動
作。
用戶端例外設定:
如果該電腦使用者具有管理權限,用戶端限制允許控制用戶端可以新增自訂例外類
型。
16
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
用戶端設定:
在 SEPM 中,用戶端選項頁籤可以選擇根據位置新增伺服器。
正如你在下面的螢幕截圖中看到的,我們有數個群組,在右窗格中,你可以選擇更改
一般設定、通訊、外部通訊設定、密碼、用戶端日誌設定和 Liveupdate 更新內容政策
設定。
在一般設定中,我們可以選擇為用戶端配置重新啟動設定。
17
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
在密碼設定選項中,可設定密碼鎖定用戶端功能:
● 開啟用戶端用戶界面
● 停止用戶端服務
● 匯入或匯出政策
● 移除用戶端
通訊設定:
使用通訊設定,我們可以定義用戶端如何與管理伺服器通訊。 SEPM 有兩種下載政策
模式。
» 推送模式:保持管理伺服器和用戶端之間的連線,若管理伺服器有新政策,如此 用戶端便可盡快下載。
» 提取模式:用戶端會根據活動訊號設定的間隔時間,定期連線至伺服器檢查是否 有新的政策可供套用。
18
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
外部通訊設定:
此頁籤我們可以設定用戶端和 SEPM 能否向賽門鐵克傳送某些類型的匿名資訊以協助
威脅分析,是否使用私人雲端 ( 如 Symantec ATP) 整合 ,SEPM 的 Liveupdate Proxy 設定等。
SEPM 管理員設定:
在 SEPM 管理員頁籤中,我們有管理管理員,網域,伺服器,安裝套件和授權訊息的
選項。
從管理員選項頁籤,我們可以新增,或編輯管理員。
19
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
在網域選項頁籤中,我們可以選擇重命名,新增或匯出網域 ( 說明 : 此網域非 MS DC網域,一般狀況都不用變更 )。
在伺服器選項頁籤中,我們可以刪除,或編輯管理伺服器的屬性。
複寫夥伴:在本機站台伺服器選項頁籤中,我們可新增複寫夥伴,編輯現有複寫夥伴
的設定。
如下圖示本機站台與站台 SEPMV14 互為複寫夥伴。
注意:建議複寫的排程使用自動複寫。
若要執行手動複寫,請點選立即複寫。
20
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
用戶端軟體安裝套件:
用戶端軟體安裝套件通常具有基本防毒,防火牆,入侵預防,進階下載防護,POP / SMTP 掃描程式,SONAR 防護和應用程式與裝置控制的功能集。
你可依據你的組織內需求,自訂想要含有各種功能集的特定安裝套件。
若要建立新的用戶端安裝功能集,請點選“新增用戶端安裝功能集",然後輸入你的
套件名稱,並選擇要新增的安裝功能。
21
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000
授權 : 此頁籤可管理你 Symantec Endpoint Protection 的授權,你可以針對公司擁有的
授權做新增、檢視、刪除等動作。
更多資訊 請造訪我們的網站
http://www.SaveTime.com.tw( 好記 :幫您節省時間 . 的公司 . 在台灣 )
關於保安資訊 :
從協助顧客簡單使用賽門鐵克方案開始,到滿足顧客需求更超越顧客期望的價值
►保安資訊被業界公認為最專業的賽門鐵克解決方案的專家。
►保安資訊的團隊自 1995 年起就專注於賽門鐵克資訊安全解決方案的銷售、規劃
與整合、技術支援、教育訓練、顧問服務,特別是提供企業 IT 專業人員的技能傳
承 (Knowledge Transfer) 的效益上,以及比原廠更快速的技術支援回應,深獲許
多中大型企業與組織的青睞 ( 特別是有 IT Team 的組織 ),長期合作的意願與滿
意度極高。
►與許多系統整合或服務公司不同的是,我們不吝惜分享我們的專業技能與經驗給
顧客的 IT Team,經由常態性的教育訓練、精簡的快速手冊以及標準 SOP 文件的
提供,以及基於比原廠更孰悉顧客的使用環境與現況的快速回應的品質,在業界
建立扎實的口碑。
►保安資訊一直專注於賽門鐵克領先業界的資訊系統基礎架構上的安全性與可用性
的解決方案。進而累積了許多與基礎架構整合的成功經驗,讓導入 Symantec 解
決方方案的成效非常卓越。我們的顧客都能免除 Try & Error 的時間浪費及不確定
的投入或自行摸索的運作風險。
►保安資訊聯絡資訊 http://www.savetime.com.tw 0936-285588
22
保安資訊有限公司 408 台中市南屯區三和街 150 號 1 樓http://www.savetime.com.tw/ 電話:886-4-23815000 傳真:886-4-23813000