Symantec Endpoint Protection 12.1
Technical Training
Technical Training
Sy a tec ec ca Suppo t O e e
Symantec Technical Support Overview
Symantec 企業授權產品支援服務
S
t 企業授權產品支援服務
• 企業授權產品支援中心免付費專線: 0080‐1861‐032
– 必須是賽門鐵克的企業產品授權用戶
– 必須還在該產品的授權合約的期限內

• 企業授權產品支援中心可提供...
Symantec 企業授權產品支援服務
S
t 企業授權產品支援服務
• 注意事項
– 技術支援中心的工程師,有義務要協助客戶解決問題,或提出相對應
的解決方案。在問題尚未獲得解決之前,您隨時都可以透過電話或 E‐
Mail 的方式,追蹤 CA...
線上新增、檢閱及更新技術支援案件
線上新增 檢閱及更新技術支援案件
• Symantec MySupport ‐ https://mysupport.symantec.com/
y
y pp
p // y pp
y
/
• 建立帳戶
– 支援編...
如何取得最新版本的安裝軟體
• 如何取得更新版本授權
– 必須在授權維護合約期限內
– 直接撥打免付費客服專線 0080‐1861‐032 按 2 至客服中心
按 至客服中心
– 告知客服人員 Customer Number 或 License...
如何管理授權並取得授權檔案
• 賽門鐵克授權入口網站 (Symantec Licensing Portal) 
( y
g
)
https://licensing.symantec.com
• 客戶可使用授權入口網站來註冊及啟用新購買的產品、管...
如何後送病毒樣本
• 為什麼要後送病毒樣本
– 病毒的變種速度與種類不斷增加, 且永遠都會有新的威脅
– 防毒軟體必須仰賴病毒定義檔才能發揮作用
– 病毒定義檔必須仰賴收集病毒樣本才能製作出正確的疫苗

• 如何後送病毒樣本
– 企業授權用戶(...
Symantec Endpoint Protection
Quick Overview
Quick Overview
端點防護的概念
• 什麼是端點?
– 每一部連上網路的系統都是網路上的一個端點

• 現今的網路威脅都能輕易避開閘道端的防護直接進入端點
–
–
–
–

利用使用者瀏覽網站的管道
利用使用者收發電子郵件的管道
利用即時通訊軟體或檔案共享軟體
...
主要產
產品

定義

解決方
方案

賽門鐵克端點安全
賽門鐵克端點安全
端點防護
Endpoint Protection: 
主動防護筆記型電腦、桌上型電腦、伺
服器不受已知與未知的惡意程式威脅提
供以下的防護能力:
· 防毒
· Anti...
完整的端點安全防護解決方案
網路存取控管

主動式威脅掃描

應用程式控管

• 檢查用戶端是否遵循安全政策
• 主動分析系統中可疑的木馬程式

• 控管哪些週邊裝置可以連接機器
• 控管使用者及程序的存取行為

加強
防護、控管
與可管理性
...
全新的 S
t E d i t P t ti 12 1
Symantec Endpoint Protection 12.1
單一代理程式, 單一主控台
Windows, Mac

Antivirus
Network 
Access 
Contr...
全新的 S
Symantec Endpoint Protection 12.1 
t E d i t P t ti 12 1

無可比擬的安全性

• 使用 Insight 技術
g
• 全新 SONAR 技術
即時監控程序行為

引人注目的超...
為什麼要使用 S mantec Insi ht?
Symantec Insight?
沒有任何現有的防護方法能解決這種「長尾分佈」的情況
今
今天,好軟體與壞軟體都呈現一種所謂的「長尾分布」情況。
軟
軟 都 現 種所
長
布」情況
可惜,兩種...
Symantec™ Insight 的運作方式
S
t ™ I i ht 的運作方式
2

1

幾乎網際網路
上的所有檔案
25 億個檔案
都有評等記錄

4

在掃描時核對
資料庫

建立一個
1億7千
5 百萬台
集合網路
個人電腦

是...
Insight 可以提供更快速的掃描
I i ht 可以提供更快速的掃描

在一個典型的系統上,70% 的使用
在一個典型的系統上 70% 的使用
中應用程式都能略過!

傳統掃描

必須掃描每個檔案

Insight ‐ 最佳化掃描

略過任...
以賽門鐵克 I i ht 為後盾的防護
Insight 為後盾的防護
Download 
Advisor

Email ‐
Auto 
protect

Intrusion 
prevention

SONAR

Insight

Browse...
Symantec Endpoint Protection 11.0 vs 12 1
S
t E d i t P t ti 11 0 12.1
Symantec Endpoint Protection
11.0
11 0

Symantec En...
Symantec Endpoint Protection
系統需求與架構
Symantec Endpoint Protection Manager 系統安裝需求
S
t E d i t P t ti M
系統安裝需求
元件

32bit

64bit

處理器

1 GHz Intel Pentium III 或效能...
Symantec Endpoint Protection 系統安裝需求
S
t E d i t P t ti 系統安裝需求
元件

32bit

64bit

處理器

1 GHz Intel Pentium III 或效能相當的處理器
(適用...
Symantec Endpoint Protection 基本架構
S
t E d i t P t ti 基本架構
Symantec Endpoint Protection Manager (SEPM)

Java Based Console
...
Symantec Endpoint Protection Manager 的主要功能
S
t E d i t P t ti M
的主要功能
• 監視狀況及匯出報告
– 排程每週或每天定時遞送報表至系統管理員的郵件信箱
• 集中事件/日誌記錄
–...
Symantec AntiVirus f Li
S
t A tiVi
for Linux
• Symantec AntiVirus for Linux 的支援平台
y
– RedHat Enterprise Linux 6.x
– SUSE L...
VMware & Hyper‐V 支援
VM
&H
V 支援
元件

虛擬化產品

Symantec Endpoint Protection Manager
主控台和內嵌資料庫

VMware Workstation 5.0 (工作站) 或更新...
Symantec Endpoint Protection
管理架構進階設計
進階的管理架構設計
• 依照實際環境需求可有以下的架構設計
–
–
–
–
–
–
–

集中式 (單一站台)
分散式 (多個站台)
日誌複寫 (多個站台)
內容複製 (多個站台)
混合式
容錯移轉
群組更新 (GUP)

Database

...
集中式架構
單一站台
單 站台

Site 1
Site 1
Database

SEPM
集中式架構
單一站台
單 站台 (容錯移轉)

Site 1
Site 1

Site 1
Site 1

Database

Database

OR
SEPM

SEPM

SEPM

SEPM

SEPM
複寫及容錯移轉
Failover between Management Servers &  Data Stores
Microsoft SQL Server 
2005/2008/2012 only

Clustered 
Databases...
集中日誌
Corp

Policy & Group 
Replication

SEPM

Log Replication

Site 1
Site 1

Database

SEPM

SEPM

Database

SEPM

SEPM

...
雙向日誌
Corp

Policy & Group 
Replication

SEPM

Log Replication

Site 1
Site 1

Database

SEPM

SEPM

Database

SEPM

SEPM

...
內容複製病毒定義檔
Corp

Policy & Group 
Replication

SEPM

Content Replication

Site 1
Site 1

Database

SEPM

SEPM

Database

SEP...
複合式架構
Corp

Policy & Group 
Replication

Database

Log Replication
SEPM

Content Replication

Site 1
Site 1

Database

SEP...
資料庫保存
Corp

Policy & Group 
Replication

SEPM

Log Replication

Site 1
Site 1

Database

SEPM

SEPM

Archive
Site

Databas...
群組更新
Corp

Group Policy

Database

Log
Content 

GUP

SEPM

GUP

GUP

SEPM

SEPM

GUP

GUP

GUP
Symantec
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
li
d
li
d

(Internet) 
TCP 80 / TCP 443

TCP 80 / TCP 4...
Symantec Endpoint Protection
基本安裝
部署 S
Symantec Endpoint Protection 之前
t E d i t P t ti 之前
• 管理伺服器 (SEPM) 的數量?
(
)
• 用戶端的種類及數量?
• 硬體是否符合需求?
• 啟用哪些功能?
• 管理伺服...
開始安裝 S
Symantec Endpoint Protection Manager
t E d i t P t ti M
確認安裝精靈執行步驟及接受授權許可協議
指定安裝目的資料夾並準備開始安裝
安裝動作完成後準備進行架構管理伺服器
選取架構類型
設定管理伺服器角色及指定資訊
選擇資料庫類型
• 依需求選擇要使用的資
料庫類型
• 內崁資料庫建議不超過
5000 個用戶端
• Microsoft SQL Server 目
前支援 2005 及 2008 兩
及
兩
個版本
• 如規劃負載平衡或容錯
轉移架構必須使用
...
建立系統管理員帳戶及指定加密密碼
指定電子郵件伺服器及同意匿名資料收集
架構精靈完成資料庫建立準備啟動管理伺服器
準備登入管理伺服器
進入管理介面確認可正常執行
Symantec Endpoint Protection
管理介面介紹
登入管理伺服器
首頁 (H
(Home)
)
監視器 (M it )
(Monitors)
報告 (R
(Reports)
t)
政策 (P li i )
(Policies)
用戶端 (Cli t )
(Clients)
管理員 (Ad i )
(Admin)
Symantec Endpoint Protection
部署用戶端安裝套件
依實際需求彈性部署代理程式
完整的端點安全
防護解決方案
綜合的端點保護部署

網路存取控管

主動式威脅防護

主動式威脅防護

應用程式與裝置控管

應用程式與裝置控管

防火牆

防火牆

防火牆

入侵防禦

入侵防禦

入侵防禦

防...
定義用戶端安裝功能集
定義用戶端安裝安裝設定
選擇用戶端安裝套件並匯出
部署用戶端之前
• 在部署用戶端之前須確認用戶端符合
以下條件才能順利部署
– 確認用戶端符合系統需求
• CPU 型號及作業系統版本
CPU 型號及作業系統版本
– 32bit or 64bit
– Windows XP SP2 或更新的版本...
Symantec Endpoint Protection
基本管理及設定
新增系統管理員
架構伺服器站台屬性
啟用授權
架構病毒和間諜軟體防護政策
架構防火牆政策
架構入侵預防政策
架構 Li U d t 政策
LiveUpdate
架構例外政策
架構用戶端政策
架構用戶端一般設定
架構用戶端 般設定
架構用戶端通訊設定
關於用戶端通訊設定
• 推送模式 (Push Mode)
(
)
– 讓用戶端與管理伺服器之前的連線保持開
啟,以便用戶端可以在最快時間下載政策。
– 適用於 500U 以下的用戶端,且用戶端與
伺服器均在同一個區域內。

• 提取模式 ( l...
架構用戶端使用者介面控制
Symantec Endpoint Protection
進階管理及設定
使用用戶端部署精靈
升級 S
Symantec Endpoint Protection
t E d i t P t ti
• 升級 Symantec Endpoint Protection Manager
y
p
g
– 在 Symantec Endpoint P...
設定使用者資訊收集
• 在 Symantec Endpoint Protection 
y
p
Manager 中點選「管理員」
• 在「安裝套件」選擇「用戶端安裝套
件」
• 點選「設定使用者資訊收集」
• 選擇希望使用者填寫的資料欄位
Sy...
用戶端使用者介面控制
• 預設用戶端使用者介面限制由伺服器控制,管理員可以指定哪些
使用者介面設定會出現在用戶端上
• 管理員可以指定用戶端所擁有的控制類型
– 伺服器控制
• 使用者有限制的控制權

– 用戶端控制
• 使用者有完整的控制權
...
新增硬體裝置
• 在 Symantec Endpoint Protection Manager 中點選「政策」,並在
y
p
g
「政策元件」中點選「硬體裝置」來新增硬體裝置
• 利用 DevViewer.exe 檢視系統中的硬體裝置,並找出 ...
設定管理伺服器清單
• 「管理伺服器清單」會顯示用戶端可以連線的管理伺服器
• 用戶端會先嘗試連線到優先順序較高的管理伺服器
• 優先順序相同的管理伺服器將執行自動負載平衡
管理病毒定義檔更新
• 定義檔路徑 C:Program FilesSymantecSymantec Endpoint 
 g
 y
 y
p
Protection ManagerInetpubcontent
• 最佳保留的內容修訂數量為 30 ...
管理位置
• 可依不同位置給予不同的防護政策
• 新增或編輯位置並依據需求調整優先順序
• 指定每個位置的判斷條件
–
–
–
–
–
–
–
–
–

IP 位址
閘道位址
DNS 伺服器位址
DHCP 伺服器位址
DHCP 伺服器位址
網路...
備份管理伺服器憑證
備份資料庫
如何進行災難復原?
• 備份金鑰及資料
– 利用 Symantec Endpoint Protection Manager 備份伺服器憑證
• 系統會備份 JKS 密鑰儲存檔案,以及一個名為 server_timestamp.xml 的檔案

...
常見問題與疑難排解
用戶端安裝失敗
• 無法遠端派送安裝
– 網路分享不存在或檔案共用未被允許
• C$、Admin$

– 本機安全性原則
• 網路存取:共用和安全性模式
– 傳統 ‐ 本機使用者以自身身分驗證

• 用戶端安裝失敗
– 未使用管理員權限安裝
–...
管理伺服器與用戶端無法通訊
• 檢查用戶端連線狀態是否為連線
• 檢查用戶端與管理主控台中的政策序號
– 執行手動政策更新後,請確定用戶端中出現的政策序號符合管理主控
執行手動政策更新後 請確定用戶端中出現的政策序號符合管理主控
台中出現的序號...
用戶端無法更新定義檔
• 用戶端無法點選 LiveUpdate 手動更新定義檔
p
– 檢查管理主控台中 LiveUpdate 政策設定
– 允許用戶端手動更新定義檔
– 手動更新政策

• 用戶端無法從 Symantec Endpoint P...
如何讓未受控管的用戶端受控管?
• 從 Symantec Endpoint Protection Manager 中匯出通訊設定
y
p
g
Sylink.xml
– Sylink.xml 儲存全域通訊設定。此檔案僅供內部使用,且不應加以編
輯...
公司內部允許的應用程式被判定為風險
• 部分特殊的應用程式,可能會被 Symantec Endpoint Protection 判
y
p
定為惡意程式或風險,使用者可以透過以下方法嘗試排除
• 若判定為惡意程式
– 該檔案程式碼中可能含有疑似...
用戶端不斷出現竄改防護通報
• 「竄改防護」功能主要保護 Symantec Endpoint Protection 不會被
y
p
惡意程序竄改
• 預設「竄改防護」功能為啟用
• 系統或部分應用程式在運作時,可能存取 Symantec End...
用戶端持續出現遭到攻擊的通報
• 入侵預防功能會針對網路上可能的異常封包或攻擊行為進行攔截
及通報
• 入侵預防僅能針對封包是否為已知的攻擊行為或是否符合正常規
範進行判別,對於特殊服務所產生的封包內容無法判斷是否為合
法,需要由管理人員判斷排...
無法登入管理伺服器
• 檢查是否管理員密碼輸入錯誤
– 嘗試使用其他的管理員帳號登入
– 重新設定管理員密碼

• 檢查是否能與資料庫正常連線
• 檢查資料庫服務狀態是否為已啟動
如何重新設定管理員密碼?
• 在執行 Symantec Endpoint Protection Manager 的電腦上開啟
y
p
g
「Windows 檔案總管」
• 變更目錄到 Symantec Endpoint Protection M...
應用程式與裝置控制政策實作
架構應用程式與裝置控制政策
Lab 1 : 禁止使用者使用未授權的硬體
L b 1 禁止使用者使用未授權的硬體
• 透過裝置控制功能,攔截使用者使用未授權的硬體裝置
• 修改裝置控制政策,新增欲攔截的硬體裝置
–
–
–
–

使用 DeviceViewer 找出欲攔截及...
Lab 2 : 限制使用者使用特定的通訊程序
L b 2 限制使用者使用特定的通訊程序
• 利用防火牆的設定限制使用者使用即時
通訊軟體的時間
• 修改防火牆政策,攔截特定的程序,並
在特定時間開放通訊
– 在「防火牆政策」中新增規則
– 修改...
Lab 3 : 保護特定的程序或檔案使其不受竄改
L b 3 保護特定的程序或檔案使其不受竄改
• 針對重要的系統檔案進行防護,例如 hosts 或網頁,透過此方式
可以預防惡意檔案或使用者任意竄改檔案
• 撰寫應用程式控管政策,攔截特定的檔案...
Lab 4 : 系統機碼存取控管
L b 4 系統機碼存取控管
• 避免惡意程序或惡意使用者任意修改機碼內容
• 撰寫應用程式控管政策,攔截特定的機碼被修改
– 定義欲保護的機碼,如: 
HKEY_LOCAL_MACHINESOFTWAREMi...
Lab 5 : 防止系統執行已知的惡意程序
L b 5 防止系統執行已知的惡意程序
• 在病毒定義檔尚未更新之前,透過 SEP 防止病毒繼續感染擴散
• 撰寫應用程式控管政策,攔截特定的惡意檔案被系統所執行
– 定義常見惡意檔案檔名,如: ka...
Lab 6 : 防止瀏覽器下載並執行網頁惡意程式
L b 6 防止瀏覽器下載並執行網頁惡意程式
• 透過應用程式控制政策,預防上網時被植入惡意程式
• 撰寫應用程式控管政策,設定瀏覽器無法呼叫執行檔
– 新增規則套用至瀏覽器應用程式,如 iex...
Lab 7 : 保護重要程序不被任意停用
L b 7 保護重要程序不被任意停用
• 透過撰寫防護政策,保護重要程序不會被惡意程式或使用者任意
停用
• 撰寫應用程式控制政策,設定要保護的程序
– 新增規則套用至所有程序
– 新增條件為「終止程序...
Lab 8 : 攔截 USB 隨身碟病毒
L b 8 攔截 USB 隨身碟病毒
• USB 隨身碟病毒會利用 autorun.inf 的特
性自動執行卸除式裝置中的惡意程式
• 撰寫應用程式控管政策,攔截系統讀取
卸除式裝置中的 autorun...
Q
Questions?
Symantec Endpoint Protection 12.1
Symantec Endpoint Protection 12.1
Upcoming SlideShare
Loading in...5
×

Symantec Endpoint Protection 12.1

4,028

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
4,028
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
108
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Symantec Endpoint Protection 12.1

  1. 1. Symantec Endpoint Protection 12.1 Technical Training Technical Training
  2. 2. Sy a tec ec ca Suppo t O e e Symantec Technical Support Overview
  3. 3. Symantec 企業授權產品支援服務 S t 企業授權產品支援服務 • 企業授權產品支援中心免付費專線: 0080‐1861‐032 – 必須是賽門鐵克的企業產品授權用戶 – 必須還在該產品的授權合約的期限內 • 企業授權產品支援中心可提供的服務 – 技術支援 – 客戶服務 • 企業授權產品技術支援服務流程 – 告知客 人 您授權書上的技術支援帳號 客戶編號或產 序號 告知客服人員您授權書上的技術支援帳號、客戶編號或產品序號 – 說明要詢問的產品名稱以及簡單敘述所遇到的問題 – 客服人員會記錄問題 並且提供 組案件編號(CASE NUMBER) 客服人員會記錄問題,並且提供一組案件編號(CASE NUMBER) • 請務必將 CASE NUMBER 紀錄下來,以便日後追蹤 – 客服人員會詢問您的聯絡方式,並請工程師與您聯繫 客服人員會詢問您的聯絡方式 並請工程師與您聯繫 • 可以要求工程師以郵件回覆或回覆給您指定的技術人員 • 可以要求線上直接將電話轉接給有空的工程師
  4. 4. Symantec 企業授權產品支援服務 S t 企業授權產品支援服務 • 注意事項 – 技術支援中心的工程師,有義務要協助客戶解決問題,或提出相對應 的解決方案。在問題尚未獲得解決之前,您隨時都可以透過電話或 E‐ Mail 的方式,追蹤 CASE 目前的處理進度 l 的方式 追蹤 目前的處理進度 – 請務必針對技術支援中心的工程師所提出的建議或需求給予回應 – 如果您的問題未獲得妥善的解決 您可以將您的 CASE NUMBER 提供 如果您的問題未獲得妥善的解決,您可以將您的 CASE NUMBER 提供 給賽門鐵克的合作夥伴窗口,由賽門鐵克的合作夥伴提供更進一步的 協助 • 常見問題 – 與工程師溝通有困難時,可要求工程師放慢說話速度或以 E‐Mail 回覆 與 程師溝通有困難 要 程師放慢說話速度或以 回覆 – 開 CASE 無需支付額外費用,購買產品授權時即已包含技術支援服務 – 可由熟悉環境的維護廠商第一線工程師協助釐清,可加速問題處理
  5. 5. 線上新增、檢閱及更新技術支援案件 線上新增 檢閱及更新技術支援案件 • Symantec MySupport ‐ https://mysupport.symantec.com/ y y pp p // y pp y / • 建立帳戶 – 支援編號 (CASE NUMBER)、技術聯絡人 ID (CONTACT ID) 、技術案例 ID (CASE NUMBER) 技術聯絡人 ID (CONTACT ID)  技術案例 • 主要功能 – 新增技術支援案件、新增客戶服務案件 – 檢視案件進度 – 更新案件內容及狀態
  6. 6. 如何取得最新版本的安裝軟體 • 如何取得更新版本授權 – 必須在授權維護合約期限內 – 直接撥打免付費客服專線 0080‐1861‐032 按 2 至客服中心 按 至客服中心 – 告知客服人員 Customer Number 或 License Number 並告知客服人員希 望升級至 SEP – 客服人員會寄發升級通知至所登記的使用者信箱 – 使用取得的新授權下載最新的安裝軟體 • 如何下載最新版本的軟體 – 開啟瀏覽器並連線到 https://fileconnect.symantec.com – 點選欲瀏覽的語言 – 輸入欲下載軟體的授權序號 – 點選欲下載的軟體開始下載
  7. 7. 如何管理授權並取得授權檔案 • 賽門鐵克授權入口網站 (Symantec Licensing Portal)  ( y g ) https://licensing.symantec.com • 客戶可使用授權入口網站來註冊及啟用新購買的產品、管理現 有的授權資料及處理軟體版本升級通知。 • 客戶必須先取得登入帳號 – 帳號由客戶自行申請 (通常以 E‐mail 作為帳號) • 如何取得授權檔案 – – – – – – 以申請的帳號登入 Licensing Portal 點選 “取得授權碼” 依據需求選擇“新購買的產品”或“版本升級” 輸入授權序號或升級通知碼 選擇欲下載授權的產品並點選“檢視詳細資料” 點選“下載授權碼檔案”取得授權檔案
  8. 8. 如何後送病毒樣本 • 為什麼要後送病毒樣本 – 病毒的變種速度與種類不斷增加, 且永遠都會有新的威脅 – 防毒軟體必須仰賴病毒定義檔才能發揮作用 – 病毒定義檔必須仰賴收集病毒樣本才能製作出正確的疫苗 • 如何後送病毒樣本 – 企業授權用戶(金級服務客戶) • https://submit.symantec.com/gold/ • 需要客戶的 Contact ID • 可以取得 Tracking Number, 便於後續進度追蹤 • 優先取得服務 並且通知取得病毒定義檔 優先取得服務, 並且通知取得病毒定義檔 – 一般授權用戶(一般個人盒裝用戶) • https://submit.symantec.com/retail/ • 任何人都可以 Submit 病毒樣本 • 沒有 Tracking Number 可供後續進度追蹤 • 處理速度較慢 會直接寫入下 個版本的病毒定義檔 處理速度較慢, 會直接寫入下一個版本的病毒定義檔
  9. 9. Symantec Endpoint Protection Quick Overview Quick Overview
  10. 10. 端點防護的概念 • 什麼是端點? – 每一部連上網路的系統都是網路上的一個端點 • 現今的網路威脅都能輕易避開閘道端的防護直接進入端點 – – – – 利用使用者瀏覽網站的管道 利用使用者收發電子郵件的管道 利用即時通訊軟體或檔案共享軟體 USB 隨身碟或外接式磁碟機 • 單純的病毒防護機制已不足以防護最新的威脅 – 2007 年總共發現超過 550 萬隻新病毒 – 病毒不再只是單純的感染系統 • 自動找出網路上有弱點的系統並嘗試入侵該系統 ( ) • 竊取敏感性資料 (帳號、密碼、個人資料 …) • 自動上網更新版本以躲避防毒軟體的偵測 • 全新的端點防護機制能降低使用者接觸風險的機會
  11. 11. 主要產 產品 定義 解決方 方案 賽門鐵克端點安全 賽門鐵克端點安全 端點防護 Endpoint Protection:  主動防護筆記型電腦、桌上型電腦、伺 服器不受已知與未知的惡意程式威脅提 供以下的防護能力: · 防毒 · Antispyware · 個人防火牆 · 入侵防禦系統 (Host & Network) · 週邊裝置控管 Symantec Endpoint  Protection 12.1 端點政策遵循 Endpoint Compliance: · 持續的諯點完整性檢查 · 中央控管端點遵循政策 · 自動化的修補 · 主機式的強制執行連線政策 · 監控及報告 · 系統設定、檢查、修補、及強制 Symantec Network  Access Control 12.1
  12. 12. 完整的端點安全防護解決方案 網路存取控管 主動式威脅掃描 應用程式控管 • 檢查用戶端是否遵循安全政策 • 主動分析系統中可疑的木馬程式 • 控管哪些週邊裝置可以連接機器 • 控管使用者及程序的存取行為 加強 防護、控管 與可管理性 裝置控管 (網路) 入侵防禦 • 封鎖來自內外的未授權流量 • 攔截針對弱點的惡意攻擊 個人防火牆 安全風險防護 病毒防護 • 領先全球的防毒解決方案 • 輕易偵測移除間諜程式 降低 成本、複雜性 與風險暴露
  13. 13. 全新的 S t E d i t P t ti 12 1 Symantec Endpoint Protection 12.1 單一代理程式, 單一主控台 Windows, Mac Antivirus Network  Access  Control Antispyware Application  Control Firewall Device  Control Intrusion  Prevention
  14. 14. 全新的 S Symantec Endpoint Protection 12.1  t E d i t P t ti 12 1 無可比擬的安全性 • 使用 Insight 技術 g • 全新 SONAR 技術 即時監控程序行為 引人注目的超強效能 • 降低超過 70% 的 經常性掃描 • 更聰明的更新 • 更快速的管理 專為虛擬環境所打造 • 針對虛擬環境測試及 優化 • 搜尋管理虛擬用戶端 • 降低掃描負擔
  15. 15. 為什麼要使用 S mantec Insi ht? Symantec Insight? 沒有任何現有的防護方法能解決這種「長尾分佈」的情況 今 今天,好軟體與壞軟體都呈現一種所謂的「長尾分布」情況。 軟 軟 都 現 種所 長 布」情況 可惜,兩種技巧都無法有效應付數 千萬個普遍性不高的檔案。 (但這卻是今日絕大多數惡意程式的 寫照) 黑名單在此處效果 良好。 長尾分佈的情況需要一 分佈的情況 種新的技巧。 好的檔案 普遍性 性 壞的檔案 白名單在此處效果 良好。
  16. 16. Symantec™ Insight 的運作方式 S t ™ I i ht 的運作方式 2 1 幾乎網際網路 上的所有檔案 25 億個檔案 都有評等記錄 4 在掃描時核對 資料庫 建立一個 1億7千 5 百萬台 集合網路 個人電腦 是新的檔案嗎? 信譽不佳嗎? 普遍性 新舊程度 5 可供行動的資料 3 找尋關聯性 來源 行為
  17. 17. Insight 可以提供更快速的掃描 I i ht 可以提供更快速的掃描 在一個典型的系統上,70% 的使用 在一個典型的系統上 70% 的使用 中應用程式都能略過! 傳統掃描 必須掃描每個檔案 Insight ‐ 最佳化掃描 略過任何已確認良好的檔案,大幅提高掃 描速度
  18. 18. 以賽門鐵克 I i ht 為後盾的防護 Insight 為後盾的防護 Download  Advisor Email ‐ Auto  protect Intrusion  prevention SONAR Insight Browser  Protection Antivirus ‐ Real time Real time Antivirus ‐ ScanLess CloudScan
  19. 19. Symantec Endpoint Protection 11.0 vs 12 1 S t E d i t P t ti 11 0 12.1 Symantec Endpoint Protection 11.0 11 0 Symantec Endpoint Protection 12.1 12 1 防毒 / 防間諜程式 ● ● 桌上型個人防火牆 ● ● 入侵預防/通用漏洞攔截 ● ● 裝置與應用程式控制 ● ● 主動式威脅掃描 (TruScan) ● ● 網路存取控制模組 ● ● Mac 用戶端防護及控管 ● ● 電子郵件自動防護 (POP3/SMTP) ● ● 群組軟體自動防護 (Outlook/Notes) ● ● 保護技術 Symantec Insight 技術 (智慧型掃描) ● 下載智慧型掃描 ● 智慧型掃描查詢 ● SONAR 偵測即時防護技術 ● 檔案信譽 ● 虛擬影像例外 ●
  20. 20. Symantec Endpoint Protection 系統需求與架構
  21. 21. Symantec Endpoint Protection Manager 系統安裝需求 S t E d i t P t ti M 系統安裝需求 元件 32bit 64bit 處理器 1 GHz Intel Pentium III 或效能相當的處理器 (適用大多數系統) 2 GHz x86‐64 Pentium 4 或效能相當的處理器 附註:不支援 Intel Itanium IA‐64 和 PowerPC 作業系統 • Windows 7 • Windows XP Professional Service Pack 3 或更新版本 • Windows Server 2003 Standard / Enterprise /  Datacenter /  Web / Small Business Server • Windows Server 2008 Standard / Enterprise /  Datacenter / Web • Windows Server 2012 • Windows XP Professional x64 Edition 所有版本 • Windows Server 2003 Standard / Enterprise /  Datacenter / Storage 含 Service Pack 1 或更新版本 • Windows Server 2003 Small Business Server • Windows Server 2008 Standard / Enterprise /  Datacenter / Web • Windows Server 2008 Small Business Server • Windows Essential Business Server 2008 • Windows Server 2012 資料庫 Microsoft SQL Server 2005 / 2008 / 2012 (選用) Microsoft SQL Server 2005 / 2008 / 2012 (選用) 記憶體 1GB RAM (建議使用 2‐4 GB) 2GB RAM (建議使用 2‐4 GB) 硬碟 4GB 加 4GB 的日誌、資料庫與備份檔案空間 4GB 加 4GB 的日誌、資料庫與備份檔案空間 其他需求 Internet Explorer 7 或更新版本 Internet Explorer 7 或更新版本 Mozilla Firefox 3.6 或 4.0 靜態 IP 位址 (建議使用) Internet Explorer 7 或更新版本 Internet Explorer 7 或更新版本 Mozilla Firefox 3.6 或 4.0 靜態 IP 位址 (建議使用)
  22. 22. Symantec Endpoint Protection 系統安裝需求 S t E d i t P t ti 系統安裝需求 元件 32bit 64bit 處理器 1 GHz Intel Pentium III 或效能相當的處理器 (適用大多數系統) Intel Core Solo (Mac) Intel Core Duo (Mac) Intel Core Duo (Mac) 2 GHz x86‐64 Pentium 4 或效能相當的處理器 附註:不支援 Itanium Intel Core 2 Duo (Mac) Intel Quad‐Core Xeon (Mac) Intel Quad‐Core Xeon (Mac) 作業系統 • Windows XP SP2 (Home / Professional / Tablet PC) • Windows XP Embedded Windows XP Embedded • Windows Server 2003 Standard / Enterprise /  Datacenter / Web / Small Business Server • Windows Vista (x86) Home Basic / Home Premium /  Business / Enterprise / Ultimate Business / Enterprise / Ultimate • Windows 7 • Windows Server 2008 Standard / Enterprise /  Datacenter / Web • Wi d Windows 8 8 • Windows Server 2012 • Mac OS X 10.5 – 10.6 • Mac OS X Server 10.5 – 10.6 • Windows XP Professional x64 • Windows Server 2003 x64 Windows Server 2003 x64 • Windows Compute Cluster Server 2003 • Windows Storage Server 2003 • Windows Vista Home Basic x64 / Home Premium   x64 / Business x64 / Enterprise x64 / Ultimate x64 x64 / Business x64 / Enterprise x64 / Ultimate x64 • Windows Server 2008 Standard x64 / Enterprise  x64 / Datacenter x64 / Web x64 • Windows 8 Windows Server 2012 S 2012 • Wi d • Mac OS X 10.5 – 10.6 • Mac OS X Server 10.5 – 10.6 記憶體 512MB RAM (建議 1GB) 512MB RAM (建議 1GB) 硬碟 700MB 700MB
  23. 23. Symantec Endpoint Protection 基本架構 S t E d i t P t ti 基本架構 Symantec Endpoint Protection Manager (SEPM) Java Based Console ‐Policy Management ‐Agent Management ‐Roles and Administration ‐Launch Reports ‐View Alerts HTTPS TCP 8443 SQL Data Store ‐Policies ‐Events& Logs ‐Security Content ‐Reporting Data ‐State Information ‐Updates and Patches TCP 1433 TCP 8014 Servers Symantec Endpoint Clients Desktops Laptops
  24. 24. Symantec Endpoint Protection Manager 的主要功能 S t E d i t P t ti M 的主要功能 • 監視狀況及匯出報告 – 排程每週或每天定時遞送報表至系統管理員的郵件信箱 • 集中事件/日誌記錄 – 可將日誌匯出至其它安全資訊管理系統(SIMS) • 角色型管理 – 針對群組中不同的角色給予不同的使用權限 – 支援RSA SecurID驗證 • 整合目錄服務(Active Directory) – 匯入及同步現有 匯入及同步現有AD/LDAP的組織單位(OU)及群組架構 的組織單位 及群組架構 – 利用現有的AD/LDAP來進行帳號的驗證 • 部署 – 代理程式安裝套件的建立 – 進行軟體修正及更新 – 遠端派送及安裝 • 對SAV, SCS, SEP and SNAC進行升級 SEPM and Datastore
  25. 25. Symantec AntiVirus f Li S t A tiVi for Linux • Symantec AntiVirus for Linux 的支援平台 y – RedHat Enterprise Linux 6.x – SUSE Linux Enterprise Server 和 Enterprise Desktop 11.x  p 和 p p (包括對 OES 2 的支援) – Ubuntu 11.x – Fedora 14.x、15.x – Debian 6.x • Symantec AntiVirus for Linux 的限制 – 無法統一由 SEPM 控管 無法統 由 SEPM 控管 – 各用戶端獨立安裝 – 必須自行上 Internet 更新病毒定義檔 Internet 更新病毒定義檔
  26. 26. VMware & Hyper‐V 支援 VM &H V 支援 元件 虛擬化產品 Symantec Endpoint Protection Manager 主控台和內嵌資料庫 VMware Workstation 5.0 (工作站) 或更新版本 VMware GSX 3.2 (企業) 或更新版本 VMware ESX 2.5 (工作站) 或更新版本 VMware VMotion VMware VMotion Microsoft Virtual Server 2005 Windows Server 2008 Hyper‐V Novell Xen Symantec Endpoint Protection 用戶端軟體 VMware Workstation 5.0 (工作站) 或更新版本 VMware GSX 3.2 (企業) 或更新版本 VMware ESX 2.5 (工作站) 或更新版本 VMware VMotion Microsoft Virtual Server 2005 Windows Server 2008 Hyper‐V Novell Xen
  27. 27. Symantec Endpoint Protection 管理架構進階設計
  28. 28. 進階的管理架構設計 • 依照實際環境需求可有以下的架構設計 – – – – – – – 集中式 (單一站台) 分散式 (多個站台) 日誌複寫 (多個站台) 內容複製 (多個站台) 混合式 容錯移轉 群組更新 (GUP) Database SEPM SEPM SEPM
  29. 29. 集中式架構 單一站台 單 站台 Site 1 Site 1 Database SEPM
  30. 30. 集中式架構 單一站台 單 站台 (容錯移轉) Site 1 Site 1 Site 1 Site 1 Database Database OR SEPM SEPM SEPM SEPM SEPM
  31. 31. 複寫及容錯移轉 Failover between Management Servers &  Data Stores Microsoft SQL Server  2005/2008/2012 only Clustered  Databases End‐ point Policy Datastore Clustered  Microsoft SQL Server  Databases 2005/2008/2012 only Datastore Replication SEPM SEPM S SEPM SEPM * 只有使用 Microsoft SQL Server 時才支援容錯移轉和負載平衡安裝 有 SEPM SEPM
  32. 32. 集中日誌 Corp Policy & Group  Replication SEPM Log Replication Site 1 Site 1 Database SEPM SEPM Database SEPM SEPM Site 2 Site 2 SEPM Database SEPM SEPM SEPM
  33. 33. 雙向日誌 Corp Policy & Group  Replication SEPM Log Replication Site 1 Site 1 Database SEPM SEPM Database SEPM SEPM Site 2 Site 2 SEPM Database SEPM SEPM SEPM
  34. 34. 內容複製病毒定義檔 Corp Policy & Group  Replication SEPM Content Replication Site 1 Site 1 Database SEPM SEPM Database SEPM SEPM Site 2 Site 2 SEPM Database SEPM SEPM SEPM
  35. 35. 複合式架構 Corp Policy & Group  Replication Database Log Replication SEPM Content Replication Site 1 Site 1 Database SEPM SEPM SEPM SEPM Site 2 Site 2 SEPM Database SEPM SEPM SEPM
  36. 36. 資料庫保存 Corp Policy & Group  Replication SEPM Log Replication Site 1 Site 1 Database SEPM SEPM Archive Site Database SEPM SEPM SEPM Database Site 2 Site 2 SEPM Database SEPM SEPM SEPM
  37. 37. 群組更新 Corp Group Policy Database Log Content  GUP SEPM GUP GUP SEPM SEPM GUP GUP GUP
  38. 38. Symantec liveupdate.symantec.com liveupdate.symantecliveupdate.com li d li d (Internet)  TCP 80 / TCP 443 TCP 80 / TCP 443 TCP 8443 TCP 7070 TCP 80 TCP 8014 TCP 8443 TCP 9090 TCP 8014 TCP 8443 TCP 9090 Internal LiveUpdate SEPM (DMZ) SEPM (LAN) TCP 8014 外點 單位 群組 群組更新 伺服器 (GUP) TCP 2967 TCP 2967 TCP 8014 外點單位群組 TCP 7070 TCP 8014 TCP 8443 TCP 9090 TCP 8443 TCP 80 TCP 8014 TCP 8443 TCP 9090 Internal LiveUpdate SEPM (LAN) SEPM (DMZ) TCP 8014 TCP 8014 直屬單位用戶端 群組更新 伺服器 (GUP) TCP 2967 TCP 8014 外點 單位 群組 TCP 2967 外點單位群組
  39. 39. Symantec Endpoint Protection 基本安裝
  40. 40. 部署 S Symantec Endpoint Protection 之前 t E d i t P t ti 之前 • 管理伺服器 (SEPM) 的數量? ( ) • 用戶端的種類及數量? • 硬體是否符合需求? • 啟用哪些功能? • 管理伺服器的位置? • 資料庫的種類(Embedded or MS‐SQL)? • 資料庫的數量? • 舊有管理伺服器及用戶端升級流程? • 利用什麼方式部署用戶端? • 透過什麼方式更新病毒定義檔?
  41. 41. 開始安裝 S Symantec Endpoint Protection Manager t E d i t P t ti M
  42. 42. 確認安裝精靈執行步驟及接受授權許可協議
  43. 43. 指定安裝目的資料夾並準備開始安裝
  44. 44. 安裝動作完成後準備進行架構管理伺服器
  45. 45. 選取架構類型
  46. 46. 設定管理伺服器角色及指定資訊
  47. 47. 選擇資料庫類型 • 依需求選擇要使用的資 料庫類型 • 內崁資料庫建議不超過 5000 個用戶端 • Microsoft SQL Server 目 前支援 2005 及 2008 兩 及 兩 個版本 • 如規劃負載平衡或容錯 轉移架構必須使用 Microsoft SQL Server Microsoft SQL Server
  48. 48. 建立系統管理員帳戶及指定加密密碼
  49. 49. 指定電子郵件伺服器及同意匿名資料收集
  50. 50. 架構精靈完成資料庫建立準備啟動管理伺服器
  51. 51. 準備登入管理伺服器
  52. 52. 進入管理介面確認可正常執行
  53. 53. Symantec Endpoint Protection 管理介面介紹
  54. 54. 登入管理伺服器
  55. 55. 首頁 (H (Home) )
  56. 56. 監視器 (M it ) (Monitors)
  57. 57. 報告 (R (Reports) t)
  58. 58. 政策 (P li i ) (Policies)
  59. 59. 用戶端 (Cli t ) (Clients)
  60. 60. 管理員 (Ad i ) (Admin)
  61. 61. Symantec Endpoint Protection 部署用戶端安裝套件
  62. 62. 依實際需求彈性部署代理程式 完整的端點安全 防護解決方案 綜合的端點保護部署 網路存取控管 主動式威脅防護 主動式威脅防護 應用程式與裝置控管 應用程式與裝置控管 防火牆 防火牆 防火牆 入侵防禦 入侵防禦 入侵防禦 防間碟程式 防間碟程式 防間碟程式 防間碟程式 防毒 防毒 防毒 防毒 用戶端安全防護部署 標準部署 僅需啟動需要的功能
  63. 63. 定義用戶端安裝功能集
  64. 64. 定義用戶端安裝安裝設定
  65. 65. 選擇用戶端安裝套件並匯出
  66. 66. 部署用戶端之前 • 在部署用戶端之前須確認用戶端符合 以下條件才能順利部署 – 確認用戶端符合系統需求 • CPU 型號及作業系統版本 CPU 型號及作業系統版本 – 32bit or 64bit – Windows XP SP2 或更新的版本 • IE6 0 或更新的版本 IE6.0 或更新的版本 – 已取得管理員權限 • 使用部署精靈遠端派送部署用戶端 – 用戶端須允許檔案共用或關閉防火牆 • UDP 137, 138 以及 TCP 139 – 用戶端須更改本機安全性原則設定或 取消使用共用精靈(簡易型共用) – 本機安全性原則 • 網路存取:共用和安全性模式 – 傳統 ‐ 本機使用者以自身身分驗證
  67. 67. Symantec Endpoint Protection 基本管理及設定
  68. 68. 新增系統管理員
  69. 69. 架構伺服器站台屬性
  70. 70. 啟用授權
  71. 71. 架構病毒和間諜軟體防護政策
  72. 72. 架構防火牆政策
  73. 73. 架構入侵預防政策
  74. 74. 架構 Li U d t 政策 LiveUpdate
  75. 75. 架構例外政策
  76. 76. 架構用戶端政策
  77. 77. 架構用戶端一般設定 架構用戶端 般設定
  78. 78. 架構用戶端通訊設定
  79. 79. 關於用戶端通訊設定 • 推送模式 (Push Mode) ( ) – 讓用戶端與管理伺服器之前的連線保持開 啟,以便用戶端可以在最快時間下載政策。 – 適用於 500U 以下的用戶端,且用戶端與 伺服器均在同一個區域內。 • 提取模式 ( ll (Pull Mode) d ) – 用戶端會每隔一段時間連線到管理伺服器, 檢查是否有新的政策。 – 適用於 500U 以上的用戶端,或用戶端與 伺服器不在同 個 域內 伺服器不在同一個區域內。 – 最佳活動訊號間隔時間為不超過 1 小時。
  80. 80. 架構用戶端使用者介面控制
  81. 81. Symantec Endpoint Protection 進階管理及設定
  82. 82. 使用用戶端部署精靈
  83. 83. 升級 S Symantec Endpoint Protection t E d i t P t ti • 升級 Symantec Endpoint Protection Manager y p g – 在 Symantec Endpoint Protection Manager 伺 服器中置入最新版本的安裝光碟 – 在選單中選擇 Symantec Endpoint Protection  Manager 開始安裝 – 安裝精靈會自動將 S Symantec Endpoint  E d i Protection Manager 升級到最新版本 • 升級 Symantec Endpoint Protection 用戶端 Symantec Endpoint Protection 用戶端 – 使用套件升級群組
  84. 84. 設定使用者資訊收集 • 在 Symantec Endpoint Protection  y p Manager 中點選「管理員」 • 在「安裝套件」選擇「用戶端安裝套 件」 • 點選「設定使用者資訊收集」 • 選擇希望使用者填寫的資料欄位 Symantec Endpoint Protection 會在下次 • Symantec Endpoint Protection 會在下次 更新政策或安裝套件時,要求使用者 輸入指定的資料
  85. 85. 用戶端使用者介面控制 • 預設用戶端使用者介面限制由伺服器控制,管理員可以指定哪些 使用者介面設定會出現在用戶端上 • 管理員可以指定用戶端所擁有的控制類型 – 伺服器控制 • 使用者有限制的控制權 – 用戶端控制 • 使用者有完整的控制權 – 混合控制 • 管理員可以指定使用者擁有多少控制權
  86. 86. 新增硬體裝置 • 在 Symantec Endpoint Protection Manager 中點選「政策」,並在 y p g 「政策元件」中點選「硬體裝置」來新增硬體裝置 • 利用 DevViewer.exe 檢視系統中的硬體裝置,並找出 Class ID 或 Device ID • 在「新增硬體裝置」中輸入以查詢到的資訊
  87. 87. 設定管理伺服器清單 • 「管理伺服器清單」會顯示用戶端可以連線的管理伺服器 • 用戶端會先嘗試連線到優先順序較高的管理伺服器 • 優先順序相同的管理伺服器將執行自動負載平衡
  88. 88. 管理病毒定義檔更新 • 定義檔路徑 C:Program FilesSymantecSymantec Endpoint  g y y p Protection ManagerInetpubcontent • 最佳保留的內容修訂數量為 30 個
  89. 89. 管理位置 • 可依不同位置給予不同的防護政策 • 新增或編輯位置並依據需求調整優先順序 • 指定每個位置的判斷條件 – – – – – – – – – IP 位址 閘道位址 DNS 伺服器位址 DHCP 伺服器位址 DHCP 伺服器位址 網路連線類型 管理伺服器連線 登錄機碼 DNS 搜尋 DNS 搜尋 …
  90. 90. 備份管理伺服器憑證
  91. 91. 備份資料庫
  92. 92. 如何進行災難復原? • 備份金鑰及資料 – 利用 Symantec Endpoint Protection Manager 備份伺服器憑證 • 系統會備份 JKS 密鑰儲存檔案,以及一個名為 server_timestamp.xml 的檔案 – 備份 Sylink.xml 或網域 ID – 設定手動或排程備份資料庫 • 災難復原步驟 – – – – 建立伺服器作業環境影像 (同IP及主機名稱) ( ) 更新「管理伺服器憑證」(還原憑證) 新增及編輯「網域」屬性 (還原網域ID) ( ) 使用「資料庫備份還原」精靈 (還原DB) • 也可以使用SQL Server回復工具還原資料庫 – 執行「管理伺服器架構精靈」(重新架構) – 測試及檢視運作情況
  93. 93. 常見問題與疑難排解
  94. 94. 用戶端安裝失敗 • 無法遠端派送安裝 – 網路分享不存在或檔案共用未被允許 • C$、Admin$ – 本機安全性原則 • 網路存取:共用和安全性模式 – 傳統 ‐ 本機使用者以自身身分驗證 • 用戶端安裝失敗 – 未使用管理員權限安裝 – 用戶端未升級到 Internet Explorer 6.0 – 用戶端系統需求不符 – 用戶端曾安裝其他版本的防毒軟體或 舊版的 LiveUpdate 且未移除乾淨 – 系統登錄檔遭到竄改 – 系統仍遭到惡意程式感染 • 安裝日誌紀錄檔 – %TEMP%SEP_INST.LOG
  95. 95. 管理伺服器與用戶端無法通訊 • 檢查用戶端連線狀態是否為連線 • 檢查用戶端與管理主控台中的政策序號 – 執行手動政策更新後,請確定用戶端中出現的政策序號符合管理主控 執行手動政策更新後 請確定用戶端中出現的政策序號符合管理主控 台中出現的序號 • 測試用戶端與管理伺服器之間的連線 – 使用瀏覽器測試 • http://IP Address/reporting/index.php • http://IP Address:9090 – 使用 Telnet 測試 • 檢查網路是否有問題
  96. 96. 用戶端無法更新定義檔 • 用戶端無法點選 LiveUpdate 手動更新定義檔 p – 檢查管理主控台中 LiveUpdate 政策設定 – 允許用戶端手動更新定義檔 – 手動更新政策 • 用戶端無法從 Symantec Endpoint Protection Manager 更新定義檔 Symantec Endpoint Protection Manager 更新定義檔 – 檢查用戶端的連線狀態 – 檢視管理伺服器的最新 LiveUpdate 下載 – 檢查管理伺服器的網路連線 • 代理伺服器設定 – 比對用戶端與管理伺服器中的內容 • 在用戶端電腦上找到下列資料夾 – Program FilesSymantecSymantec Endpoint ProtectionContentCache • 在管理伺服器上找到下列資料夾 – Program FilesSymantecSymantec Endpoint Protection ManagerInetpubcontent Program FilesSymantecSymantec Endpoint Protection ManagerInetpubcontent
  97. 97. 如何讓未受控管的用戶端受控管? • 從 Symantec Endpoint Protection Manager 中匯出通訊設定 y p g Sylink.xml – Sylink.xml 儲存全域通訊設定。此檔案僅供內部使用,且不應加以編 輯,其中包含 輯 其中包含 Symantec Endpoint Protection Manager 中的設定、伺服 中的設定 伺服 器公鑰、DomainID、共用機密資訊等。 • 利用手動的方式將 Sylink xml 匯入到用戶端 Sylink.xml 匯入到用戶端 – 停用 Symantec Endpoint Protection 服務 – 將 S li k l 複製到欲受控管的用戶端並覆蓋原始的 S li k l Sylink.xml 複製到欲受控管的用戶端並覆蓋原始的 Sylink.xml – 重新啟用 Symantec Endpoint Protection 服務 • 利用 S li kD SylinkDrop.exe 工具將 S li k l 匯入到用戶端 工具將 Sylink.xml 匯入到用戶端 – 開啟安裝光碟中的 ToolsNoSupportSylinkDrop 資料夾 – 將 S li kD SylinkDrop.exe 與 S li k l 複製到欲受控管的用戶端 與 Sylink.xml 複製到欲受控管的用戶端 – 直接執行 SylinkDrop.exe 將 Sylink.xml 匯入
  98. 98. 公司內部允許的應用程式被判定為風險 • 部分特殊的應用程式,可能會被 Symantec Endpoint Protection 判 y p 定為惡意程式或風險,使用者可以透過以下方法嘗試排除 • 若判定為惡意程式 – 該檔案程式碼中可能含有疑似已知病毒的程式碼 – 提交至 Symantec Security Response Center 並紀錄 Tracking Number y y p g – 與賽門鐵克技術支援中心聯繫,並告知 Tracking Number 請技術人員 分析 – 使用集中式例外將該檔案或程序排除 • 若判定為風險 – 該檔案程式碼中可能含有疑似已知風險的程式碼 – 部分遠端工具或管理工具因有可能被惡意使用者利用的風險,因此被 列為風險 – 直接使用集中式例外將該檔案或程序排除
  99. 99. 用戶端不斷出現竄改防護通報 • 「竄改防護」功能主要保護 Symantec Endpoint Protection 不會被 y p 惡意程序竄改 • 預設「竄改防護」功能為啟用 • 系統或部分應用程式在運作時,可能存取 Symantec Endpoint  Protection 元件而觸發竄改防護功能,因而出現竄改防護通報 • 可依實際需求調整是否啟用「竄改防護」功能
  100. 100. 用戶端持續出現遭到攻擊的通報 • 入侵預防功能會針對網路上可能的異常封包或攻擊行為進行攔截 及通報 • 入侵預防僅能針對封包是否為已知的攻擊行為或是否符合正常規 範進行判別,對於特殊服務所產生的封包內容無法判斷是否為合 法,需要由管理人員判斷排除 • 對於已知的合法事件可直接設定為例外 • 可開放使用者選擇是否顯示入侵預防通報
  101. 101. 無法登入管理伺服器 • 檢查是否管理員密碼輸入錯誤 – 嘗試使用其他的管理員帳號登入 – 重新設定管理員密碼 • 檢查是否能與資料庫正常連線 • 檢查資料庫服務狀態是否為已啟動
  102. 102. 如何重新設定管理員密碼? • 在執行 Symantec Endpoint Protection Manager 的電腦上開啟 y p g 「Windows 檔案總管」 • 變更目錄到 Symantec Endpoint Protection Manager 的資料夾,如 C:Program FilesSymantecSymantec Endpoint Protection  ManagerTools • 找到 resetpass.bat 並且直接執行此檔案 並且直接執行此檔案 • 使用帳號 admin 密碼 admin 重新登入 Symantec Endpoint  Protection Manager i • 立即變更您的管理員密碼
  103. 103. 應用程式與裝置控制政策實作
  104. 104. 架構應用程式與裝置控制政策
  105. 105. Lab 1 : 禁止使用者使用未授權的硬體 L b 1 禁止使用者使用未授權的硬體 • 透過裝置控制功能,攔截使用者使用未授權的硬體裝置 • 修改裝置控制政策,新增欲攔截的硬體裝置 – – – – 使用 DeviceViewer 找出欲攔截及不攔截裝置的 Device ID 或 Class ID DeviceViewer 找出欲攔截及不攔截裝置的 Device ID 或 Class ID 新增欲攔截的硬體裝置識別資料 在 應用程式與裝置控制」政策中點選 裝置控制」 在「應用程式與裝置控制」政策中點選「裝置控制」 新增欲攔截及不攔截的裝置項目 • 驗證 – 確認 SEP 用戶端已經套用最新的政策 – 在用戶端分別接上已設定的 USB 裝置及其他未設定的 USB 裝置 確認 USB 裝置及其他未設定的 USB 裝置, 確認 用戶端是否可以分別使用這些裝置
  106. 106. Lab 2 : 限制使用者使用特定的通訊程序 L b 2 限制使用者使用特定的通訊程序 • 利用防火牆的設定限制使用者使用即時 通訊軟體的時間 • 修改防火牆政策,攔截特定的程序,並 在特定時間開放通訊 – 在「防火牆政策」中新增規則 – 修改「應用程式」欄位,輸入欲監控的應 修改 應用程式」欄位,輸入欲監控的應 用程式名稱,如 msnmsgr.exe • 可以使用檔案指紋避免使用者變更檔名避開規則 – 修改「時間 欄位 設定不允許使用的時 修改「時間」欄位,設定不允許使用的時 間,如上午 09:00 – 12:00 – 修改「動作」欄位為「攔截」 修改 動作」欄位為 攔截」 • 驗證 – 確認 SEP 用戶端已經套用最新的政策 SEP 用戶端已經套用最新的政策 – 開啟指定的程序並執行登入動作, 確認 SEP  是否依照排程允許或攔截通訊
  107. 107. Lab 3 : 保護特定的程序或檔案使其不受竄改 L b 3 保護特定的程序或檔案使其不受竄改 • 針對重要的系統檔案進行防護,例如 hosts 或網頁,透過此方式 可以預防惡意檔案或使用者任意竄改檔案 • 撰寫應用程式控管政策,攔截特定的檔案被修改 – – – – 定義欲保護的檔案檔名,如: %windir%system32driversetchosts 新增規則套用至所有程序 新增條件為「檔案何資料夾存取嘗試」 套用至指定系統檔案 • 如: %windir%system32driversetchosts – 設定建立、刪除或寫入嘗試的動作為「拒絕存取」 • 驗證 – 確認 SEP 用戶端已經套用最新的政策 – 編輯 hosts 檔案, 確認 SEP 可攔截編輯動作
  108. 108. Lab 4 : 系統機碼存取控管 L b 4 系統機碼存取控管 • 避免惡意程序或惡意使用者任意修改機碼內容 • 撰寫應用程式控管政策,攔截特定的機碼被修改 – 定義欲保護的機碼,如:  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCu rrentVersionExplorerAdvancedFolderHiddenSHOWALL – 新增規則套用至所有程序 – 新增條件為「登錄存取嘗試」 – 在登錄機碼欄位中輸入欲套用的登錄機碼 – 依需求輸入登錄值名稱, 如「CheckedValue」 – 設定建立、刪除或寫入嘗試的動作為「拒絕存取」 • 驗證 – 確認 SEP 用戶端已經套用最新的政策 – 執行 regedit.exe 並且修改上述的登錄值 並 修改上述的登錄值 – 確認 SEP 是否攔截登錄檔的存取嘗試
  109. 109. Lab 5 : 防止系統執行已知的惡意程序 L b 5 防止系統執行已知的惡意程序 • 在病毒定義檔尚未更新之前,透過 SEP 防止病毒繼續感染擴散 • 撰寫應用程式控管政策,攔截特定的惡意檔案被系統所執行 – 定義常見惡意檔案檔名,如: kavo exe 定義常見惡意檔案檔名 如: kavo.exe • 可以使用檔案指紋避免惡意程式變更檔名 – 新增規則套用至所有程序 – 新增條件為「啟動程序嘗試」 – 套用至指定的惡意程序檔名 • 如: kavo.exe – 設定啟動程序嘗試動作為「拒絕存取」 • 驗證 – 確認 SEP 用戶端已經套用最新的政策 – 執行 kavo.exe 確認 SEP 會攔截此程序
  110. 110. Lab 6 : 防止瀏覽器下載並執行網頁惡意程式 L b 6 防止瀏覽器下載並執行網頁惡意程式 • 透過應用程式控制政策,預防上網時被植入惡意程式 • 撰寫應用程式控管政策,設定瀏覽器無法呼叫執行檔 – 新增規則套用至瀏覽器應用程式,如 iexplore exe 新增規則套用至瀏覽器應用程式 如 iexplore.exe – 新增條件為「啟動程序嘗試」 – 輸入欲套用的程序 • 如: *.exe, *.com, *.bat, *.cmd, *.vbs 等 – 設定啟動程序嘗試動作為「拒絕存取」 • 驗證 – 確認 SEP 用戶端已經套用最新的政策 SEP 用戶端已經套用最新的政策 – 開啟 Internet Explorer 並點選執行含有執行檔的連結,並確認 SEP 會 攔截此程序
  111. 111. Lab 7 : 保護重要程序不被任意停用 L b 7 保護重要程序不被任意停用 • 透過撰寫防護政策,保護重要程序不會被惡意程式或使用者任意 停用 • 撰寫應用程式控制政策,設定要保護的程序 – 新增規則套用至所有程序 – 新增條件為「終止程序嘗試」 – 輸入欲套用的程序 • 如: Rtvscan.exe 等 – 設定終止程序嘗試動作為「拒絕存取」 • 驗證 – 確認 SEP 用戶端已經套用最新的政策 – 開啟 Windows 工作管理員,結束 Rtvscan.exe 的處理程序,確認 SEP  會攔截此動作
  112. 112. Lab 8 : 攔截 USB 隨身碟病毒 L b 8 攔截 USB 隨身碟病毒 • USB 隨身碟病毒會利用 autorun.inf 的特 性自動執行卸除式裝置中的惡意程式 • 撰寫應用程式控管政策,攔截系統讀取 卸除式裝置中的 autorun.inf 檔案 – 新增規則套用至所有程序 – 新增條件為「檔案和資料夾存取嘗試」 • 套用至 autorun.inf • 僅比對裝置 ID 類型 USBSTOR* 類型 – 設定讀取嘗試動作為「拒絕存取」 • 驗證 – 確認 SEP 用戶端已經套用最新的政策 – 插入含有 autorun.inf 的 USB 隨身碟,確 的 隨身碟 確 認 auturun.inf 中的程序不會被執行
  113. 113. Q Questions?
  1. Gostou de algum slide específico?

    Recortar slides é uma maneira fácil de colecionar informações para acessar mais tarde.

×