Sophos 8.0─網路與周邊存取控管更趨於完整

透過本次改款，Sophos將此系列防毒軟體的名稱從原先所使用的Endpoint Security，變更為Endpoint Security and Control（以下簡稱為SESC 8.0），以凸顯出新、舊兩款不同的產品在功能上的產異。

SESC 8.0最大的特色在於整合了網路存取控制（Network Access Control，NAC）的功能，因此可針對連接企業內部網路的電腦實施主機健康檢查，將健康狀態不佳的電腦隔離到其他的網路區域，避免可能存在的安全威脅透過區域網路擴散，造成企業IT服務的癱瘓；此外，周邊裝置管理是SESC 8.0所提供的另外一項新功能，IT人員可將員工電腦上的隨身碟、無線網路，以及藍牙等裝置設定為停用，防止機密資料從這些管道外洩出去。

端點防護功能完整
用戶需要在內部網路的一臺電腦上，執行Enterprise Console主控臺的安裝程式，以便建立SESC 8.0的管理伺服器。當軟體安裝完畢，第一次啟用Enterprise Console主控臺介面時，會出現EM Library Console程式庫的設定精靈，引導你從Sophos官方網站下載適用各種平臺的用戶端軟體。

主機防毒、個人防火牆，以及NAC代理程式是SESC 8.0用戶端軟體的三大元件，不過，後兩者只有在Windows 2000以上版本的作業系統，才能安裝。

除了單純的病毒檢測之外，防毒的功能相當特別，尚包括了主機型IPS（Host Intrusion Prevention System，HIPS），以及應用程式控管兩個項目。

Endpoint Security and Control 8.0的HIPS功能可針對應用程式的連線行為，以及緩衝區溢位（利用應用程式的記憶體定址錯誤，提升帳號權限）的惡意攻擊加以偵測，並能自動地進行攔截，保護員工電腦的連線安全。

一開始所提到的周邊裝置管理，其實是應用程式控管的設定項目之一。我們可以透過這項功能將員工電腦上的燒錄器、軟體機，隨身碟等具備資料儲存能力的裝置，還有無線網卡、紅外線傳輸器（IrDA），藍牙等可以將資料傳輸到外部網路，或者是其他設備的裝置設定為停用，避免重要的機密資料被員工隨意地複製外流，造成洩密事件的發生。

而應用程式控管的項目，可以協助企業管理員工電腦上的應用程式，不只是針對Sniffer、廣告程式，這一類可能潛藏有資安風險的灰色軟體，多數企業禁止安裝的網路遊戲、P2P抓檔工具，以及某些特定的即時通訊軟體，以至於瀏覽器、網頁工具列等員工日常使用到的應用程式，皆能透過SESC 8.0管理。

這套控管個人端電腦的防護系統，亦有提供自訂警告訊息的功能，當員工在電腦上安裝，或者是執行企業透過該產品加以禁用的的應用程式時，就會在視窗畫面的右下角出現IT人員所自行定義的警告訊息，提醒員工不可以在企業內部使用此套軟體，增加應用程式的管理效果。

部署方式多，可自動移除企業原有的防毒軟體
SESC 8.0在功能上，可以和企業內部現有的Windows AD加以整合，在不需要手動編寫Logon Script的情況下，透過Enterprise Console主控臺，將用戶端軟體主動派送到員工電腦上安裝。產品預設每60分鐘與Windows AD伺服器同步一次，在更新資料的同時，也會幫新加入網域的電腦安裝SESC 8.0的用戶端軟體，同步時間可隨企業的實際需求而定，間隔可以縮短到5分鐘。

對於企業來說，要導入一款新的防毒軟體，除了要注意產品是否能與現有運作中的應用程式取得相當之外，能否協助企業移除原本使用中的防毒軟體也很重要，SESC 8.0本身內建第三方防毒軟體的移除工具，可以在用戶端軟體派送安裝的過程之中，自動地將員工電腦上原有的防毒軟體加以移除。

以這次實際部署的過程為例，為了測試產品對於其他廠牌防毒軟體的移除能力，我們分別在兩臺電腦上安裝了個人端的NOD 32 2.7版，以及iThome內部所使用Symantec Anti-Virus 10.2版的企業版防毒軟體。

對於已經安裝NOD 32防毒軟體的電腦，SESC 8.0可以順利地移除該套產品，同時將用戶端軟體部署到這些電腦上；安裝完畢之後，電腦會重新啟動，屆時掛載在系統記憶體上的防毒軟體主程式會被卸載，將舊有的防毒軟體完整地電腦上移除。

Symantec Anti-Virus的情況與前者較為不同，我們無法直接透過產品提供的移除工具清除電腦上舊有的防毒軟體，根據SESC產品說明書上的指示，手動修改安裝目錄下，Data.zip當中的crt.dat設定檔，然後重新執行部署安裝用戶端軟體的程序，才能移除先前所安裝的Symantec Anti-Virus。

NAC管理套件需額外派送
NAC的代理程式可以透過產品的Enterprise Console主控臺部署，不過，NAC的管理功能並未內建在主控臺的操作介面當中，我們必須在主控臺所在的同一臺伺服器，或者是另外一臺有啟用IIS服務的伺服器上頭，手動安裝NAC Manager的套件才能使用。

在Enterprise Console主控臺的右上方，可以找到一個名為「NAC」的功能鍵，首次點選此按鍵時，SESC 8.0會要求用戶指定NAC Manager所在的伺服器IP位址，接著才能由此進入NAC Manager的網頁介面，IT人員可以在此制定主機健康檢查的政策規則，以及閱覽端點安全狀態的相關報表。

SESC 8.0內建的NAC功能，在架構上，可以整合企業內部現有的DHCP服務，部署在內部網路之中，透過發送不同IP組態設定的方式，改變電腦的路由能力，藉此達成網路隔離的目的，產品提供一支名為「Microsoft DHCP Enforcer」的外掛程式，可安裝在使用Windows Server平臺架設而成的DHCP伺服器，由此來控制DHCP伺服器的組態設定。

除了檢查電腦是否有安裝防毒軟體之外，產品的主機健康檢查項目尚包括了作業系統版本、個人防火牆、間諜程式清除工具、廣告程式移除軟體，以及系統修補程式等數項，其中系統修補程式的檢查清單項目會隨微軟的安全公告而異動，可透過線上方式，從網路進行更新。

SESC 8.0的NAC，也考量到從外部攜入的訪客電腦在管理上，並不能像內部的員工電腦一樣，可以隨意地安裝執行檔型式的代理程式，因此，SESC 8.0也有提供網頁端的Active X元件，可以快速地檢查訪客電腦的健康狀態，將可能帶有安全威脅的電腦予以隔離。文⊙楊啟倫