管理主控臺Security Center(KSC)是以微軟嵌入式管理單元(MMC)的環境作為主要的操作介面,IT人員可藉此操作本機或遠端的管理伺服器,預設顯示項目只列出一部分功能,若需要使用進階的防護功能,需自管理伺服器的選項中手動勾選。

今年上半,Kaspersky推出第10版的商用環境防毒套裝軟體Endpoint Security for Business(KESB),相較於前一版,防護PC端點的Endpoint Security(KES)改變幅度不多,主要增加了硬碟與檔案資料夾的加密功能,而管理伺服器Security Center(KSC)擴充的部分較大。

KSC本身除了支援加密的應用之外,也加入多種強化端點管理功能,例如資產管理、弱點掃描更新、網路存取控制(NAC)等,並包含了行動裝置管理(MDM),可涵蓋到智慧型手機與平板電腦的管控。

此外,這一版的KSC,也提供網頁主控臺的擴充,並且能整合該公司的虛擬化環境安全防護產品Kaspersky Security for Virtualization,作為管理主控臺。

首度針對中大型企業推出4種套裝

依據包含功能多寡,Kaspersky首度推出以4種商用環境套裝版本。功能最陽春的是基礎版(Core),具有基本的PC防毒防駭功能,最頂級的版本則是全面防護版(Total),並且能額外防護到郵件伺服器與企業入口網站平臺,同時可支援網路閘道伺服器的防護。

夾在中間的兩個版本,特色較明顯,整合的功能也是同類軟體所罕見。像是標準版(Select),只比基礎版高一階,包含的功能卻增加了不少,例如檔案伺服器的防護,以及可控管個人電腦端的周邊裝置、應用程式與網頁存取,而且還包含了行動裝置管理。

比標準版應用規模更大的進階版(Advanced),有標準版的全部功能,以及資料加密,以及弱點掃描與管理、NAC、遠端軟體安裝、OS映像檔管理等系統管理功能。

整合行動裝置控管功能

KESB標準版以上的版本都內建了MDM功能,或者可同時搭配另一套獨立的MDM產品Kaspersky Security for Mobile(KSM)。這兩者提供的MDM功能中,KSM功能較多,包含了防竊、防毒、網頁過濾、App派送等。不論你用的是內建MDM或KSM,操作上都需要搭配KSC的主控臺來進行。

除了透過KSC設定之外,KESB內建的MDM需要搭配微軟Exchange Server上的ActiveSync,才能協助管理各種行動裝置(若搭KSM則不需要ActiveSync)。

借助Exchange ActiveSync,KSC MDM可管控的行動裝置平臺相當廣泛,例如Windows Phone、Android、iOS 5,但Exchange ActiveSync本身支援Windows Phone的管控較完整,但對於其他平臺的管控項目較少,在這樣的環境下,只能實施安全性原則的要求與部分的硬體控制。若需要對這些非微軟平臺以外的行動裝置,執行更進階的管控,例如密碼複雜度要求、裝置加密,其他像是控制Wi-Fi、藍牙、使用者端郵件、未簽署程式的存取等,需搭配KSM才能做到。

若要針對更早期的iOS裝置來管控,KSC可以整合iOS MDM Server行動裝置管理伺服器做到,管理者可以藉此控制行動裝置的密碼鎖定,並具備遠端的安裝∕移除程式、裝置定位、清除資料等能力。

資料加密涵蓋硬碟、外接儲存裝置

在端點防護上,資料加密功能相當重要,它可防範資料因為裝置遺失而導致機密外洩,並降低外人非法存取到資料的可能性,目前市面上,具有資料加密功能的獨立產品較多。但這樣的技術要整合到端點防護產品時並不容易,因此可同時結合資料加密功能的企業防毒軟體選擇相當少,其中Sophos的產品是一個例子,可提供硬碟加密(整合在Enterprise Console主控臺),但並未內建檔案與資料夾加密。

而KESB 在進階版以上的版本整合了資料加密功能,而且保護範圍也很廣,不只針對個別檔案與資料夾,而且還一口氣同時涵蓋到整臺硬碟,及外接儲存裝置的加密。綜觀整個防毒軟體業界而言,這算是相當大膽的嘗試。

在KESB的資料加密功能中,保護層級分成檔案與磁碟。使用者在個人端電腦上可操作的功能很少,只能選擇檔案與資料夾來建立加密檔(副檔名為EXE,可便於寄送給其他人使用,執行後輸入密碼後即可解密至資料夾內),若要應用其他KESB提供的資料加密功能,主要還是由管理者在KSC,制定檔案加密的政策,此時,他可以自行指定需加密的資料夾,也能同時指定檔案類型(副檔名)的方式來加密資料。

以後者來說,管理者手動輸入各種檔案的副檔名,自動套用加解密的作業,或是以設定檔案副檔名群組的方式加密——KSC提供6種檔案類型群組選擇,預設會加密Office文件,也可勾選純文字、聲音、影像及多媒體、圖片、壓縮等常見檔案類型,我們可自行增刪這些群組裡面定義的副檔名,如果覺得不夠用,也能自行增加新的群組。

透過副檔名掌控檔案加密範圍的功能,算是常見,不過,你還可以針對特定的應用程式,自動套用相關的加密規則,例如對於由Notepad建立的檔案,可強制全部加密、限制不得存取加密檔,或只能存取加密檔。

相較之下,KSC的硬碟加密選項比較少,管理者可以設定排除加密的硬碟,以及可驗證身分的帳號範圍(本機、網域的所有帳號或管理者帳號)。當硬碟完成整臺設備加密程序完畢,當電腦開機、載入作業系統時,需輸入正確密碼、通過身分驗證代理程式的檢核程序後,才能繼續後續的系統開機程序。

至於外接儲存裝置上的資料加密,KSC可設定保護範圍包含整臺硬碟∕隨身碟∕記憶卡,也可針對當中的全部檔案或所建立的新檔案;此外,管理者也可以勾選啟用「攜帶模式(Portable Mode)」,當使用者將這些外接儲存裝置攜出公司外、沒有安裝KES的電腦,也能開啟這些加密資料。

值得注意的是,要實際使用KESB的資料加密功能,在KSC的管理伺服器與個人端電腦,都要額外安裝AES加密模組,若要透過KSC協助,大量部署至所有受控管的員工電腦,需事先手動設定,將加密模組整合至KSC遠端安裝套件。

內建MDM行動裝置控管功能
智慧型手機與平板電腦大行其道,Kaspersky也將相關的控管功能納入企業防毒軟體的版圖中,在KESB標準版以上的產品套餐都提供,若以內建MDM功能而言,建置時需搭配微軟Exchange ActiveSync來協助管控,藉此涵蓋多種裝置平臺。

 

提供磁碟與檔案磁碟層級的資料加密
在KESB進階版以上的產品套餐,提供了資料加密與諸多系統管理功能,其中資料加密可針對全硬碟、外接儲存裝置加密,也包含到檔案與資料夾,防護範圍算是相當周延,不過若能再提升與KSC、KES之間的整合度,整體安裝、設定操作、事件管理上將會更便利。


產品資訊 ●建議售價:每臺每年(10~49U)標準版為1,840元,進階版為2,425元(2012/12/31前有效) ●網址:www.kaspersky.com ●代理商:湛揚科技(02)2735-3512 ●作業系統需求:Windows(XP~8、Server 2003~2012)、Mac(10.4~10.8)、Linux(RHEL5.5、SUSE Linux Enterprise 10/11、Ubuntu 10.04、Debian 5.0.5)

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容