產品資訊
產品資訊 建建議售價●每5人9,190元ˉ原廠●Symantecˉ電話●(02) 8761-5800ˉ網址●www.symantec.comˉ經銷商●零壹資訊ˉ電話●(02)2565-2323ˉ處理器需求●Pentium III 1GHz 記憶體●1GBˉ可用硬碟空間●600 MB(Endpoint Protection Manager需4GB) 作業系統需求●Windows 2000 Server SP3/XP SP1/Server 2003/Vista/Server 2008



我們所測試的Symantec Endpoint Protection(SEP),版本是11.0 MR4,在MR3改版時的功能提升幅度較大。例如,當個人端電腦裝上SEP的代理程式後,所受到的效能影響變得較低,而且連帶縮短開機時間。

到了MR4版,最明顯的特色是更完整地支援了Windows Server 2008, SEP都可以在這個作業系統上安裝個人端程式及管理主控臺(MR3時,該元件仍無法安裝在Server 2008)。

對個人端系統效能的影響大幅降低
將SEP升級至MR3之前,我們已連續幾個月在幾臺作業系統為XP與Vista的電腦上使用MR2版,過程中明顯發覺裝上該版後,對系統的整體執行速度上影響很大,直到更新至MR3後,狀況才改善許多。

例如對於電腦中原來只規畫10GB的C磁碟來說,Windows XP經常冒出磁碟空間不足的警示頻率降低;平時執行其他應用程式時,也不會因為COH32.exe檢查太久,而使系統速度變慢。到了MR4版,上述這部分無太大異動,但在本身系統更新與弱點修補程式的下載,原廠號稱這一版已能做到下載中斷後續傳。

開機速度上,MR3和MR4無論在Windows XP或Vista都變快了,開機時間平均比裝MR2的電腦少十幾秒。

管理主控臺終於支援IIS 7.0
要在企業環境上將SEP部署至多臺員工電腦上,正規的做法是先找一臺Windows電腦,安裝管理主控臺Symantec Endpoint Protection Manager(SEPM),然後再透過它來遠端部署SEP的個人端程式。

SEPM本身儲存的資訊位置,可以搭配微軟SQL Server2000或2005版資料庫,也可以選擇搭配內嵌資料庫,雖然原廠沒有特別提到這資料庫的廠牌,但如果選擇後者安裝後,可以發現不只是多了SEPM相關程式,你會看到有一支dbsrv9.exe,其實它就是Sybase SQL Anywhere內的資料庫Adaptive Server Anywhere(9.0版)。

安裝主控臺前,Windows必須先裝上、啟動微軟的網站伺服器IIS,不過要注意的是,在過去的版本(SEP MR3以前),SEPM只支援Windows XP和Server 2003內含的IIS 6,以及2000時代的IIS 5,而Windows Server 2008內的IIS 7.0是不支援的。直到MR4才能在最新的微軟伺服器平臺上安裝、執行SEPM。

SEPM的安裝程式會自動偵測你的環境是否符合需求,在IIS 7.0上,它會發出警訊,要求加裝ASP .NET、CGI和IIS 6.0 Management Compatibility等元件。


登入SEPM主控臺後,管理者可以檢視目前企業內部網路所屬電腦的安全狀態統計,點選左側功能列,可以執行更多進階設定與報表功能。

支援遠端安裝與單機安裝
一開始執行SEPM,我們要先找到要部署SEP的個人端電腦,並以群組的方式管理它們,你可以匯入組織單位或AD、LDAP使用者,將企業網域上的使用者與電腦資訊,擷取到這個主控臺上,並且幫它們設定好對應的群組。

假如個人端電腦安裝成功,在桌面系統列上所呈現的SEP圖示會加上一個綠色小點,表示這是一臺受SEPM管理的電腦。如果企業認為不需要由主控臺管理,也可以在安裝資料夾上,找到獨立的SEP個人端軟體資料夾,執行其中的Setup.exe後,就可以把SEP當作一般單機版防毒軟體使用、不需要輸入序號。假如想要這些電腦重新納入SEPM主控臺的管理範圍,方法也很簡單,只要從用戶端管理的頁面上,以右鍵點選所屬群組的「匯出通訊設定」,然後將這個輸出的XML檔,複製到未受管的電腦,並開啟SEP的疑難排解介面、將該檔匯入通訊協定內即可。


如果電腦先前是以單機方式安裝,可由SEPM主控臺中的通訊協定匯出一份XML檔,再從個人端電腦匯入,即可納入控管。

周邊防護功能齊全
SEP的主功能分成3大部分,包含傳統的病毒、間諜程式、rootkit的偵測與清除,以及搭配個人防火牆與主機端IPS,以便防護網路威脅;它也有一套「主動型威脅防護」,實際上是將啟發式掃描、應用程式與周邊控制,整合起來,但該項功能只適用在一部分SEP支援的作業系統環境。根據原廠的文件指出,像在Windows Server和64位元Windows,無法完全執行該功能。

周邊控制的功能上,SEP號稱能限用21種內外接裝置,看來已有基本的實用度。實際執行上,效果也不差,例如我們在SEPM的政策管理內,將指定群組的個人電腦CD/DVD光碟機,設為禁止使用者存取的裝置,等到當該項設定部署至Windows XP和Server 2008的個人端時,電腦所連接的光碟機逐一被停用;從該電腦的裝置管理員上,雖然仍看得到光碟機型號,但它無法使用(連同虛擬光碟也被停用),如果這時去啟用,Windows雖然一時之間會偵測到,但不到幾秒,隨即又將該裝置設回未啟用的狀態。文⊙李宗翰


SEP不只是能用來實施一般的應用程式白名單比對的機制,搭配檔案指紋清單後,也能用於整臺電腦的鎖定,防止員工自行加裝應用程式或被惡意人士竄改系統。


Advertisement

更多 iThome相關內容