今年發表的12.1版,是Symantec Endpoint Protection(SEP)11.0在2007年推出以來的重大改版,這段期間原廠仍釋出一些更新版本,但主要版號都維持在11.0。

就管理者角度來說,這版的管理介面使用起來和11.x幾乎沒什麼差別,然而在部署個人端提供很好用的精靈。我們不只能透過傳統的方式,來遠端推送安裝程式到內部網路的電腦上,也可以利用電子郵件來通知使用者去指定的網路連結位置,下載安裝檔案。此外,我們還能將安裝套件打包、儲存在指定的資料夾,讓管理者運用。

要將SEP 12.1部署在Mac電腦,也可以利用這樣的精靈來幫忙,而且上述兩種模式都可以應用,但不支援遠端推送的安裝模式。

整合雲端檔案信譽服務,以及新的即時應用程式行為判斷功能

新版SEP在防護惡意程式作法上的最主要變化,是納入該公司的雲端檔案信譽判斷技術Insight,並且整合應用程式的網路行為判斷技術SONAR(Symantec Online Network for Advanced Response)──現已發展至第三代。事實上,這兩種作法在Norton Antivirus/Internet Security 2011,已經普遍採用。

Insight的實際使用,主要是在使用者下載檔案時,SEP會連到Symantec維護的信譽服務上,去查詢它們在社群上的可信度,再決定是否阻擋或繼續下載。

對於檔案安全等級的判定,Insight根據以下4種條件:檔案的來源、檔案新出現的程度、檔案在賽門鐵克產品用戶社群中的普及度,以及其他安全指標,像是與惡意程式的關聯性。

該功能的設定在SEP裡面,稱為下載智慧型掃描(Download Insight)。執行這類掃描時,使用者還可以自行調整是否啟用與靈敏度(1到9,數字越大,惡意檔案的判斷能力越強,並且只有高信任度檔案能下載,但誤報率也會增加),也可以自動根據社群上的使用情況來判斷(擁有該檔案的人數,以及存在網路上的時間)。此外,下載檔案的來源位置,若是位在內部網路的伺服器,系統也是預設自動信任這些檔案。

這機制的另一個作用是提升SEP日常的掃描速度,這稱為智慧型掃描,系統對於已包含數位簽章的檔案和受信任檔案,可以跳過、不掃描。

在相關選項中,我們可以選擇從兩種信任層級擇一使用,預設為「賽門鐵克信任的檔案」,若對檔案的信任度要求要提高,需嚴格管制下載,就要設成另一個選項「賽門鐵克和社群信任的檔案」。

智慧型掃描不只是用在判斷是否要掃描,對於一些信任度不明、但並未被Insight視為有風險的檔案,SEP也會將檔案的資訊上傳至Symantec網站上評估。

而SONAR可用於即時偵測應用程式執行時的行為,它整合啟發式掃描和雲端上的信譽資料,以便識別與阻擋不明的惡意行為,目的是在原廠發布病毒定義檔前,能提供所謂的「零時差」保護,並在既有的HIPS和個人防火牆功能上多一層防護,因應未知的網路入侵。

這項機制的出現,也取代掉先前Symantec企業版防毒沿用多年的TruScan(是根據排程執行,不像SONAR是持續執行)。

提供多種虛擬化整合功能,以降低掃描與管理負擔

針對虛擬化環境的個人端與伺服器端環境,開始有一些企業版防毒軟體提供不同於傳統防毒軟體的作法,以設法降低對系統效能的衝擊。

以12.1版的SEP來說,Symantec提出下列幾種作法:虛擬影像例外(Virtual Image Exception,VIE)、智慧型掃描的共享式快取(Shared Insight Cache,SIC)、資源分級(Resource Leveling)、離線映像掃描(Offline Image Scanner),以及特別註記虛擬機器的屬性(Virtual Client Tagging)。

這些機制裡面,大部分可同時適用於多種伺服器虛擬化平臺,包含VMware(ESX 4.0 Update 1以後的版本)、Microsoft(Hyper-V 2008)、Citrix(XenServer 5.6)。不過,要使它們發揮作用,並不是全都在管理主控臺設定起來就可以操作,有些往往需要再架設其他電腦或伺服器來輔助,這是評估上需要注意的地方。

Virtual Image Exception

要應用VIE,管理者要先在作為基礎映像的特定虛擬機器環境中(Base Image),在該系統裡面的命令列下,執行專用的指令vietool(搭配參數),並針對指定的磁碟區來處理,產生一份可信任檔案的白名單(資料會寫入SYMEAF.DB檔,不需特別指定存放的路徑),使SEP掃描系統時,略過與基礎映像一致的部分,換言之,透過降低磁碟I/O存取的負荷,做到加速掃描。

Shared Insight Cache

SIC的目的和VIE有些類似,也是為了降低系統掃描的負擔。企業需在另一臺裝有Windows Server 2003或2008作業系統的電腦/虛擬機器上,架設專用的SIC伺服器,讓那些已安裝SEP的虛擬機器環境,透過HTTP/HTTPS來查詢信任檔案資訊的快取。在管理主控臺Symantec Endpoint Protection Manager(SEPM)上,也要設定SIC伺服器的IP位址,才會發揮作用。

假如SEP掃描後判斷檔案是可信任、乾淨的,會將掃描後發現的未感染病毒檔案資訊,提交到提供SIC伺服器中。SIC伺服器會查看這臺個人電腦所用的定義檔,是否為最新版本,若不是,就不採納這個提交的掃描結果,簡而言之,SIC只參考最新的已知定義檔。

使用者端電腦也會經常連至SIC伺服器,藉以判斷目前掃描檔案的可信任度。SIC判斷的根據是檔案是否被經常使用,或使用率等同於系統設定的接受度的上限,若答案是肯定的,就會判斷檔案是乾淨的,防毒軟體就不用再重複掃描。反之,則會掃描這些檔案,並將可信任檔案的資訊傳至SIC伺服器上。

至於快取容量,SIC採用修剪(Pruning)演算法來管理,而且是先刪除最老舊的部份,確保快取不會超過記憶體用量的上限。

Resource Leveling

在防毒軟體的作業中,如果許多臺虛擬機器在同一段時間內執行排程掃描與更新惡意程式特徵碼,可能會對整臺伺服器與所有虛擬機器的效能造成很大的影響。

而在SEP 12.1的病毒與間諜軟體防護政策設定中,我們可以自行將排程掃描的執行設為隨機模式(Randomize Scan),就可以針對依循同一個政策、隸屬一個群組下的多臺虛擬機器,將他們之間的掃描作業執行時間加以錯開。

設定上,是在掃描持續時間的選項中,選擇最多掃描的一段時間範圍(1~23小時),然後勾選「在此期間隨機設定掃描開始時間(建議在VM中)」

受控的虛擬機器/電腦從管理主控臺取得政策更新部署的時程,也可以設成有利於虛擬機器執行的模式。在用戶端管理的設定頁面下,我們可以到「通訊協定」中將下載模式從推送(Push)改為提取(Pull),然後在下載隨機化(Download Randomization)的設定中,勾選啟用隨機化,並適度調整時間區隔(這裡可設定48小時或60分鐘以內)。

在病毒定義檔的LiveUpdate更新上,我們也可以在相關政策上設定下載隨機化,不過要注意的是,只有在排程執行LiveUpdate頻率為每日或每週時,該選項才能設定下載隨機化,而且開始執行更新的時間間隔的單位是「天」(最多3天)。

Offline Image Scanner

就SEP個人端程式來說,是不會深入虛擬機器檔案內掃描的。而對於處於關機或擱置(Suspend)等離線狀態的虛擬機器檔案,SEP 12.1在安裝檔案的工具集資料夾裡面,也特別提供專屬工具Symantec Offline Image Scanner(SOIS)來處理。

SOIS是一支同時提供圖形介面與命令介面的程式,可執行在Windows XP、Windows Server 2003以後的作業系統上,但所能支援的虛擬化平臺僅限VMware,像是VMware ESX/ESXi(3.5、4.0、4.1),以及VMware Workstation (4.0~7.1)。使用者只要選定存放VMDK檔的資料夾位置(可加入多組路徑,以便SOIS批次作業),就可以開始掃描,查看裡面是否包含惡意程式,而不用將這些虛擬機器逐一開機。

SOIS本身是一支獨立的執行檔,不含病毒定義檔,因此執行這程式的電腦,最好能一起安裝SEP個人端程式──它所根據的病毒定義檔,預設是在SEP存放這類檔案的資料夾下,我們也可在掃描前,將指定路徑改為其他資料夾。

不過,實際執行SOIS所掃描的效果畢竟有限,因為目前1.0的版本只能參考病毒定義檔,並無法使用SEP所具備的其他進階防禦(如Insight、SONAR等)。

Virtual Client Tagging

在SEPM上,對於所有受到集中控管的個人端電腦,已經可以識別出由上述支援的多種伺服器虛擬平臺所架構的電腦,例如我們可以在用戶端管理的頁面下,快速搜尋屬於特定虛擬化平臺的電腦(在用戶端搜尋功能下指定條件);此外,在每臺受控個人端電腦的屬性編輯頁面,最底下一項就是顯示採用虛擬化平臺的類型。

可納入更高階的集中管理平臺

SEPM能夠管理所有安裝SEP個人端程式的系統,然而若打算與其他Symantec產品一起受到管理,此時可搭配Symantec Protection Center(SPC)這套軟體免費的集中管理。

SPC拿來看報表很容易,但也可以把它直接當成SEPM主控臺用。在網頁介面最左上角的位置有下拉選單,我們可以選擇Symantec EndPoint Protection,然後會出現目前可操控的SEPM電腦,點入之後,就會出現一個以SPC本身網頁風格為主的SEPM主控臺介面,原本排列在視窗左側的6個主功能項,變成置頂,而且幾乎SEPM能提供的所有功能,這裡都可以執行。

SEPM本身就提供Web存取的介面(是用Apache架設),執行起來,其實也已經與SEPM本機執行主控臺的效果所差無幾。

 

可判斷檔案信譽

12.1版納入檔案信譽的功能,能判斷所存取檔案的可信度。但使用者平時下載檔案時,並不會經常看到提示的畫面出現。

 

內建新的應用程式行為判斷技術

在主動式威脅防護中,SEP首度將SONAR技術包含進來,能利用啟發式掃描與雲端上的信譽服務,來即時防護新威脅。

 

掃描時顯示可信任的檔案數量

SEP對先前掃描過的可信任檔案,以及檔案信譽資料中認為良好的檔案,能自動略過,以改善對個人端電腦效能的衝擊。

 


產品資訊
建議售價●新購5套以上,每套為1,806元(未稅,零壹科技提供) 原廠●Symantec 電話●(02) 8761-5800 網址●www.symantec.com 作業系統需求●Windows XP ~Windows 7、Windows Server 2003~2008、Mac OS X 10.5/10.6、RedHat Enterprise Linux 6.x/SUSE Linux Enterprise 11.x/Ubuntu 11.x/Fedora 14.x與15.x/Debian 6.x

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容