防毒大廠Symantec推出的Endpoint Protection(SEP),目前版本是更新到12.1.5(或稱為12.1 RU5),在這次測試的8款產品來說,它的功能算是最全面,細節調整很豐富且彈性,但價格相對於其他產品也高出許多。除了SEP,他們也有雲端代管服務模式的SEP.cloud,但由於這種型態在臺灣接受度仍有待提升,這次測試仍以SEP為主。

在系統架構及產品部署上,SEP的防毒主機需建置在一臺Windows電腦或伺服器上,亦即安裝中控軟體Symantec Endpoint Protection Manager(SEPM),用戶端則是安裝SEP同名代理程式,可防護管控的系統平臺包括Windows XP、Vista、7與Windows Server 2008、2012、2012 R2以及Mac OS X系統,同時新加入了Linux平臺的支援,並包括虛擬化環境的部署,支援的作業系統類型相當完整,可惜只差行動平臺未納入管控之列。

在用戶端程式部署上,管理者可以透過SEPM的部署精靈,直接遠端派送安裝,過程算是容易,另外也可透過網頁連結與電子郵件方式,讓使用者手動執行安裝,或是直接儲存建立可執行的安裝套件。

從SEP基本的防護功能來看,主要包含病毒和間諜軟體防護、網路威脅防護與主動型威脅防護,以主動型威脅防護機制為例,已納入啟發式掃描,以及雲端信譽服務,做到即時防護。

同時提供網頁與工具軟體設定介面,政策設定細節豐富且彈性

在SEPM管理介面上,管理者要檢視防護狀態很容易,介面主頁就會顯示目前的防護整體狀態,也可切換到報表分頁,即能針對報表類型需求產生不同的圖表形式呈現。你還可以將報告另存成XML或PDF檔案格式,只是,這裡的報表將以新視窗開啟,而不是產生在同一視窗畫面中,如果能一次選擇多項報告項目,並整併在同一頁面,將會更好。

更方便的地方是,這款產品也有網頁式管理介面,這裡所提供的功能操作與SEPM程式相同,能隨時隨地自遠端登入執行設定操作(當然,若在內網之外,需透過VPN),供管理者彈性選用,而不只是提供報表檢視。

在功能上,SEP的防護功能相當豐富,我們從介面上的政策設定便能看出,SEPM提供相當多細節設定,包含防毒和間諜軟體防護、防火牆、入侵防禦,同時也有應用程式與裝置控制,管理者可經由檔案名稱與檔案指紋來設定核准應用程式清單,以鎖定用戶端執行的應用程式,也可以阻擋或記錄任何向USB儲存裝置寫入的內容,或是攔截任何對主機檔案的修改等。

舉例來說,當使用者在受控電腦上,一旦執行封鎖的應用程式,就會跳出無法存取的警示視窗。

在掃描防護操作上,這款產品還整合了Symantec特有的Power Eraser清理惡意程式功能,而且直接內嵌在SEPM,而不是獨立程式。管理者可透過此功能,自SEPM遠端掃描受感染的用戶端並矯正感染的問題,此功能可用來檢測Rootkit感染。這裡的偵測並能使用Symantec Insight中的信譽資訊。此外,當系統發生異常時,SEPM中控端也會在監視器項目的通報分頁中,針對相關異常,給出使用Power Eraser的建議。

整體來看,新版SEP的功能性更豐富,細節設定也相當多,調整彈性也大,但對於較不熟IT系統操作的管理者來說,相對也較為複雜一些。

此外,當實際測試掃描防護功能時,我們也發現這款產品的不同之處,像是當我們實際以Eicar病毒碼測試時,用戶端電腦在阻攔病毒後,軟體並會警示在接下來10分鐘內攔截該IP位址的流量,提供更進一步的防護機制。

新版加入主機完整性功能設定

值得注意的是,新版SEP的最大改變,就是直接內建了Symantec Network Access Control(SNAC)功能,過去,這項功能需要額外購買授權才能啟用,現在已經成為內建的基本功能,且軟體售價並未因此提升,相當不錯。

有了SNAC,我們在政策設定分頁下,便能看到一個主機完整性(Host Integrity)項目,這個功能的作用可以幫助管理者對使用者電腦執行更細部的安全性檢查,例如是否安裝企業所規定的防護軟體,或其他必要修補程式。

舉例來說,像是我們可以檢測特定Windows 漏洞修補程式是否已安裝於用戶端電腦上。依據這樣的需求設定檢查時,如果SEPM發現該電腦確實未安裝所需的軟體、修正程式和即時修補程式,可自動將代理程式連線到更新伺服器,並提供所需軟體下載選項。

這裡預設的檢查項目中,也預設了包含防毒、防間諜軟體、防火牆、修正程式與Service Pack的需求檢測項目。若使用者想要自訂需求也沒有問題,並可以用if、then的程式語法來新增需求指令碼,然後執行,相當彈性。或是你可以透過自訂方式,檢查多網卡同時存在,或是檢測內部網路是否私自架設無線網路等。

 

提供網頁管控介面

在Symantec Endpoint Protection Manager(SEPM)工具介面上,主要分為主頁監視器、報告、政策、用戶端與管理員等共6大項,管理者想遠端執行防護工作、群組設定與原則套用,並不難。此外,管理者也可透過與SEPM一模一樣的網頁介面執行控管。

 

用戶端清楚呈現特徵碼版本資訊

在SEP用戶端應用程式介面上,包含病毒和間諜軟體防護、網路威脅防護與主動型威脅防護,以及目前所採用的特徵碼日期、版本,算是直覺。在設定變更上,若管理者有開放權限,使用者也能自行設定將部分檔案、資料夾與程序排除在掃描的範圍,藉此提升掃描效率。

 

可檢測主機是否安裝重要軟體與修補程式

在設定政策時,我們可利用SEP 12.1.5新增的主機完整性(Host Integrity)項目,做到協助管理者強制檢測使用者電腦是否已安裝企業所規定的防護軟體,與其他必要修補程式,預設項目中並包含防毒、防間諜軟體、防火牆、修正程式與Service Pack的需求檢測項目。

 

針對異常電腦可執行Rootkit掃描與矯正

新版SEP還整合了Power Eraser功能,方便管理者從遠端對受控電腦執行進一步的分析工作。當SEP的用戶端電腦完整掃描未發現狀況,但用戶端仍覺得電腦有異常,管理者可以針對電腦執行偵測Rootkit,掃描範圍包含常見感染位置與更底層的掃描。

 

產品規格

Symantec Endpoint Protection

●建議售價:在50人環境下,每人每年1,896元(未稅) 

●原廠:Symantec(02) 8761-5800 

●管理伺服器軟體系統需求:Windows平臺(管理主控臺:同時提供網頁與Windows管理介面) 

●用戶端軟體系統需求:Windows XP~8.1、Windows Server 2003~Server 2012、Mac OS X 10.8~10.10、Linux

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


Advertisement

更多 iThome相關內容