保安資訊-專家經驗分享 由SEP 的使用者介面_深入了解SEP 的強大功能-
     
線上續約與新購詢價系統
SEP-企業端點防護
SMG-郵件安全閘道
SESC-端點安全完整版
DCS SA-重要主機防護系統
PGP-企業加密解決方案
ETDR-電子郵件威脅偵測與回應
熱銷商品
  symantec Endpoint Protection 賽門鐵克端點防護方案
 
   

 
快速認識SEP與基本操作參考文件

 
 
前言
 

SEP 就是賽門鐵克端點防護(Symantec Endpoint Protection)的簡稱。是Symantec 整合並結合端點必要的7大安全技術包含:�1.防毒軟體、�2.防間諜程式、�3.用戶端防火牆、�@4.入侵預防、�A5.裝置控管、�B6.應用程式控管以及�C7.網路存取控管於單一代理程式並能經由單一主控台妥善管控的端點防護軟體,是企業級的端點安全解決方案,也是Symantec 正式完全取代�舊版的企業防毒-SAVCE(Symantec Antivirus Corporate Edition 10.x 及更早的版本)及舊版的用戶端安全解決方案-SCS(Symantec Client Security 3.x及更早的版本)的產品。

保安提供的9種SEP安裝套件說明 http://www.savetime.com.tw/2006Q1DS/readme-9install-packs-savetime.pdf

SEP除了防毒以外的超好用功能說明 http://www.savetime.com.tw/2006Q1DS/SEP-AV-Plus.pdf

SEP 專屬網頁 http://SEP.savetime.com.tw
 
說明
 

安裝SEP之後,使用者需了解基本的操作及審視SEP異常的能力,才能發揮SEP的預期效益。SEP如被停用或沒有更新,幾乎一點防護能力都沒有,與沒有安裝無異。以下將介紹一般使用者,務必熟悉的一些SEP 的基本操作能力。

首先,使用者一定要會(能夠)開啟SEP,並審視目前的狀態是否夠安全(符合安全規定)。

可由『開始』=>『程式集』=>『Symantec Endpoint Protection』 =>『Symantec Endpoint Protection』或 開啟右下方工具列的SEP圖示

:表示未被管理型的SEP用戶端執行時未發生問題。該用戶端可能離線或為自我管理用戶端。自我管理用戶端並未連線管理伺服器。此圖示是一個純黃色盾牌。

:表示SEP的狀態是不安全的(可能被關閉-需要啟動它才能確保安全)。用戶端未執行、發生了重大問題,或至少有一個防護技術停用。例如,「網路威脅防護」可能已停用。此圖示是一個黃色盾牌加上被紅圈包住的白點,白點上還有一條紅線穿越。。

:通常表示SEP的病毒定義檔過期(建議馬上執行Liveupdate)。用戶端發生次要問題。例如,病毒定義檔可能過期。此圖示是一個黃色盾牌加上含黑色驚嘆號的淡黃點。

:被管理型用戶端執行時未發生問題。該用戶端已連線到伺服器,並與其通訊。安全性政策的所有元件都可防護電腦。此圖示是一個加上綠點的黃色盾牌。
   
 

使用者開啟SEP的操作介面,就會顯示SEP的目前狀態。包含:

  • 防毒和防間諜軟體防護(1,2).
  • 主動型威脅防護(4).
  • 網路威脅防護(3,4).
  • 網路存取控制(選購項目)-只有已購買並安裝的電腦都會顯示(7).
 
  (用戶端-正常的狀態) 所有的元件都呈現 的狀態
   
 

其中,定義檔部份以日期為戳記,並以R開頭加註更新版次。『防毒和防間諜軟體防護』每天都會更新,而且每天至少更新三次,而『主動型威脅防護』以及『網路威脅防護』並不是每天會更新的。按下左下方的『Liveupdate』選單,就會自動連線到原廠的主機作更新。由於美國與台灣有一天的時間差,所以最新的定義檔顯示的日期會晚一天,這是正常的。其中,『主動型威脅防護』以及『網路威脅防護』是可以選擇不安裝的,就不會顯示在狀況欄框中。

一般而言,重要的伺服主機只安裝『防毒和防間諜軟體防護』,並且對特定的目錄作排外的設定。而一般的用戶端電腦可依不同屬性及可控管與否安裝其它的功能並作嚴謹度不同的控管,可以說是收放自如的一套安全防護與管理系統。

綠色的『開啟』表示該功能是有作用/啟動中的而紅色的『關閉』表示該功能是沒有作用的。可透過『選項』以啟用或停用該功能,及其它進階的設定。可以再按一次『修正』或『全部修正』就可以重新啟動該功能。

SEP 的7大安全功能:�1.防毒軟體、�2.防間諜程式、�3.用戶端防火牆、�@4.入侵預防、�A5.裝置控管、�B6.應用程式控管以及�C7.網路存取控管。除�A5.裝置控管、�B6.應用程式控管需由管理主控台(SEPM)的安全政策的設定派送給用戶端外,其它的5個功能亦能由管理員開放權限由用戶端操作介面來操作調整。主動型威脅防護就是Truscan的最新啟發技術/行為偵測技術(非特徵式-無需依賴病毒定義檔的更新),可免於受到初始攻擊威脅與未曾見過的威脅等各種型態威脅,也算是一種入侵防護的技術。
   
  其它有可能的狀態如下:
 
  (用戶端-防毒及防間諜軟體定義檔不是最新的的狀態)
   
  可以按左邊最下方的的Liveupdate選項,就自動連接到網際網路更新。一般而言,企業內部會採用較安全的集中化控管,就是安裝一部(或多部)SEPM管理主機(SEP 的Manager 主機),用以集中管控SEP 的所有用戶端。SEPM會自動連線到原廠的更新主機執行更新之後,主動派送給所有用戶端-可減少每一台用戶端都連線到網際網路的頻寬消耗,透過這種集中管控的機制,能即時發現沒有更新或違反安全政策的用戶端,也能強制用戶端完全遵循預設的安全政策,同時這個架構是區域網路的機制,較網際網路更快速與穩定可靠。
   
 
  (用戶端-防毒及防間諜軟體被關閉 狀態)
   
 
  (用戶端-主動型威脅防護被關閉 狀態)
   
 
  (用戶端-網路威脅防護被關閉 狀態)
   
 
  (狀態-所有元件的選項清單)
   
 

在防護技術元件的選項中,『防毒和防間諜軟體防護』的選項共有6種,『主動型威脅防護』的選項共有3種,『網路威脅防護』的選項共有6種,而『網路存取控制』*選購的選項共有3種。除停用/啟用該功能必需由這個界面操作外,其它的功能也能由位於左邊主選單操作。

說明及支援的選單位於右上方,提供整個SEP 的線上支援與資源。其中『說明主題』,提供詳細的操作及功能說明,也可以按F1 來開啟『說明主題』。『關於』則是顯示目前的版本資訊,這對系統管理者而言,是非常重要的資訊。『疑難排解』則是提供更詳細的版本資訊(包含各元件的版本資訊)、電腦本身的硬體規格及作業系統版本資訊、Windows帳戶資訊、除錯日誌以及管理-顯示目前用戶端是否接受控管,管理主機資訊,也能由此匯入/匯出安全政策,以及匯出除錯的資訊。
   
 

其它重要的操作功能在左邊的主選單,包含:
 

威脅掃描:

用戶端會掃描電腦的開機磁區、記憶體與檔案中是否有病毒與安全風險,防止病毒感染電腦。掃描引擎會利用定義檔中所找到的病毒和安全風險特徵,進行徹底掃描,尋找執行檔中的任何已知病毒。防毒和防間諜軟體掃描會搜尋文件檔的可執行部分,尋找是否有巨集病毒。

系統已內建的威脅掃描方式有兩種,也可依需求自行建立新的掃描 (自定掃描)。 作用中掃描,也稱為快速掃描:只會掃描電腦中最常感染電腦病毒及安全風險的區域。而 完整掃描則是掃描整個電腦是否有電腦病毒及安全風險。它會掃描電腦記憶體、開機磁區已及所有的檔案及資料夾。建議每台電腦每星期至少執行一次完整掃描。如果需要內建以外的掃描選項以及自動排程掃描就需要自定掃描。

隨選(On Demand)是指要手動執行之後才會掃描,而排程是可以每月,每週以及每天來排定掃描。排程的『已啟用』選項需設定為『是』,才會有作用。內建的『作用中掃描』以及『完整掃描』都是需要手動執行的,也就是隨選的。

與隨選(On Demand)掃描相對應的稱為即時掃描(On access),也就是當電腦系統在存取任何檔案時會自動即時掃描該檔案,並採取必要的行動(Action),這也衍生出重要伺服主機需要即時掃描排外的必要性。當許多人同時存取一份相同的檔案時,防毒軟體會視此狀況為疑似病毒的行為,像資料庫、郵件伺服主機以及其它多人存取的主機必需預先設定即時掃描不要掃描特定的目錄或檔案,才能讓該主機正常運作,並避免不必要的被刪除風險。
   
 
   
 

既然SEP平常就執行即時的防護/掃描,或許有些人會質疑掃描威脅的必要性。沒錯,但是有一些新的病毒或惡意程式是在病毒定義檔還沒有更新前就已經侵入電腦系統了,這種狀況防毒軟體當時是掃描不到的(除非該檔案後來又被存取,才會再被即時掃描到)。也會將它視為安全沒問題的。所以定期的作完整掃描有其必要性,以確保整個系統沒有漏網之魚,並避免惡意程式的擴散。

以上的設定,其實也能透過SEPM管理主控台,由系統管理者作強制性的設定與強化。
   
 

變更設定:

您可以針對『防毒和防間諜軟體防護』、『主動型威脅防護』、『網路威脅防護』、『集中式例外』、『用戶端管理』做變更設定,但通常情況下,這些設定都是由SEPM主控台做集中控管設定,而且會將變更設定的功能鎖定避免使用者變更,一般使用經驗,管理員通常會允許使用者可以自行設定例外清單,將檔案、資料夾、風險和程序排除,不接受掃描。
 
  (變更設定-所有元件的架構設定的可設定清單)
   
  一般使用者(非MIS人員),較常用到的選項大致如下:
 
  • 防毒和防間諜軟體防護的:
    • 檔案系統自動防護:一般使用者,建議採用較嚴謹的設定選項,尤其特別留意是否有正常啟動,而掃描的檔案類型,應該選擇所有類型。掃描選項,最好能全部勾選。其它『動作』『通知』『進階』以及『集中式例外』的設定較屬於進階的設定,可詢問系統管理者或自行參考線上文件,如果是採用保安資訊所提供的安裝套件來安裝的,使用者幾乎不需要再額外設定,安裝之後所有的設定都已預先設定好了。
    • Internet 電子郵件自動防護:在此處的設定與檔案系統自動防護差不多。一般使用者,建議採用較嚴謹的設定選項,尤其特別留意是否有正常啟動,而掃描的檔案類型,應該選擇所有類型。掃描選項,最好能全部勾選。其它『動作』『通知』『進階』以及『電子郵件訊息』的設定較屬於進階的設定,可詢問系統管理者或自行參考線上文件,如果是採用保安資訊所提供的安裝套件來安裝的,使用者幾乎不需要再額外設定,安裝之後所有的設定都已預先設定好了。
 
  (變更設定-的防毒和防間諜軟體防護的可設定清單)
   
 
  • 網路威脅防護:
    • 防火牆:能設定『智慧型流量過濾』、『流量設定』、『不相符的IP流量設定』以及『隱藏設定』。
    • 入侵預防:能設定是否啟動『入侵預防』、『通訊埠掃描偵測-Port Scan』、『阻絕服務偵測-DOS』以及設定『自動攔截攻擊者IP的時間』。通報能設定為顯示或音效提示。
    • Microsoft Windows 網路:能設定不同配接網卡的政策。網路上的分享也能由此來作設定,也能設定進入螢幕保護程式時攔截網路流量,以確保最高等級的安全。
  網路威脅防護的設定較屬於進階的設定,可詢問系統管理者或自行參考線上文件,如果是採用保安資訊所提供的安裝套件來安裝的,使用者幾乎不需要再額外設定,安裝之後所有的設定都已預先設定好了。
 
  (變更設定-的網路威脅防護的可設定清單)
   
 
  • 用戶端管理:
    • 排程更新:可以設定自動更新的頻率以每週、每天、每幾小時計或是連續更新,也能設定萬一排程更新時間剛好沒開機或無法連線更新時,在多久時間內又再嘗試更新。同時也能設定排程時間的隨機選項,讓設定的時間一到,不會同時啟動更新而佔盡頻寬。設定完成之後,記得 □啟用自動更新的選項要打勾,才會啟動自動更新。
 
  (變更設定-的用戶端管理的排程更新)
  以上的設定,其實也能透過SEPM管理主控台,由系統管理者作強制性的設定與強化。
   
 
  • 檢視隔離所:
    • 「隔離所」可將電腦上可能受感染的檔案安全地予以隔離。隔離病毒之後,病毒便不會散播到您的電腦或網路上的其他電腦。在隔離所中可以檢視受感染檔案的風險、檔名、類型、原始位置、狀態、及日期。
    • 當用戶端將受感染的檔案移至「隔離所」時,病毒風險便不會自我複製,也不會感染其他檔案。這個動作是針對巨集與非巨集病毒感染所建議的第二個動作。然而,「隔離所」動作不會清除病毒風險。病毒風險會停留在電腦上,直到用戶端清除風險或刪除檔案為止。病毒和巨集病毒都可以隔離。您可以將因為安全風險而隔離的檔案留置在「隔離所」中,也可以將這些檔案刪除。您應該將它們留在「隔離所」中,直到確定電腦上的應用程式未遺失任何功能為止。檢視隔離所需要進階的管理與使用SEP的能力,一般使用者可不用花費太多時間在上面,有興趣者也可自行參考線上的參考說明文件或請求系統管理者協助。
   
 
  (檢視隔離所-)
   
 
  • 檢視日誌:
    • 日誌包含您電腦上與安全相關的活動記錄,其中包括病毒和安全風險活動、架構變更,以及錯誤。此外,還包括病毒和安全風險定義檔資訊、電腦狀態,以及進出您電腦的流量等相關資訊。日誌是追蹤電腦活動,以及其與其他電腦和網路互動情形的重要方法。檢視日誌需要進階的管理與使用SEP的能力,一般使用者可不用花費太多時間在上面,有興趣者也可自行參考線上的參考說明文件或請求系統管理者協助。
   
 
  (檢視日誌-所有元件可檢視日誌的清單)
   
  下表為用戶端各項日誌來源對應及敘述:
 
來源 記錄 敘述
防毒和防間諜軟體防護 掃描日誌 「掃描日誌」包含某段時間內,已在您電腦上執行的掃描相關項目 。
您可以在「掃描日誌」中執行下列工作:
• 檢視某段時間內,已在您電腦上發生的掃描清單 。掃描會和 這些掃描的其他相關資訊一起顯示。
• 將日誌中的資料匯出為逗號分隔文字檔案,以便在其他應用程式中使用。
• 在項目上按滑鼠右鍵,可檢視其屬性。
風險日誌 「風險日誌」包含已感染您電腦的病毒及安全風險 (如廣告軟體和間諜軟體) 的相關項目。安全風險包含可連至「賽門鐵克安全機制應變中心」網頁的連結,該網頁可提供其他資訊。
您可以在「風險日誌」中執行下列工作:
• 檢視與病毒及安全風險相關的事件清單。
• 將日誌中的資料匯出為逗號分隔文字檔案,以便在其他應用程式中使用。
• 清除您電腦中的風險。
• 永久刪除您電腦中的風險。
• 復原 Symantec Endpoint Protection 在刪除風險或修復其副作用時所做的變更。
• 隔離已在您電腦上偵測到的風險。
• 在項目上按滑鼠右鍵,可檢視其屬性。
防毒和防間諜軟體防護系統日誌 「防毒和防間諜軟體防護系統日誌」包含您電腦上與病毒及安全風險相關系統活動的資訊。這項資訊包含架構變更、錯誤及定義檔資訊。
您可以在「防毒和防間諜軟體防護系統日誌」中執行下列工作:
• 檢視與防毒和防間諜軟體相關的事件清單。
• 將日誌中的資料匯出為逗號分隔文字檔案,以便在其他應用程式中使用。
• 過濾日誌中的資訊,以便只檢視一種或數種類型的事件。
• 在項目上按滑鼠右鍵,可檢視其屬性。
主動型威脅防護 威脅日誌 「威脅日誌」包含「TruScan 主動型威脅掃瞄」已在您電腦上偵測到的威脅相關資訊。這些包含作為惡意用途的商用應用程式。範例為特洛伊木馬程式、病蟲或按鍵記錄器,或大量郵件病蟲、巨集病毒及程序檔式威脅。
您可以在「威脅日誌」中執行下列工作:
• 檢視與「TruScan 主動型威脅掃瞄」威脅相關的事件清單。
• 將日誌中的資料匯出為逗號分隔文字檔案,以便在其他應用程式中使用。
• 終止已在您電腦上找到的惡意程式或惡意程序。
• 還原隔離所中的項目。
• 將您電腦上偵測到的威脅放入「隔離所」。
• 在項目上按滑鼠右鍵,可檢視其屬性。
附註: 可使用哪些動作按鈕取決於所選日誌項目所適用的動作
主動型威脅防護系統日誌 「主動型威脅防護系統日誌」包含您電腦上與 TruScan 主動型威脅掃描相關系統活動的資訊。
您可以在「主動型威脅防護系統日誌」中執行下列工作:
• 檢視與 TruScan 主動型威脅掃描相關的系統事件。
• 將資料匯出為逗號分隔文字檔案,以便在其他應用程式中使用。
• 過濾日誌中的資訊,以便只檢視一種或數種類型的事件。
• 在項目上按滑鼠右鍵,可檢視其屬性。
竄改防護 竄改防護日誌 「竄改防護日誌」包含嘗試竄改您電腦上賽門鐵克應用程式的事件相關項目。這些項目包含「竄改防護」 偵測到或偵測到並阻擋的嘗試事件相關資訊。
您可以在「竄改防護日誌」中執行下列工作:
• 檢視與「竄改防護」相關的事件清單。
• 將日誌中的資料匯出為逗號分隔文字檔案,以便在其他應用程式中使用。
• 在項目上按滑鼠右鍵,可檢視其屬性。
網路威脅防護 流量日誌 「流量日誌」包含您電腦透過網路進行的連線相關資訊。
您可以在「流量日誌」中執行下列工作:
• 檢視每當您電腦連接至網路時的連入流量事件及連出流量事件清單。
• 從「檔案」功能表,清除日誌中的所有項目。
• 從「檔案」功能表,將日誌中的資料匯出為 Tab 分隔文字檔案,以便在其他應用程式中使用。
• 從「檔案」功能表,存取「網路威脅防護」設定,然後變更您可以變更的設定。
• 從「檢視」功能表,切換本機檢視和來源檢視。
• 從「過濾」功能表,透過選取時間範圍來過濾項目。
• 從「動作」功能表,回溯檢查用於嘗試攻擊的資料封包,以找出其來源。請注意,並非每個項目都可以回溯檢查。
附註: 不適合特定項目或您的管理員不允許的動作都無法使用
封包日誌 「封包日誌」包含透過您電腦的通訊埠進出的資料封包相關資訊。
您可以在「封包日誌」中執行下列工作:
• 檢視每當您電腦連接至網路時的連入流量事件及連出流量事件清單。
• 從「檔案」功能表,清除日誌中的所有項目。
• 從「檔案」功能表,將資料匯出為 Tab 分隔文字檔案、網路監控格式或 NetXray 格式,以便在其他應用程式中使用。
• 從「檔案」功能表,存取「網路威脅防護」設定,然後變更您可以變更的設定。
• 從「檢視」功能表,切換本機檢視和來源檢視。
• 從「過濾」功能表,透過選取時間範圍來過濾項目。
• 從「動作」功能表,回溯檢查用於嘗試攻擊的資料封包,以找出其來源。請注意,並非每個項目都可以回溯檢查。
用戶端管理及網路威脅防護 安全日誌 「安全日誌」包含以您電腦為目標且可能帶來潛在威脅的活動相關資訊。服務阻斷攻擊、通訊埠掃描及執行檔變更等活動都是範例。
您可以在「安全日誌」中執行下列工作:
• 檢視與安全相關的事件。
• 從「檔案」功能表,清除日誌中的所有項目。
• 從「檔案」功能表,將日誌中的資料匯出為 Tab 分隔文字檔案,以便在其他應用程式中使用。
• 從「檢視」功能表,切換本機檢視和來源檢視。
• 從「過濾」功能表,根據時間範圍或嚴重性來過濾項目。
• 從「動作」功能表,回溯檢查用於嘗試攻擊的資料封包,以找出其來源。請注意,並非每個項目都可以回溯檢查。
• 讓用戶端停止攔截其他電腦所進行的攻擊。
用戶端管理 控制日誌 「控制日誌」包含應用程式存取的登錄機碼、檔案和 DLL,以及您電腦所執行應用程式的相關資訊。
您可以在「控制日誌」中執行下列工作:
• 檢視控制事件的清單。
• 從「檔案」功能表,清除日誌中的所有項目。
• 從「檔案」功能表,將日誌中的資料匯出為 Tab 分隔文字檔案,以便在其他應用程式中使用。
• 從「檢視」功能表,切換本機檢視和來源檢視。
• 從「過濾」功能表,透過選取時間範圍來過濾項目。
系統日誌 「系統日誌」包含發生在您電腦上的所有作業變更相關資訊。範例包括當服務啟動或停止、電腦偵測網路應用程式或架構軟體時的活動。
您可以在「系統日誌」中執行下列工作:
• 檢視每當您的電腦連接至網路時的系統事件清單。
• 從「檔案」功能表,清除日誌中的所有項目。
• 從「檔案」功能表,將日誌中的資料匯出為 Tab 分隔文字檔案,以便在其他應用程式中使用。
• 從「過濾」功能表,根據時間範圍或嚴重性來過濾項目。
   
  附註: 如果您登入的是受管用戶端,部分日誌中的某些選項可能無法使用。是否能使用這些選項取決於您的管理員所允許的項目。這個注意事項適用於「網路威脅防護」及「用戶端管理流量」、「封包」、「控制」、「安全」及「系統」日誌。
   
 
  • Liveupdate
    • LiveUpdate按字義解釋就是『即時線上更新』的意思。只要按此按鈕,就能自動由網際網路中下載最新的更新檔。就查殺已知病毒的原理,更新是最重要的工作。一般使用者最好能一開機就確認病毒定義檔是否為最新,而不要太依賴防毒軟體本身的自動更新機制(除非採用SEPM的集中控管機制)。
    • LiveUpdate可使用網際網路連線在電腦上進行程式和防護更新。所謂程式更新,指的是對已安裝好的產品做小幅度的修改。與產品升級不同,後者指的是將整套產品更換成較新的版本。程式更新的建立通常是用來擴充作業系統或硬體的相容性、調整效能問題,或是修正程式錯誤。至於程式更新部分,賽門鐵克會視需要來發行。
    • 依預設,LiveUpdate 會在排程間隔自動執行。根據您的安全性設定,您可以手動執行 LiveUpdate。可能也可以停用 LiveUpdate 或變更 LiveUpdate 排程。
 
   
  LiveUpdate的排程可設定為每週、每天、每小時的更新頻率。也能設定遺失事件的選項。設定/修正的LiveUpdate排程,可由左邊的主選單的變更設定 的用戶端管理的架構設定的排程更新。
   
 
   
  以上的設定,其實也能透過SEPM管理主控台,由系統管理者作強制性的設定與強化。同時如果使用人數較多的組織(如政府部門,或大型學校),可考慮在內部也架一部跟原廠更新主機一模一樣的Liveupdate 主機(與SEPM 主機不同),這樣就能讓?部需要更新的電腦連線到內部Liveupdate,而不需要連到網際網路的原廠主機,可以大量節省對外的頻寬。