14. 全新的 S
t E d i t P t ti 12 1
Symantec Endpoint Protection 12.1
單一代理程式, 單一主控台
Windows, Mac
Antivirus
Network
Access
Control
Antispyware
Application
Control
Firewall
Device
Control
Intrusion
Prevention
15. 全新的 S
Symantec Endpoint Protection 12.1
t E d i t P t ti 12 1
無可比擬的安全性
• 使用 Insight 技術
g
• 全新 SONAR 技術
即時監控程序行為
引人注目的超強效能
• 降低超過 70% 的
經常性掃描
• 更聰明的更新
• 更快速的管理
專為虛擬環境所打造
• 針對虛擬環境測試及
優化
• 搜尋管理虛擬用戶端
• 降低掃描負擔
17. Symantec™ Insight 的運作方式
S
t ™ I i ht 的運作方式
2
1
幾乎網際網路
上的所有檔案
25 億個檔案
都有評等記錄
4
在掃描時核對
資料庫
建立一個
1億7千
5 百萬台
集合網路
個人電腦
是新的檔案嗎?
信譽不佳嗎?
普遍性
新舊程度
5
可供行動的資料
3
找尋關聯性
來源
行為
18. Insight 可以提供更快速的掃描
I i ht 可以提供更快速的掃描
在一個典型的系統上,70% 的使用
在一個典型的系統上 70% 的使用
中應用程式都能略過!
傳統掃描
必須掃描每個檔案
Insight ‐ 最佳化掃描
略過任何已確認良好的檔案,大幅提高掃
描速度
19. 以賽門鐵克 I i ht 為後盾的防護
Insight 為後盾的防護
Download
Advisor
Email ‐
Auto
protect
Intrusion
prevention
SONAR
Insight
Browser
Protection
Antivirus ‐
Real time
Real time
Antivirus ‐
ScanLess
CloudScan
20. Symantec Endpoint Protection 11.0 vs 12 1
S
t E d i t P t ti 11 0 12.1
Symantec Endpoint Protection
11.0
11 0
Symantec Endpoint Protection
12.1
12 1
防毒 / 防間諜程式
●
●
桌上型個人防火牆
●
●
入侵預防/通用漏洞攔截
●
●
裝置與應用程式控制
●
●
主動式威脅掃描 (TruScan)
●
●
網路存取控制模組
●
●
Mac 用戶端防護及控管
●
●
電子郵件自動防護 (POP3/SMTP)
●
●
群組軟體自動防護 (Outlook/Notes)
●
●
保護技術
Symantec Insight 技術 (智慧型掃描)
●
下載智慧型掃描
●
智慧型掃描查詢
●
SONAR 偵測即時防護技術
●
檔案信譽
●
虛擬影像例外
●
22. Symantec Endpoint Protection Manager 系統安裝需求
S
t E d i t P t ti M
系統安裝需求
元件
32bit
64bit
處理器
1 GHz Intel Pentium III 或效能相當的處理器
(適用大多數系統)
2 GHz x86‐64 Pentium 4 或效能相當的處理器
附註:不支援 Intel Itanium IA‐64 和 PowerPC
作業系統
• Windows 7
• Windows XP Professional Service Pack 3 或更新版本
• Windows Server 2003 Standard / Enterprise /
Datacenter / Web / Small Business Server
• Windows Server 2008 Standard / Enterprise /
Datacenter / Web
• Windows Server 2012
• Windows XP Professional x64 Edition 所有版本
• Windows Server 2003 Standard / Enterprise /
Datacenter / Storage 含 Service Pack 1 或更新版本
• Windows Server 2003 Small Business Server
• Windows Server 2008 Standard / Enterprise /
Datacenter / Web
• Windows Server 2008 Small Business Server
• Windows Essential Business Server 2008
• Windows Server 2012
資料庫
Microsoft SQL Server 2005 / 2008 / 2012 (選用)
Microsoft SQL Server 2005 / 2008 / 2012 (選用)
記憶體
1GB RAM (建議使用 2‐4 GB)
2GB RAM (建議使用 2‐4 GB)
硬碟
4GB 加 4GB 的日誌、資料庫與備份檔案空間
4GB 加 4GB 的日誌、資料庫與備份檔案空間
其他需求
Internet Explorer 7 或更新版本
Internet Explorer 7 或更新版本
Mozilla Firefox 3.6 或 4.0
靜態 IP 位址 (建議使用)
Internet Explorer 7 或更新版本
Internet Explorer 7 或更新版本
Mozilla Firefox 3.6 或 4.0
靜態 IP 位址 (建議使用)
23. Symantec Endpoint Protection 系統安裝需求
S
t E d i t P t ti 系統安裝需求
元件
32bit
64bit
處理器
1 GHz Intel Pentium III 或效能相當的處理器
(適用大多數系統)
Intel Core Solo (Mac)
Intel Core Duo (Mac)
Intel Core Duo (Mac)
2 GHz x86‐64 Pentium 4 或效能相當的處理器
附註:不支援 Itanium
Intel Core 2 Duo (Mac)
Intel Quad‐Core Xeon (Mac)
Intel Quad‐Core Xeon (Mac)
作業系統
• Windows XP SP2 (Home / Professional / Tablet PC)
• Windows XP Embedded
Windows XP Embedded
• Windows Server 2003 Standard / Enterprise /
Datacenter / Web / Small Business Server
• Windows Vista (x86) Home Basic / Home Premium /
Business / Enterprise / Ultimate
Business / Enterprise / Ultimate
• Windows 7
• Windows Server 2008 Standard / Enterprise /
Datacenter / Web
• Wi d
Windows 8
8
• Windows Server 2012
• Mac OS X 10.5 – 10.6
• Mac OS X Server 10.5 – 10.6
• Windows XP Professional x64
• Windows Server 2003 x64
Windows Server 2003 x64
• Windows Compute Cluster Server 2003
• Windows Storage Server 2003
• Windows Vista Home Basic x64 / Home Premium
x64 / Business x64 / Enterprise x64 / Ultimate x64
x64 / Business x64 / Enterprise x64 / Ultimate x64
• Windows Server 2008 Standard x64 / Enterprise
x64 / Datacenter x64 / Web x64
• Windows 8
Windows Server 2012
S
2012
• Wi d
• Mac OS X 10.5 – 10.6
• Mac OS X Server 10.5 – 10.6
記憶體
512MB RAM (建議 1GB)
512MB RAM (建議 1GB)
硬碟
700MB
700MB
24. Symantec Endpoint Protection 基本架構
S
t E d i t P t ti 基本架構
Symantec Endpoint Protection Manager (SEPM)
Java Based Console
‐Policy Management
‐Agent Management
‐Roles and Administration
‐Launch Reports
‐View Alerts
HTTPS
TCP 8443
SQL Data Store
‐Policies
‐Events& Logs
‐Security Content
‐Reporting Data
‐State Information
‐Updates and Patches
TCP 1433
TCP 8014
Servers
Symantec Endpoint Clients
Desktops
Laptops
25. Symantec Endpoint Protection Manager 的主要功能
S
t E d i t P t ti M
的主要功能
• 監視狀況及匯出報告
– 排程每週或每天定時遞送報表至系統管理員的郵件信箱
• 集中事件/日誌記錄
– 可將日誌匯出至其它安全資訊管理系統(SIMS)
• 角色型管理
– 針對群組中不同的角色給予不同的使用權限
– 支援RSA SecurID驗證
• 整合目錄服務(Active Directory)
– 匯入及同步現有
匯入及同步現有AD/LDAP的組織單位(OU)及群組架構
的組織單位
及群組架構
– 利用現有的AD/LDAP來進行帳號的驗證
• 部署
– 代理程式安裝套件的建立
– 進行軟體修正及更新
– 遠端派送及安裝
• 對SAV, SCS, SEP and SNAC進行升級
SEPM and Datastore
26. Symantec AntiVirus f Li
S
t A tiVi
for Linux
• Symantec AntiVirus for Linux 的支援平台
y
– RedHat Enterprise Linux 6.x
– SUSE Linux Enterprise Server 和 Enterprise Desktop 11.x
p
和
p
p
(包括對 OES 2 的支援)
– Ubuntu 11.x
– Fedora 14.x、15.x
– Debian 6.x
• Symantec AntiVirus for Linux 的限制
– 無法統一由 SEPM 控管
無法統 由 SEPM 控管
– 各用戶端獨立安裝
– 必須自行上 Internet 更新病毒定義檔
Internet 更新病毒定義檔
41. 部署 S
Symantec Endpoint Protection 之前
t E d i t P t ti 之前
• 管理伺服器 (SEPM) 的數量?
(
)
• 用戶端的種類及數量?
• 硬體是否符合需求?
• 啟用哪些功能?
• 管理伺服器的位置?
• 資料庫的種類(Embedded or MS‐SQL)?
• 資料庫的數量?
• 舊有管理伺服器及用戶端升級流程?
• 利用什麼方式部署用戶端?
• 透過什麼方式更新病毒定義檔?
84. 升級 S
Symantec Endpoint Protection
t E d i t P t ti
• 升級 Symantec Endpoint Protection Manager
y
p
g
– 在 Symantec Endpoint Protection Manager 伺
服器中置入最新版本的安裝光碟
– 在選單中選擇 Symantec Endpoint Protection
Manager 開始安裝
– 安裝精靈會自動將 S
Symantec Endpoint
E d i
Protection Manager 升級到最新版本
• 升級 Symantec Endpoint Protection 用戶端
Symantec Endpoint Protection 用戶端
– 使用套件升級群組
98. 如何讓未受控管的用戶端受控管?
• 從 Symantec Endpoint Protection Manager 中匯出通訊設定
y
p
g
Sylink.xml
– Sylink.xml 儲存全域通訊設定。此檔案僅供內部使用,且不應加以編
輯,其中包含
輯 其中包含 Symantec Endpoint Protection Manager 中的設定、伺服
中的設定 伺服
器公鑰、DomainID、共用機密資訊等。
• 利用手動的方式將 Sylink xml 匯入到用戶端
Sylink.xml 匯入到用戶端
– 停用 Symantec Endpoint Protection 服務
– 將 S li k l 複製到欲受控管的用戶端並覆蓋原始的 S li k l
Sylink.xml 複製到欲受控管的用戶端並覆蓋原始的 Sylink.xml
– 重新啟用 Symantec Endpoint Protection 服務
• 利用 S li kD
SylinkDrop.exe 工具將 S li k l 匯入到用戶端
工具將 Sylink.xml 匯入到用戶端
– 開啟安裝光碟中的 ToolsNoSupportSylinkDrop 資料夾
– 將 S li kD
SylinkDrop.exe 與 S li k l 複製到欲受控管的用戶端
與 Sylink.xml 複製到欲受控管的用戶端
– 直接執行 SylinkDrop.exe 將 Sylink.xml 匯入
107. Lab 1 : 禁止使用者使用未授權的硬體
L b 1 禁止使用者使用未授權的硬體
• 透過裝置控制功能,攔截使用者使用未授權的硬體裝置
• 修改裝置控制政策,新增欲攔截的硬體裝置
–
–
–
–
使用 DeviceViewer 找出欲攔截及不攔截裝置的 Device ID 或 Class ID
DeviceViewer 找出欲攔截及不攔截裝置的 Device ID 或 Class ID
新增欲攔截的硬體裝置識別資料
在 應用程式與裝置控制」政策中點選 裝置控制」
在「應用程式與裝置控制」政策中點選「裝置控制」
新增欲攔截及不攔截的裝置項目
• 驗證
– 確認 SEP 用戶端已經套用最新的政策
– 在用戶端分別接上已設定的 USB 裝置及其他未設定的 USB 裝置 確認
USB 裝置及其他未設定的 USB 裝置, 確認
用戶端是否可以分別使用這些裝置