Symantec Endpoint Protection 12.1

Symantec Endpoint Protection 12.1Technical TrainingTechnical Training

Symantec Technical Support OverviewSy a tec ec ca Suppo t O e e

S t 企業授權產品支援服務Symantec 企業授權產品支援服務• 企業授權產品支援中心免付費專線： 0080‐1861‐032

– 必須是賽門鐵克的企業產品授權用戶– 必須還在該產品的授權合約的期限內

• 企業授權產品支援中心可提供的服務– 技術支援– 客戶服務

• 企業授權產品技術支援服務流程告知客人您授權書上的技術支援帳號客戶編號或產序號– 告知客服人員您授權書上的技術支援帳號、客戶編號或產品序號

– 說明要詢問的產品名稱以及簡單敘述所遇到的問題客服人員會記錄問題並且提供組案件編號(CASE NUMBER)– 客服人員會記錄問題，並且提供一組案件編號(CASE NUMBER)• 請務必將 CASE NUMBER 紀錄下來，以便日後追蹤

– 客服人員會詢問您的聯絡方式，並請工程師與您聯繫客服人員會詢問您的聯絡方式並請工程師與您聯繫• 可以要求工程師以郵件回覆或回覆給您指定的技術人員• 可以要求線上直接將電話轉接給有空的工程師

S t 企業授權產品支援服務Symantec 企業授權產品支援服務• 注意事項

– 技術支援中心的工程師，有義務要協助客戶解決問題，或提出相對應的解決方案。在問題尚未獲得解決之前，您隨時都可以透過電話或 E‐

l 的方式追蹤目前的處理進度Mail 的方式，追蹤 CASE 目前的處理進度– 請務必針對技術支援中心的工程師所提出的建議或需求給予回應

如果您的問題未獲得妥善的解決您可以將您的 CASE NUMBER 提供– 如果您的問題未獲得妥善的解決，您可以將您的 CASE NUMBER 提供給賽門鐵克的合作夥伴窗口，由賽門鐵克的合作夥伴提供更進一步的協助

• 常見問題– 與工程師溝通有困難時，可要求工程師放慢說話速度或以 E‐Mail 回覆與程師溝通有困難要程師放慢說話速度或以回覆– 開 CASE 無需支付額外費用，購買產品授權時即已包含技術支援服務– 可由熟悉環境的維護廠商第一線工程師協助釐清，可加速問題處理

線上新增檢閱及更新技術支援案件線上新增、檢閱及更新技術支援案件• Symantec MySupport ‐ https://mysupport.symantec.com/y y pp p // y pp y /• 建立帳戶

– 支援編號 (CASE NUMBER)、技術聯絡人 ID (CONTACT ID) 、技術案例 ID支援編號 (CASE NUMBER) 技術聯絡人 ID (CONTACT ID) 技術案例 ID

• 主要功能新增技術支援案件、新增客戶服務案件– 新增技術支援案件、新增客戶服務案件

– 檢視案件進度更新案件內容及狀態– 更新案件內容及狀態

如何取得最新版本的安裝軟體如何取得最新版本的安裝軟體• 如何取得更新版本授權

– 必須在授權維護合約期限內– 直接撥打免付費客服專線 0080‐1861‐032 按 2 至客服中心直接撥打免付費客服專線按至客服中心– 告知客服人員 Customer Number 或 License Number 並告知客服人員希

望升級至 SEP– 客服人員會寄發升級通知至所登記的使用者信箱– 使用取得的新授權下載最新的安裝軟體

• 如何下載最新版本的軟體– 開啟瀏覽器並連線到https://fileconnect.symantec.com

– 點選欲瀏覽的語言– 輸入欲下載軟體的授權序號– 點選欲下載的軟體開始下載

如何管理授權並取得授權檔案如何管理授權並取得授權檔案• 賽門鐵克授權入口網站 (Symantec Licensing Portal) ( y g )https://licensing.symantec.com

• 客戶可使用授權入口網站來註冊及啟用新購買的產品、管理現有的授權資料及處理軟體版本升級通知。

• 客戶必須先取得登入帳號– 帳號由客戶自行申請 (通常以 E‐mail 作為帳號)

• 如何取得授權檔案– 以申請的帳號登入 Licensing Portal– 點選 “取得授權碼”– 依據需求選擇“新購買的產品”或“版本升級”– 輸入授權序號或升級通知碼– 選擇欲下載授權的產品並點選“檢視詳細資料”– 點選“下載授權碼檔案”取得授權檔案

如何後送病毒樣本如何後送病毒樣本• 為什麼要後送病毒樣本

– 病毒的變種速度與種類不斷增加, 且永遠都會有新的威脅– 防毒軟體必須仰賴病毒定義檔才能發揮作用– 病毒定義檔必須仰賴收集病毒樣本才能製作出正確的疫苗

• 如何後送病毒樣本– 企業授權用戶(金級服務客戶)

• https://submit.symantec.com/gold/• 需要客戶的 Contact ID• 可以取得 Tracking Number, 便於後續進度追蹤• 優先取得服務並且通知取得病毒定義檔• 優先取得服務, 並且通知取得病毒定義檔

– 一般授權用戶(一般個人盒裝用戶)• https://submit.symantec.com/retail/• 任何人都可以 Submit 病毒樣本• 沒有 Tracking Number 可供後續進度追蹤

處理速度較慢會直接寫入下個版本的病毒定義檔• 處理速度較慢, 會直接寫入下一個版本的病毒定義檔

Symantec Endpoint ProtectionQuick OverviewQuick Overview

端點防護的概念端點防護的概念• 什麼是端點?

– 每一部連上網路的系統都是網路上的一個端點• 現今的網路威脅都能輕易避開閘道端的防護直接進入端點

– 利用使用者瀏覽網站的管道– 利用使用者收發電子郵件的管道– 利用即時通訊軟體或檔案共享軟體– USB 隨身碟或外接式磁碟機單純的病毒防護機制已不足以防護最新的威脅• 單純的病毒防護機制已不足以防護最新的威脅– 2007 年總共發現超過 550 萬隻新病毒

病毒不再只是單純的感染系統– 病毒不再只是單純的感染系統• 自動找出網路上有弱點的系統並嘗試入侵該系統• 竊取敏感性資料 (帳號、密碼、個人資料 …)( )• 自動上網更新版本以躲避防毒軟體的偵測

• 全新的端點防護機制能降低使用者接觸風險的機會

賽門鐵克端點安全賽門鐵克端點安全方

案賽門鐵克端點安全端點防護端點政策遵循解

決方

賽門鐵克端點安全

Endpoint Protection: 主動防護筆記型電腦、桌上型電腦、伺服器不受已知與未知的惡意程式威脅提

Endpoint Compliance:

· 持續的諯點完整性檢查

定義

供以下的防護能力:· 防毒· Antispyware

· 中央控管端點遵循政策· 自動化的修補· 主機式的強制執行連線政策

· 個人防火牆· 入侵防禦系統 (Host & Network)· 週邊裝置控管

· 監控及報告· 系統設定、檢查、修補、及強制

產品

主要

產 Symantec Network Access Control 12.1

Symantec Endpoint Protection 12.1

完整的端點安全防護解決方案完整的端點安全防護解決方案

• 檢查用戶端是否遵循安全政策網路存取控管 • 檢查用戶端是否遵循安全政策網路存取控管

主動式威脅掃描 • 主動分析系統中可疑的木馬程式

• 控管哪些週邊裝置可以連接機器

加強防護、控管與可管理性應用程式控管

主動式威脅掃描

控管哪些週邊裝置可以連接機器• 控管使用者及程序的存取行為

裝置控管

• 封鎖來自內外的未授權流量• 攔截針對弱點的惡意攻擊降低

(網路) 入侵防禦

攔截針對弱點的惡意攻擊降低成本、複雜性與風險暴露

個人防火牆

• 領先全球的防毒解決方案• 輕易偵測移除間諜程式

病毒防護

安全風險防護

病毒防護

全新的 S t E d i t P t ti 12 1全新的 Symantec Endpoint Protection 12.1

單一代理程式, 單一主控台

Windows, MacAntivirus

AntispywareNetwork Access Control

FirewallApplication Control

Intrusion Prevention

Device Control

全新的 S t E d i t P t ti 12 1全新的 Symantec Endpoint Protection 12.1

無可比擬的安全性專為虛擬環境所打造引人注目的超強效能

• 降低超過 70% 的• 使用 Insight 技術 • 針對虛擬環境測試及經常性掃描

• 更聰明的更新• 更快速的管理

g• 全新 SONAR 技術

即時監控程序行為優化

• 搜尋管理虛擬用戶端• 降低掃描負擔• 更快速的管理 • 降低掃描負擔

為什麼要使用 S mantec Insi ht？今天，好軟體與壞軟體都呈現一種所謂的「長尾分布」情況。

為什麼要使用 Symantec Insight？沒有任何現有的防護方法能解決這種「長尾分佈」的情況

可惜，兩種技巧都無法有效應付數

今軟軟都現種所長布」情況

壞的檔案好的檔案千萬個普遍性不高的檔案。

(但這卻是今日絕大多數惡意程式的寫照) 性寫照)

普遍

性

白名單在此處效果分佈的情況白名單在此處效果良好。

長尾分佈的情況需要一種新的技巧。

黑名單在此處效果良好。

S t ™ I i ht 的運作方式

2244 在掃描時核對

資料庫幾乎網際網路上的所有檔案25 億個檔案

Symantec™ Insight 的運作方式

22 資料庫上的所有檔案都有評等記錄25 億個檔案

11 建立一個集合網路1 億 7 千5 百萬台集合網路5 百萬台個人電腦

是新的檔案嗎？是新的檔案嗎？

普遍性

新舊程度

信譽不佳嗎？信譽不佳嗎？

新舊程度

來源

行為33 找尋關聯性55 可供行動的資料

I i ht 可以提供更快速的掃描Insight 可以提供更快速的掃描

在一個典型的系統上 70% 的使用在一個典型的系統上，70% 的使用中應用程式都能略過！

Insight ‐ 最佳化掃描略過任何已確認良好的檔案，大幅提高掃

描速度

傳統掃描必須掃描每個檔案

描速度

以賽門鐵克 I i ht 為後盾的防護以賽門鐵克 Insight 為後盾的防護

Download Advisor

Download Advisor

Email ‐Email ‐SONARSONARAuto

protectAuto protect

Insight Antivirus ‐Real timeAntivirus ‐Real time

Intrusion preventionIntrusion prevention Insight Real timeReal timepreventionprevention

Antivirus ‐ScanLessAntivirus ‐ScanLess

Browser ProtectionBrowser Protection

CloudScanCloudScan

S t E d i t P t ti 11 0 12 1Symantec Endpoint Protection 11.0 vs 12.1保護技術

Symantec Endpoint Protection 11 0

Symantec Endpoint Protection 12 111.0 12.1

防毒 / 防間諜程式 ● ●

桌上型個人防火牆 ● ●

入侵預防/通用漏洞攔截 ● ●

裝置與應用程式控制 ● ●

主動式威脅掃描 (TruScan) ● ●主動式威脅掃描 (TruScan) ● ●

網路存取控制模組 ● ●

Mac 用戶端防護及控管 ● ●

電子郵件自動防護 (POP3/SMTP) ● ●

群組軟體自動防護 (Outlook/Notes) ● ●

Symantec Insight 技術 (智慧型掃描) ●Symantec Insight 技術 (智慧型掃描) ●

下載智慧型掃描 ●

智慧型掃描查詢 ●

SONAR 偵測即時防護技術 ●

檔案信譽 ●

虛擬影像例外 ●虛擬影像例外 ●

Symantec Endpoint Protection系統需求與架構系統需求與架構

S t E d i t P t ti M 系統安裝需求Symantec Endpoint Protection Manager 系統安裝需求元件 32bit 64bit處理器 1 GHz Intel Pentium III 或效能相當的處理器

(適用大多數系統)2 GHz x86‐64 Pentium 4 或效能相當的處理器附註：不支援 Intel Itanium IA‐64 和 PowerPC

作業系統 • Windows 7• Windows XP Professional Service Pack 3 或更新版本• Windows Server 2003 Standard / Enterprise /

• Windows XP Professional x64 Edition 所有版本• Windows Server 2003 Standard / Enterprise / Datacenter / Storage 含 Service Pack 1 或更新版本

Datacenter / Web / Small Business Server• Windows Server 2008 Standard / Enterprise / Datacenter / Web• Windows Server 2012

• Windows Server 2003 Small Business Server• Windows Server 2008 Standard / Enterprise / Datacenter / Web• Windows Server 2008 Small Business Server• Windows Essential Business Server 2008• Windows Server 2012

資料庫 Microsoft SQL Server 2005 / 2008 / 2012 (選用) Microsoft SQL Server 2005 / 2008 / 2012 (選用)

記憶體 1GB RAM (建議使用 2‐4 GB) 2GB RAM (建議使用 2‐4 GB)

硬碟 4GB 加 4GB 的日誌、資料庫與備份檔案空間 4GB 加 4GB 的日誌、資料庫與備份檔案空間

其他需求 Internet Explorer 7或更新版本 Internet Explorer 7或更新版本其他需求 Internet Explorer 7 或更新版本Mozilla Firefox 3.6 或 4.0靜態 IP 位址 (建議使用)

Internet Explorer 7 或更新版本Mozilla Firefox 3.6 或 4.0靜態 IP 位址 (建議使用)

S t E d i t P t ti 系統安裝需求Symantec Endpoint Protection 系統安裝需求元件 32bit 64bit處理器 1 GHz Intel Pentium III或效能相當的處理器

(適用大多數系統)Intel Core Solo (Mac)Intel Core Duo (Mac)

2 GHz x86‐64 Pentium 4 或效能相當的處理器附註：不支援 ItaniumIntel Core 2 Duo (Mac)Intel Quad‐Core Xeon (Mac)Intel Core Duo (Mac) Intel Quad‐Core Xeon (Mac)

作業系統 • Windows XP SP2 (Home / Professional / Tablet PC)• Windows XP Embedded

• Windows XP Professional x64• Windows Server 2003 x64• Windows XP Embedded

• Windows Server 2003 Standard / Enterprise / Datacenter / Web / Small Business Server• Windows Vista (x86) Home Basic / Home Premium / Business / Enterprise / Ultimate

• Windows Server 2003 x64• Windows Compute Cluster Server 2003• Windows Storage Server 2003• Windows Vista Home Basic x64 / Home Premium x64 / Business x64 / Enterprise x64 / Ultimate x64Business / Enterprise / Ultimate

• Windows 7• Windows Server 2008 Standard / Enterprise / Datacenter / WebWi d 8

x64 / Business x64 / Enterprise x64 / Ultimate x64• Windows Server 2008 Standard x64 / Enterprise x64 / Datacenter x64 / Web x64• Windows 8Wi d S 2012• Windows 8

• Windows Server 2012• Mac OS X 10.5 – 10.6• Mac OS X Server 10.5 – 10.6

• Windows Server 2012• Mac OS X 10.5 – 10.6• Mac OS X Server 10.5 – 10.6

記憶體 512MB RAM (建議 1GB) 512MB RAM (建議 1GB)

硬碟 700MB 700MB

S t E d i t P t ti 基本架構Symantec Endpoint Protection 基本架構

SQL Data StoreJava Based Console

Symantec Endpoint Protection Manager (SEPM)

‐Policies‐Events& Logs‐Security Content‐Reporting Data‐State Information

‐Policy Management‐Agent Management‐Roles and Administration‐Launch Reports‐View Alerts

HTTPSTCP 8443

TCP 1433

‐Updates and Patches

TCP 8014

LaptopsDesktops

Servers

Symantec Endpoint Clients

S t E d i t P t ti M 的主要功能Symantec Endpoint Protection Manager 的主要功能• 監視狀況及匯出報告

– 排程每週或每天定時遞送報表至系統管理員的郵件信箱• 集中事件/日誌記錄

可將日誌匯出至其它安全資訊管理系統(SIMS)– 可將日誌匯出至其它安全資訊管理系統(SIMS)• 角色型管理

– 針對群組中不同的角色給予不同的使用權限針對群組中不同的角色給予不同的使用權限– 支援RSA SecurID驗證

• 整合目錄服務(Active Directory)匯入及同步現有的組織單位及群組架構– 匯入及同步現有AD/LDAP的組織單位(OU)及群組架構

– 利用現有的AD/LDAP來進行帳號的驗證• 部署• 部署

– 代理程式安裝套件的建立– 進行軟體修正及更新– 遠端派送及安裝

• 對SAV, SCS, SEP and SNAC進行升級 SEPM and Datastore

S t A tiVi f LiSymantec AntiVirus for Linux• Symantec AntiVirus for Linux 的支援平台y

– RedHat Enterprise Linux 6.x– SUSE Linux Enterprise Server 和 Enterprise Desktop 11.x p 和 p p(包括對 OES 2 的支援)

– Ubuntu 11.x– Fedora 14.x、15.x– Debian 6.x

• Symantec AntiVirus for Linux 的限制– 無法統一由 SEPM 控管無法統由 SEPM 控管– 各用戶端獨立安裝– 必須自行上 Internet 更新病毒定義檔必須自行上 Internet 更新病毒定義檔

VM & H V 支援VMware & Hyper‐V 支援元件虛擬化產品

Symantec Endpoint Protection Manager主控台和內嵌資料庫

VMware Workstation 5.0 (工作站) 或更新版本VMware GSX 3.2 (企業) 或更新版本VMware ESX 2.5 (工作站) 或更新版本VMware VMotionVMware VMotionMicrosoft Virtual Server 2005Windows Server 2008 Hyper‐VNovell Xen

Symantec Endpoint Protection用戶端軟體

VMware Workstation 5.0 (工作站) 或更新版本VMware GSX 3.2 (企業) 或更新版本VMware ESX 2.5 (工作站) 或更新版本VMware VMotionMicrosoft Virtual Server 2005Windows Server 2008 Hyper‐VNovell Xen

Symantec Endpoint Protection管理架構進階設計管理架構進階設計

進階的管理架構設計進階的管理架構設計• 依照實際環境需求可有以下的架構設計

– 集中式 (單一站台) – 分散式 (多個站台)分散式 (多個站台)– 日誌複寫 (多個站台)– 內容複製 (多個站台)內容複製 (多個站台)– 混合式– 容錯移轉– 群組更新 (GUP)

Database

SEPM SEPM SEPM

集中式架構單站台單一站台

Site 1Site 1Database

SEPM

集中式架構單站台 (容錯移轉)單一站台 (容錯移轉)

Site 1 Site 1Site 1 Site 1Database Database

SEPM SEPM SEPM SEPM SEPM

OR

複寫及容錯移轉複寫及容錯移轉Failover between Management Servers & Data Stores

End‐point

Clustered Databases

Clustered Databases

Microsoft SQL Server 2005/2008/2012 only

Microsoft SQL Server 2005/2008/2012 only

PolicyDatastore Datastore

Replication

SEPMSEPM SEPM SEPMSEPM SEPMS

有* 只有使用Microsoft SQL Server 時才支援容錯移轉和負載平衡安裝

集中日誌集中日誌

CorpPolicy & Group Replication

Database

SEPM SEPM SEPMLog Replication


SEPM SEPM SEPM SEPM SEPM SEPM

雙向日誌雙向日誌


Database




內容複製病毒定義檔內容複製病毒定義檔


Database

Content Replication SEPM SEPM SEPM



複合式架構複合式架構


Database

Content Replication SEPM SEPM SEPM

Log Replication



資料庫保存資料庫保存


Database ArchiveSite


SEPM Database



群組更新群組更新

Corp DatabaseGroup Policy

SEPM SEPM SEPM

Log

Content

GUP GUP GUP GUP GUP GUP

Symantecliveupdate.symantec.com

li d li dliveupdate.symantecliveupdate.com

(Internet) TCP 80 / TCP 443TCP 80 / TCP 443

TCP 7070 TCP 7070 TCP 80TCP 8014

TCP 8014TCP 8443

TCP 8014TCP 8443

TCP 80TCP 8014

TCP 8443

InternalInternal

SEPM(DMZ)

SEPM(LAN)

SEPM(LAN)

SEPM(DMZ)

TCP 8443TCP 9090

TCP 9090TCP 9090TCP 8443TCP 9090 TCP 8443

InternalLiveUpdate

InternalLiveUpdate

(DMZ) (LAN) (LAN) (DMZ)

外點群組更新外點群組更新

TCP 8014 TCP 8014TCP 8014

外點單位群組

群組更新伺服器(GUP)

TCP 2967

外點單位群組

群組更新伺服器(GUP)

TCP 2967直屬單位用戶端

TCP 8014 TCP 8014 TCP 2967TCP 2967

外點單位群組外點單位群組外點單位群組外點單位群組

Symantec Endpoint Protection基本安裝基本安裝

部署 S t E d i t P t ti 之前部署 Symantec Endpoint Protection 之前• 管理伺服器 (SEPM) 的數量?( )• 用戶端的種類及數量?• 硬體是否符合需求?• 硬體是否符合需求?• 啟用哪些功能?

管理伺服器的位置?• 管理伺服器的位置?• 資料庫的種類(Embedded or MS‐SQL)?• 資料庫的數量?• 舊有管理伺服器及用戶端升級流程?• 利用什麼方式部署用戶端?• 透過什麼方式更新病毒定義檔?透過什麼方式更新病毒定義檔?

開始安裝 S t E d i t P t ti M開始安裝 Symantec Endpoint Protection Manager

確認安裝精靈執行步驟及接受授權許可協議確認安裝精靈執行步驟及接受授權許可協議

指定安裝目的資料夾並準備開始安裝指定安裝目的資料夾並準備開始安裝

安裝動作完成後準備進行架構管理伺服器安裝動作完成後準備進行架構管理伺服器

選取架構類型選取架構類型

設定管理伺服器角色及指定資訊設定管理伺服器角色及指定資訊

選擇資料庫類型選擇資料庫類型• 依需求選擇要使用的資

料庫類型• 內崁資料庫建議不超過5000 個用戶端

• Microsoft SQL Server 目前支援及兩前支援 2005 及 2008 兩個版本如規劃負載平衡或容錯• 如規劃負載平衡或容錯轉移架構必須使用Microsoft SQL ServerMicrosoft SQL Server

建立系統管理員帳戶及指定加密密碼建立系統管理員帳戶及指定加密密碼

指定電子郵件伺服器及同意匿名資料收集指定電子郵件伺服器及同意匿名資料收集

架構精靈完成資料庫建立準備啟動管理伺服器架構精靈完成資料庫建立準備啟動管理伺服器

準備登入管理伺服器準備登入管理伺服器

進入管理介面確認可正常執行進入管理介面確認可正常執行

Symantec Endpoint Protection管理介面介紹管理介面介紹

登入管理伺服器登入管理伺服器

首頁 (H )首頁 (Home)

監視器 (M it )監視器 (Monitors)

報告 (R t )報告 (Reports)

政策 (P li i )政策 (Policies)

用戶端 (Cli t )用戶端 (Clients)

管理員 (Ad i )管理員 (Admin)

Symantec Endpoint Protection部署用戶端安裝套件部署用戶端安裝套件

依實際需求彈性部署代理程式依實際需求彈性部署代理程式完整的端點安全

防護解決方案

綜合的端點保護部署網路存取控管綜合的端點保護部署

主動式威脅防護

網路存取控管

主動式威脅防護

應用程式與裝置控管應用程式與裝置控管用戶端安全防護部署

標準部署入侵防禦

防火牆

入侵防禦

防火牆

入侵防禦

防火牆

防間碟程式

入侵防禦

防間碟程式防間碟程式

入侵防禦

防間碟程式

入侵防禦

防毒防毒防毒防毒

僅需啟動需要的功能僅需啟動需要的功能

定義用戶端安裝功能集定義用戶端安裝功能集

定義用戶端安裝安裝設定定義用戶端安裝安裝設定

選擇用戶端安裝套件並匯出選擇用戶端安裝套件並匯出

部署用戶端之前部署用戶端之前• 在部署用戶端之前須確認用戶端符合

以下條件才能順利部署以下條件才能順利部署– 確認用戶端符合系統需求

• CPU 型號及作業系統版本• CPU 型號及作業系統版本– 32bit or 64bit– Windows XP SP2 或更新的版本

• IE6 0 或更新的版本• IE6.0 或更新的版本

– 已取得管理員權限• 使用部署精靈遠端派送部署用戶端

– 用戶端須允許檔案共用或關閉防火牆• UDP 137, 138 以及 TCP 139

用戶端須更改本機安全性原則設定或– 用戶端須更改本機安全性原則設定或取消使用共用精靈(簡易型共用)

– 本機安全性原則• 網路存取：共用和安全性模式

– 傳統 ‐ 本機使用者以自身身分驗證

Symantec Endpoint Protection基本管理及設定基本管理及設定

新增系統管理員新增系統管理員

架構伺服器站台屬性架構伺服器站台屬性

啟用授權啟用授權

架構病毒和間諜軟體防護政策架構病毒和間諜軟體防護政策

架構防火牆政策架構防火牆政策

架構入侵預防政策架構入侵預防政策

架構 Li U d t 政策架構 LiveUpdate 政策

架構例外政策架構例外政策

架構用戶端政策架構用戶端政策

架構用戶端般設定架構用戶端一般設定

架構用戶端通訊設定架構用戶端通訊設定

關於用戶端通訊設定關於用戶端通訊設定• 推送模式 (Push Mode)( )

– 讓用戶端與管理伺服器之前的連線保持開啟，以便用戶端可以在最快時間下載政策。

– 適用於 500U 以下的用戶端，且用戶端與伺服器均在同一個區域內。

提取模式 ( ll d )• 提取模式 (Pull Mode)– 用戶端會每隔一段時間連線到管理伺服器，

檢查是否有新的政策。檢查是否有新的政策。– 適用於 500U 以上的用戶端，或用戶端與

伺服器不在同一個區域內。伺服器不在同個域內– 最佳活動訊號間隔時間為不超過 1 小時。

架構用戶端使用者介面控制架構用戶端使用者介面控制

Symantec Endpoint Protection進階管理及設定進階管理及設定

使用用戶端部署精靈使用用戶端部署精靈

升級 S t E d i t P t ti升級 Symantec Endpoint Protection• 升級 Symantec Endpoint Protection Managery p g

– 在 Symantec Endpoint Protection Manager 伺服器中置入最新版本的安裝光碟

– 在選單中選擇 Symantec Endpoint Protection Manager 開始安裝安裝精靈會自動將 S E d i– 安裝精靈會自動將 Symantec Endpoint Protection Manager 升級到最新版本

• 升級 Symantec Endpoint Protection 用戶端• 升級 Symantec Endpoint Protection 用戶端– 使用套件升級群組

設定使用者資訊收集設定使用者資訊收集• 在 Symantec Endpoint Protection y pManager 中點選「管理員」

• 在「安裝套件」選擇「用戶端安裝套件」

• 點選「設定使用者資訊收集」• 選擇希望使用者填寫的資料欄位• Symantec Endpoint Protection 會在下次Symantec Endpoint Protection 會在下次

更新政策或安裝套件時，要求使用者輸入指定的資料

用戶端使用者介面控制用戶端使用者介面控制• 預設用戶端使用者介面限制由伺服器控制，管理員可以指定哪些

使用者介面設定會出現在用戶端上• 管理員可以指定用戶端所擁有的控制類型

– 伺服器控制• 使用者有限制的控制權

– 用戶端控制• 使用者有完整的控制權

– 混合控制• 管理員可以指定使用者擁有多少控制權

新增硬體裝置新增硬體裝置• 在 Symantec Endpoint Protection Manager 中點選「政策」，並在y p g

「政策元件」中點選「硬體裝置」來新增硬體裝置• 利用 DevViewer.exe 檢視系統中的硬體裝置，並找出 Class ID 或Device ID

• 在「新增硬體裝置」中輸入以查詢到的資訊

設定管理伺服器清單設定管理伺服器清單• 「管理伺服器清單」會顯示用戶端可以連線的管理伺服器• 用戶端會先嘗試連線到優先順序較高的管理伺服器• 優先順序相同的管理伺服器將執行自動負載平衡• 優先順序相同的管理伺服器將執行自動負載平衡

管理病毒定義檔更新管理病毒定義檔更新• 定義檔路徑 C:\Program Files\Symantec\Symantec Endpoint \ g \ y \ y pProtection Manager\Inetpub\content

• 最佳保留的內容修訂數量為 30 個

管理位置管理位置• 可依不同位置給予不同的防護政策• 新增或編輯位置並依據需求調整優先順序• 指定每個位置的判斷條件• 指定每個位置的判斷條件

– IP 位址閘道位址– 閘道位址

– DNS 伺服器位址DHCP 伺服器位址– DHCP 伺服器位址

– 網路連線類型– 管理伺服器連線– 管理伺服器連線– 登錄機碼– DNS 搜尋– DNS 搜尋– …

備份管理伺服器憑證備份管理伺服器憑證

備份資料庫備份資料庫

如何進行災難復原?如何進行災難復原?• 備份金鑰及資料

– 利用 Symantec Endpoint Protection Manager 備份伺服器憑證• 系統會備份 JKS 密鑰儲存檔案，以及一個名為 server_timestamp.xml 的檔案

– 備份 Sylink.xml 或網域 ID– 設定手動或排程備份資料庫

• 災難復原步驟– 建立伺服器作業環境影像 (同IP及主機名稱)( )– 更新「管理伺服器憑證」(還原憑證)– 新增及編輯「網域」屬性 (還原網域ID)( )– 使用「資料庫備份還原」精靈 (還原DB)

• 也可以使用SQL Server回復工具還原資料庫

– 執行「管理伺服器架構精靈」(重新架構)– 測試及檢視運作情況

常見問題與疑難排解常見問題與疑難排解

用戶端安裝失敗用戶端安裝失敗• 無法遠端派送安裝

– 網路分享不存在或檔案共用未被允許• C$、Admin$

本機安全性原則– 本機安全性原則• 網路存取：共用和安全性模式

– 傳統 ‐ 本機使用者以自身身分驗證

• 用戶端安裝失敗– 未使用管理員權限安裝

用戶端未升級到– 用戶端未升級到 Internet Explorer 6.0– 用戶端系統需求不符

用戶端曾安裝其他版本的防毒軟體或– 用戶端曾安裝其他版本的防毒軟體或舊版的 LiveUpdate 且未移除乾淨

– 系統登錄檔遭到竄改– 系統仍遭到惡意程式感染

• 安裝日誌紀錄檔\– %TEMP%\SEP_INST.LOG

管理伺服器與用戶端無法通訊管理伺服器與用戶端無法通訊• 檢查用戶端連線狀態是否為連線• 檢查用戶端與管理主控台中的政策序號

– 執行手動政策更新後，請確定用戶端中出現的政策序號符合管理主控執行手動政策更新後請確定用戶端中出現的政策序號符合管理主控台中出現的序號

• 測試用戶端與管理伺服器之間的連線– 使用瀏覽器測試

• http://IP Address/reporting/index.php

• http://IP Address:9090

– 使用 Telnet 測試• 檢查網路是否有問題

用戶端無法更新定義檔用戶端無法更新定義檔• 用戶端無法點選 LiveUpdate 手動更新定義檔p

– 檢查管理主控台中 LiveUpdate 政策設定– 允許用戶端手動更新定義檔允許用戶端手動更新定義檔– 手動更新政策

• 用戶端無法從 Symantec Endpoint Protection Manager 更新定義檔用戶端無法從 Symantec Endpoint Protection Manager 更新定義檔– 檢查用戶端的連線狀態– 檢視管理伺服器的最新 LiveUpdate 下載檢視管理伺服器的最新 LiveUpdate 下載– 檢查管理伺服器的網路連線

• 代理伺服器設定

– 比對用戶端與管理伺服器中的內容• 在用戶端電腦上找到下列資料夾– \Program Files\Symantec\Symantec Endpoint Protection\ContentCache

• 在管理伺服器上找到下列資料夾– \Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content

如何讓未受控管的用戶端受控管?如何讓未受控管的用戶端受控管?• 從 Symantec Endpoint Protection Manager 中匯出通訊設定y p gSylink.xml– Sylink.xml 儲存全域通訊設定。此檔案僅供內部使用，且不應加以編

輯其中包含中的設定伺服輯，其中包含 Symantec Endpoint Protection Manager 中的設定、伺服器公鑰、DomainID、共用機密資訊等。

• 利用手動的方式將 Sylink xml 匯入到用戶端• 利用手動的方式將 Sylink.xml 匯入到用戶端– 停用 Symantec Endpoint Protection 服務

將 S li k l 複製到欲受控管的用戶端並覆蓋原始的 S li k l– 將 Sylink.xml 複製到欲受控管的用戶端並覆蓋原始的 Sylink.xml– 重新啟用 Symantec Endpoint Protection 服務利用 S li kD 工具將 S li k l 匯入到用戶端• 利用 SylinkDrop.exe 工具將 Sylink.xml 匯入到用戶端– 開啟安裝光碟中的 \Tools\NoSupport\SylinkDrop 資料夾

將 S li kD 與 S li k l 複製到欲受控管的用戶端– 將 SylinkDrop.exe 與 Sylink.xml 複製到欲受控管的用戶端– 直接執行 SylinkDrop.exe 將 Sylink.xml 匯入

公司內部允許的應用程式被判定為風險公司內部允許的應用程式被判定為風險• 部分特殊的應用程式，可能會被 Symantec Endpoint Protection 判y p

定為惡意程式或風險，使用者可以透過以下方法嘗試排除• 若判定為惡意程式

– 該檔案程式碼中可能含有疑似已知病毒的程式碼– 提交至 Symantec Security Response Center 並紀錄 Tracking Numbery y p g– 與賽門鐵克技術支援中心聯繫，並告知 Tracking Number 請技術人員

分析– 使用集中式例外將該檔案或程序排除

• 若判定為風險– 該檔案程式碼中可能含有疑似已知風險的程式碼– 部分遠端工具或管理工具因有可能被惡意使用者利用的風險，因此被

列為風險列為風險– 直接使用集中式例外將該檔案或程序排除

用戶端不斷出現竄改防護通報用戶端不斷出現竄改防護通報• 「竄改防護」功能主要保護 Symantec Endpoint Protection 不會被y p

惡意程序竄改• 預設「竄改防護」功能為啟用• 系統或部分應用程式在運作時，可能存取 Symantec Endpoint Protection 元件而觸發竄改防護功能，因而出現竄改防護通報

• 可依實際需求調整是否啟用「竄改防護」功能

用戶端持續出現遭到攻擊的通報用戶端持續出現遭到攻擊的通報• 入侵預防功能會針對網路上可能的異常封包或攻擊行為進行攔截

及通報• 入侵預防僅能針對封包是否為已知的攻擊行為或是否符合正常規

範進行判別，對於特殊服務所產生的封包內容無法判斷是否為合法，需要由管理人員判斷排除對於已知的合法事件可直接設定為例外• 對於已知的合法事件可直接設定為例外

• 可開放使用者選擇是否顯示入侵預防通報

無法登入管理伺服器無法登入管理伺服器• 檢查是否管理員密碼輸入錯誤

– 嘗試使用其他的管理員帳號登入– 重新設定管理員密碼重新設定管理員密碼

• 檢查是否能與資料庫正常連線• 檢查資料庫服務狀態是否為已啟動• 檢查資料庫服務狀態是否為已啟動

如何重新設定管理員密碼?如何重新設定管理員密碼?• 在執行 Symantec Endpoint Protection Manager 的電腦上開啟y p g

「Windows 檔案總管」• 變更目錄到 Symantec Endpoint Protection Manager 的資料夾，如C:\Program Files\Symantec\Symantec Endpoint Protection Manager\Tools找到並且直接執行此檔案• 找到 resetpass.bat 並且直接執行此檔案

• 使用帳號 admin 密碼 admin 重新登入 Symantec Endpoint iProtection Manager

• 立即變更您的管理員密碼

應用程式與裝置控制政策實作應用程式與裝置控制政策實作

架構應用程式與裝置控制政策架構應用程式與裝置控制政策

L b 1 禁止使用者使用未授權的硬體Lab 1 : 禁止使用者使用未授權的硬體• 透過裝置控制功能，攔截使用者使用未授權的硬體裝置• 修改裝置控制政策，新增欲攔截的硬體裝置

– 使用 DeviceViewer 找出欲攔截及不攔截裝置的 Device ID 或 Class ID使用 DeviceViewer 找出欲攔截及不攔截裝置的 Device ID 或 Class ID– 新增欲攔截的硬體裝置識別資料– 在「應用程式與裝置控制」政策中點選「裝置控制」在應用程式與裝置控制」政策中點選裝置控制」– 新增欲攔截及不攔截的裝置項目

• 驗證• 驗證– 確認 SEP 用戶端已經套用最新的政策– 在用戶端分別接上已設定的 USB 裝置及其他未設定的 USB 裝置確認– 在用戶端分別接上已設定的 USB 裝置及其他未設定的 USB 裝置, 確認

用戶端是否可以分別使用這些裝置

L b 2 限制使用者使用特定的通訊程序Lab 2 : 限制使用者使用特定的通訊程序• 利用防火牆的設定限制使用者使用即時

通訊軟體的時間通訊軟體的時間• 修改防火牆政策，攔截特定的程序，並

在特定時間開放通訊在特定時間開放通訊– 在「防火牆政策」中新增規則

修改「應用程式」欄位，輸入欲監控的應– 修改應用程式」欄位，輸入欲監控的應用程式名稱，如 msnmsgr.exe• 可以使用檔案指紋避免使用者變更檔名避開規則

修改「時間欄位設定不允許使用的時– 修改「時間」欄位，設定不允許使用的時間，如上午 09:00 – 12:00

– 修改「動作」欄位為「攔截」修改動作」欄位為攔截」• 驗證

– 確認 SEP 用戶端已經套用最新的政策確認 SEP 用戶端已經套用最新的政策– 開啟指定的程序並執行登入動作, 確認 SEP

是否依照排程允許或攔截通訊

L b 3 保護特定的程序或檔案使其不受竄改Lab 3 : 保護特定的程序或檔案使其不受竄改• 針對重要的系統檔案進行防護，例如 hosts 或網頁，透過此方式

可以預防惡意檔案或使用者任意竄改檔案• 撰寫應用程式控管政策，攔截特定的檔案被修改

– 定義欲保護的檔案檔名，如: %windir%\system32\drivers\etc\hosts– 新增規則套用至所有程序– 新增條件為「檔案何資料夾存取嘗試」– 套用至指定系統檔案

• 如: %windir%\system32\drivers\etc\hosts

– 設定建立、刪除或寫入嘗試的動作為「拒絕存取」• 驗證

– 確認 SEP 用戶端已經套用最新的政策– 編輯 hosts 檔案, 確認 SEP 可攔截編輯動作

L b 4 系統機碼存取控管Lab 4 : 系統機碼存取控管• 避免惡意程序或惡意使用者任意修改機碼內容• 撰寫應用程式控管政策，攔截特定的機碼被修改

– 定義欲保護的機碼，如: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

– 新增規則套用至所有程序新增規則套用至所有程序– 新增條件為「登錄存取嘗試」– 在登錄機碼欄位中輸入欲套用的登錄機碼– 依需求輸入登錄值名稱，如「CheckedValue」– 設定建立、刪除或寫入嘗試的動作為「拒絕存取」

• 驗證– 確認 SEP 用戶端已經套用最新的政策

執行並修改上述的登錄值– 執行 regedit.exe 並且修改上述的登錄值– 確認 SEP 是否攔截登錄檔的存取嘗試

L b 5 防止系統執行已知的惡意程序Lab 5 : 防止系統執行已知的惡意程序• 在病毒定義檔尚未更新之前，透過 SEP 防止病毒繼續感染擴散• 撰寫應用程式控管政策，攔截特定的惡意檔案被系統所執行

– 定義常見惡意檔案檔名，如: kavo exe定義常見惡意檔案檔名如: kavo.exe• 可以使用檔案指紋避免惡意程式變更檔名

– 新增規則套用至所有程序– 新增條件為「啟動程序嘗試」– 套用至指定的惡意程序檔名

• 如: kavo.exe

– 設定啟動程序嘗試動作為「拒絕存取」• 驗證

– 確認 SEP 用戶端已經套用最新的政策– 執行 kavo.exe 確認 SEP 會攔截此程序

L b 6 防止瀏覽器下載並執行網頁惡意程式Lab 6 : 防止瀏覽器下載並執行網頁惡意程式• 透過應用程式控制政策，預防上網時被植入惡意程式• 撰寫應用程式控管政策，設定瀏覽器無法呼叫執行檔

– 新增規則套用至瀏覽器應用程式，如 iexplore exe新增規則套用至瀏覽器應用程式如 iexplore.exe– 新增條件為「啟動程序嘗試」– 輸入欲套用的程序輸入欲套用的程序

• 如: *.exe, *.com, *.bat, *.cmd, *.vbs 等

– 設定啟動程序嘗試動作為「拒絕存取」• 驗證

– 確認 SEP 用戶端已經套用最新的政策確認 SEP 用戶端已經套用最新的政策– 開啟 Internet Explorer 並點選執行含有執行檔的連結，並確認 SEP 會

攔截此程序

L b 7 保護重要程序不被任意停用Lab 7 : 保護重要程序不被任意停用• 透過撰寫防護政策，保護重要程序不會被惡意程式或使用者任意

停用• 撰寫應用程式控制政策，設定要保護的程序

– 新增規則套用至所有程序– 新增條件為「終止程序嘗試」– 輸入欲套用的程序

• 如: Rtvscan.exe 等

– 設定終止程序嘗試動作為「拒絕存取」• 驗證

– 確認 SEP 用戶端已經套用最新的政策– 開啟 Windows 工作管理員，結束 Rtvscan.exe 的處理程序，確認 SEP

會攔截此動作會攔截此動作

L b 8 攔截 USB 隨身碟病毒Lab 8 : 攔截 USB 隨身碟病毒• USB 隨身碟病毒會利用 autorun.inf 的特

性自動執行卸除式裝置中的惡意程式• 撰寫應用程式控管政策，攔截系統讀取

卸除式裝置中的 autorun.inf 檔案– 新增規則套用至所有程序– 新增條件為「檔案和資料夾存取嘗試」

• 套用至 autorun.inf

僅比對裝置類型• 僅比對裝置 ID 類型 USBSTOR*

– 設定讀取嘗試動作為「拒絕存取」驗證• 驗證– 確認 SEP 用戶端已經套用最新的政策

插入含有的隨身碟確– 插入含有 autorun.inf 的 USB 隨身碟，確認 auturun.inf 中的程序不會被執行

Questions?Q

Symantec Endpoint Protection 12.1

Technology

Transcript of Symantec Endpoint Protection 12.1