Программные продукты информационной безопасности: Symantec Endpoint Protection 11.0


Разработчик: Symantec

Дата выхода: Английская версия - Сентябрь 2007 года, Русская версия – Октябрь 2007года

Обозреваемая версия: 11.0.1 Февраль 2008года

Сфера применения: защита рабочих станций и файловых серверов Windows от вирусов, шпионского ПО, контроль и анализ сетевого трафика,блокированиеприложенийиустройств

Доступность:продуктдоступендлязаказавРоссии

Рекомендуемые системные требования:

Symantec Endpoint Protection Client (клиент)

  • Microsoft Windows Vista 32-bit 64-bit;
  • Microsoft Windows 2003 32-bit 64-bit;
  • Microsoft Windows 2008 32-bit 64-bit;
  • Microsoft Windows XP 32-bit 64-bit;
  • Microsoft Windows 2000 (SP3 and later) 32-bit;
  • 400 MHz Intel Pentium III (1 GHz for Windows Vista);
  • 256 MB of RAM;
  • 600 MB free space to run the client installation;
  • Super VGA (1,024x768) or higher-resolution video adapter and monitor;
  • Symantec Endpoint Protection Manager (сервер);
  • Microsoft Windows 2003 32-bit 64-bit;
  • Microsoft Windows XP 32-bit 64-bit;
  • Microsoft Windows 2000 (SP3 and later) 32-bit;
  • База данных Microsoft SQL или встроенная;
  • Symantec Endpoint Protection Manager Console (консоль управления);
  • Microsoft Windows Vista 32-bit 64-bit;
  • Microsoft Windows 2003 32-bit 64-bit;
  • Microsoft Windows XP 32-bit 64-bit;
  • Microsoft Windows 2000 (SP3 and later) 32-bit;
  • Symantec AntiVirus for Linux Client (неуправляемый клиент);
  • Red Hat® Enterprise Linux 32-bit;
  • SuSE Linux Enterprise (Server/Desktop) 32-bit;
  • Novell® Open Enterprise Server 32-bit;
  • VMware ESX 32-bit.

    Основные функции:

    Расширенная защита от вирусов и шпионских программ

    Интегрированная защита от вирусов и шпионских программ на базе технологии Symantec Antivirus с полной защитой в реальном времени и автоматическими средствами локализации и дезактивации угроз

    Основанный на правилах механизм фильтрации трафика

    Лидирующая (по данным Gartner) технология Sygate по фильтрации как открытого, так и шифрованного сетевого трафика

    Технология Generic Exploit Blocking

    Основанная на IPS технология позволяет блокировать проникновение угроз, эксплуатирующих уязвимости приложений

    Расширенная технология обнаружение и удаление РутКит программ

    Обеспечивает продвинутые механизмы обнаружения и удаления РутКитов с использованием инструмента VxMS (Veritas Mapping Service, технологии Veritas). Это дает возможность доступа на более низкий уровень Операционной системы для возможности глубокого анализа процессов.

    Глубокая проверка сетевых пакетов

    Дает возможность Администратору самостоятельно создавать правила IPS, а также анализировать на уровне приложений сетевой трафик с использованием HIPS- системы анализа

    Проактивная защита

    Технология поведенческого анализа от WholeSecurity, позволяющая на основе бального анализа поведения приложений относить их к той или иной категории надежности и безопасности

    Контроль Приложений

    Позволяет Администратору контролировать доступ к таким элементам, как процессы, файлы и папки со стороны пользователей и приложений, а также производить анализ и контроль реестра, модулей и элементов операционной системы, и приложений. Позволяет блокировать различные приложения для обеспечения сохранности данных, а также возможного повреждения системы и приложений

    (Дополнительно) Network Access Control

    Содержит технологию проверки целостности и безопасности систем, позволяющую в зависимости от состояния системы, определять права доступа к сети и ресурсам (более функциональный аналог Cisco NAC)

    Тестирование:

    Установка управляющего сервера, базы данных и клиентского модуля проводилась на одну рабочую станцию ОС Windows XP Pro Russian SP2 с 1 Гб ОЗУ, использовалась встроенная в продукт База Данных на основе Sybase (поддерживает до 1000 клиентов), также поддерживаются версии БД MS SQL 2000/2005. Все необходимые для работы компоненты устанавливаются так же, предварительно должна быть установлена последняя версия Sun Java. Развертывание управляющего сервера Symantec Endpoint Protection Manager состоит примерно из пяти шагов (см. Рисунок 2.1) и занимает примерно 15 минут, включая процесс создания и инициализации Базы Данных. После установки потребовалась одна перезагрузка, после которой все сервисы стартовали автоматически (База Данных и сервис Управляющего сервера); занимаемые ресурсы для Управляющего сервера – 90 Мб ОЗУ, 400 МБ на диске, включая размещение Базы данных, 30 Мб ОЗУ для Базы Данных. Занимаемое место на диске может увеличиваться пропорционально, так как все обновления хранятся в хронологическом порядке определенное количество версий, что позволяет переводить клиентов практически на любые версии компонент. Установка клиента Symantec Endpoint Protection Client автоматически не производится, возможна либо из отдельного пакета (неуправляемый, с возможностью подключения), либо после установки и запуска Сервера; занимаемые ресурсы (состоит из трех процессов, два из которых присутствуют постоянно) – примерно 25 Мб ОЗУ в режиме реального времени, до 80 Мб в режиме сканирования по заданию или при обнаружении вредоносного кода, 500 Мб на диске. В данном случае она производилась с помощью мастера поиска (см. Рисунок 2.18) без особых проблем с учетной записью Локального Администратора, заняла примерно 10 минут, без ущерба производительности, при этом на машине была видна шкала завершенности без возможности отменить установку; есть также возможность тихой установки без информирования Пользователя, а также функция, дающая право Пользователю откладывать установку на определенное время (см. Рисунок 2.24, 2.32e). После установки без перезагрузки были активированы все модули, кроме связанного со сканированием сетевого трафика; активируется только после перезагрузки, которую можно запустить как автоматически, так и дать право Пользователю сделать это самостоятельно.

    Надо отметить, что пакет установки содержит в себе инструментарий автоматической миграции и Севера и Клиентов с таких версий ПО Symantec, как Symantec Antivirus Corporate Edition 9.x, 10.x и Symantec Client Security 2.x, 3.x, включая перенос конфигураций и политик.

    После установки данного набора продуктов, на тестовой машине стало наблюдаться некоторое небольшое снижение производительности, но при этом надо учитывать, что рекомендуемый объем памяти для установки Серверной части – 2 ГБ, а в наличии в данном случае имелся лишь 1 ГБ. Самые ресурсоемкие приложения сервера – модуль закачки обновлений LiveUpdate и модуль генерации инкрементальных обновлений, но они отрабатывают лишь по определенному расписанию.

    Консоль Управления Сервером построена на JAVA-технологии и требует предварительной быстрой установки для своего запуска, первоначальная установка на дополнительные хосты упрощена и сводится к вводу в любой браузер IP-адреса сервера. Консоль в запущенном состоянии использует около 40 Мб ОЗУ, является довольно удобной в эксплуатации.

    Отдельно нужно сказать по поводу защиты абсолютно всех компонент: и серверные, и клиентские сервисы защищены технологией Tamper Protection, и выключить их стандартным способом, например, через Диспетчер Задач невозможно. Все клиентские компоненты защищены от модификации и удаления с функцией автоматического восстановления и перезапуска.

    Также нельзя не упомянуть: продукт содержит инструментарий легкого масштабирования и построения отказоустойчивых систем на базе создания вторичных Серверов Управления. Он легко интегрируется с LDAP-системами, включая Microsoft AD, а также системами распространения обновлений, поддерживая самые популярные из них, такие как Microsoft SMS и Symantec Altiris.

    Графический материал:

    Часть 1. Symantec Endpoint Protection Client (Клиентский модуль)

    Рисунок 1.1: Endpoint Protection Client – Информация по текущей версии


    Рисунок 1.2: Endpoint Protection Client – Status – Консоль управления в состоянии полной работоспособности (вид и доступность пользовательской консоли зависит от групповых настроек Администратора системы)


    Рисунок 1.3: Endpoint Protection Client – Status – Консоль управления в состоянии возможного сбоя (вид и доступность пользовательской консоли зависит от групповых настроек Администратора системы) – оригинальный материал англ. версия


    Рисунок 1.4: Endpoint Protection Client – Status – Консоль управления в состоянии наличия критических проблем (вид и доступность пользовательской консоли зависят от групповых настроек Администратора системы)


    Рисунок 1.5: Endpoint Protection Client – Scan for threats – Настройка сканирования по расписанию


    Рисунок 1.6: Endpoint Protection Client – Change settings – Сводная панель настроек компонентов защиты и управления


    Рисунок 1.7: Endpoint Protection Client – View quarantine – Просмотр пользовательского карантина, с возможностью Добавления, Восстановления, а также автоматизированной передачи образцов в Symantec Security Response

    Рисунок 1.8: Endpoint Protection Client – View logs – Сводная панель данных по работе компонент защиты и управления


    Рисунок 1.9a: Endpoint Protection Client – Antivirus and Antispyware Protection – Базовые клиентские настройки антивирусной защиты: режим реального времени, защита электронной и интернет почты (продублированы на стороне управляющего сервера)

    Рисунок 1.9b: Endpoint Protection Client – Antivirus and Antispyware Protection – Базовые клиентские настройки антивирусной защиты: настройки действий и уведомлений (продублированы на стороне управляющего сервера)

    Рисунок 1.9c: Endpoint Protection Client – Antivirus and Antispyware Protection – Auto-Protect Advanced Options – Расширенные настройки сканирования в Реальном времени (продублированы на стороне управляющего сервера)

    Рисунок 1.10a: Endpoint Protection Client – Proactive Threat Scan Settings – Scan Details –Базовые настройки проактивной защиты, новой технологии, интегрированной в продукт (продублированы на стороне управляющего сервера)

    Рисунок 1.10b: Endpoint Protection Client – Proactive Threat Scan Settings – Notifications –Настройка уведомлений об инцидентах проактивной защиты (продублированы на стороне управляющего сервера)

    Рисунок 1.10c: Endpoint Protection Client – Proactive Threat Scan Settings – Scan Frequency – Настройка режима работы проактивной защиты (продублированы на стороне управляющего сервера)

    Рисунок 1.11a: Endpoint Protection Client – Network Threat Protection – Настройка алгоритмов анализа и контроля сетевого трафика, защиты от разного класса атак; новая технология, интегрированная в продукт (продублированы на стороне управляющего сервера)

    Рисунок 1.11b: Endpoint Protection Client – Network Threat Protection – Настройка алгоритмов анализа и контроля сетевого трафика, защиты от разного класса атак; новая технология, интегрированная в продукт (продублированы на стороне управляющего сервера)

    Рисунок 1.12a: Endpoint Protection Client – Network Threat Protection – View Application List – Просмотр и настройка доступа приложений и процессов к сетевым ресурсам

    Рисунок 1.12b: Endpoint Protection Client – Network Threat Protection – Network Activity – Просмотр и настройка доступа приложений и процессов к сетевым ресурсам

    Рисунок 1.13a: Endpoint Protection Client – Network Threat Protection – Configure Firewall Rules – Основная панель настройки правил сетевого доступа для приложений и служб; новая технология, интегрированная в продукт (продублированы на стороне управляющего сервера)

    Рисунок 1.13b: Endpoint Protection Client – Network Threat Protection – Configure Firewall Rules – Edit Firewall Rule – Базовые настройки и настройки хостов

    Рисунок 1.13c: Endpoint Protection Client – Network Threat Protection – Configure Firewall Rules – Edit Firewall Rule – Настройки портов и протоколов

    Рисунок 1.13d: Endpoint Protection Client – Network Threat Protection – Configure Firewall Rules – Edit Firewall Rule – Настройки доступа для приложений и графика применения правил

    Рисунок 1.14a: Endpoint Protection Client – Scan for threats – Create New Scan – Создание нового пользовательского задания на сканирование

    Рисунок 1.14b: Endpoint Protection Client – Scan for threats – Create New Scan – Создание нового пользовательского задания на сканирование, настройки уровня и области сканирования

    Рисунок 1.14c: Endpoint Protection Client – Scan for threats – Create New Scan – Создание нового пользовательского задания на сканирование, регулировка производительности

    Рисунок 1.15: Endpoint Protection Client – Change settings – Centralized Exceptions – Пользовательские настройки исключений сканирования сигнатурной и проактивной защиты, а также просмотр исключений, заданных Администратором системы

    Рисунок 1.16: Endpoint Protection Client – Change settings – Client Management Settings – Настройка основных функций пользовательского интерфейса: смена места нахождения, настройка защиты клиента (продублированы на стороне управляющего сервера)

    Рисунок 1.17: Endpoint Protection Client – Live Update – Обновление по запросу через сервера Symantec

    Часть 2. Symantec Endpoint Protection Manager (Управляющий сервер)

    Рисунок 2.1a: Endpoint Protection Manager – Install – Установка в четыре шага


    Рисунок 2.1b: Endpoint Protection Manager – Install – Установка в четыре шага – Установка Основного или Дополнительного управляющего сервера

    Рисунок 2.1с:Endpoint Protection Manager – Install – Установка в четыре шага – Подключение собственной Базы данных или MS SQL

    Рисунок 2.2: Endpoint Protection Manager – Информация по текущей версии

    Рисунок 2.3: Endpoint Protection Manager Console – Login Screen – Начало работы с Java консолью управления (запускается с любого хоста, первый раз требует скачивания и установки (автоматической) Java приложения)

    Рисунок 2.4: Endpoint Protection Manager Console – Home Screen – Панель со сводной информацией о состоянии защиты с доступом к основным данным, выбранным отчетам и ресурсам Symantec по безопасности

    Рисунок 2.5a: Endpoint Protection Manager Console – Monitors Screen – Summary – Панель с общей информацией о состоянии защиты с разбивкой по компонентам с возможностью динамического просмотра источников данных (при выборе графика)

    Рисунок 2.5b: Endpoint Protection Manager Console – Monitors Screen – Logs – Панель доступа к развернутой информации по функционированию системы управления и клиентских приложений

    Рисунок 2.5c: Endpoint Protection Manager Console – Monitors Screen – Command Status – Панель доступа к информации о статусе команд, передаваемых от управляющего сервера к клиентским приложениям

    Рисунок 2.5d: Endpoint Protection Manager Console – Monitors Screen – Notifications – Панель доступа к информации о состоянии системы извещений, а также добавления и настройки различных уведомлений и предупреждений системы

    Рисунок 2.6: Endpoint Protection Manager Console – Reports – Панель доступа к системе отчетности, которая позволяет настраивать расписание и предоставлять по запросу около 50 отчетов по работе продукта

    Рисунок 2.7: Endpoint Protection Manager Console – Policies – Панель доступа к созданию и редактированию групповых политик: Антивирусной защиты, Контроля сетевого трафика, Системы противодействия атак, Контроля запуска и использования Приложений и Устройств, Системы обновлений, Системы Централизованных исключений; а также, редактированию списков и переменных (сетевые устройства и протоколы, внешние устройства и другие)

    Рисунок 2.8a: Endpoint Protection Manager Console – Policies – Antivirus and Antispyware Policy – Настройки политик частично дублируют соответствующие элементы настроек клиентского приложения, на рисунке показаны специфичные настройки, недоступные для клиентов

    Рисунок 2.8b: Endpoint Protection Manager Console – Policies – Antivirus and Antispyware Policy – Настройки политик частично дублируют соответствующие элементы настроек клиентского приложения, на рисунке приведен пример одного из них. “Замок” позволяет разрешать или запрещать данную настройку клиентам, относящимся к данной политике

    Рисунок 2.8c: Endpoint Protection Manager Console – Policies – Antivirus and Antispyware Policy – На рисунке приведены дополнительные настройки, связанные с взаимодействием со встроенными в Windows средствами безопасности

    Рисунок 2.8d: Endpoint Protection Manager Console – Policies – Antivirus and Antispyware Policy – На рисунке приведены дополнительные настройки, связанные с настройкой обмена информацией между клиентами и управляющим сервером

    Рисунок 2.9: Endpoint Protection Manager Console – Policies – Firewall Policy – Основной интерфейс создания и редактирования правил для сетевого трафика, в зависимости от настроек приоритезации правила либо перекрывают собственные правила клиента, либо дополняют их

    Рисунок 2.10: Endpoint Protection Manager Console – Policies – Intrusion Prevention (IPS) Policy – Настройки политик противодействия атак и анализа трафика дублируют соответствующие элементы настроек клиентского приложения. В зависимости от настроек пользователю либо разрешено, либо нет менять данные настройки в целом в клиентском интерфейсе

    Рисунок 2.11: Endpoint Protection Manager Console – Policies – Intrusion Prevention (IPS) Policy – Custom Intrusion Prevention Signatures – Помимо набора регулярно обновляемых сигнатур IPS, у Администратора системы есть возможность написания собственных сигнатур и их полное или частичное распространение

    Рисунок 2.12a: Endpoint Protection Manager Console – Policies – Application and Device Control – Одна из наиболее интересных и важных функций нового продукта – возможность контроля, анализа и запрещения использования приложений и устройств, новая технология, интегрированная в продукт

    Рисунок 2.12b: Endpoint Protection Manager Console – Policies – Application and Device Control – Application Control – Создание и редактирование правила контроля приложений: возможность контроля доступа к реестру, файлам и папкам, запуску процессов, а также к возможным попыткам остановки приложений

    Рисунок 2.12c: Endpoint Protection Manager Console – Policies – Application and Device Control – Application Control – Дополнительные средства блокировки

    Рисунок 2.13a: Endpoint Protection Manager Console – Policies – Application and Device Control – Device Control – Существуют два варианта блокирования устройств: только определенные, либо все кроме определенных; блокировка возможна при выборе заранее предопределенных классов устройств, которые возможно самостоятельно расширять

    Рисунок 2.13b: Endpoint Protection Manager Console – Policies – Application and Device Control – Device Control – Основной список устройств, который может быть легко расширен


    Рисунок 2.14a: Endpoint Protection Manager Console – Policies – LiveUpdate Policy – Панель сводных настроек политики обновления для клиентов, позволяющая запрещать или разрешать обновление через Интернет, создавать альтернативные источники обновлений, регламентировать расписание для обновлений, а также создавать группы компьютеров, обновляющихся с одного из членов группы

    Рисунок 2.14b: Endpoint Protection Manager Console – Policies – LiveUpdate Content Policy – Посредством данной политики можно задавать определенные версии сигнатурных и прочих баз для использования на клиентах, также с помощью этой функции можно производить откат обновлений на любую версию назад

    Рисунок 2.15: Endpoint Protection Manager Console – Policies – Centralized Exceptions Policy – Данный элемент настроек групповых политик позволяет создавать общие правила исключений для группы компьютеров: исключения АВ сканирования, проактивной защиты, а также защиты приложений

    Рисунок 2.16: Endpoint Protection Manager Console – Policies – Search for Applications – Данная функция системы позволяет просматривать данные о приложениях, которые запускаются на клиентских станциях, что позволяет их контролировать и при необходимости блокировать, необходима активация функции сбора информации о приложениях (см. Рисунок 2.21d, 2.28b)

    Рисунок 2.17: Endpoint Protection Manager Console – Clients – Clients – Данный раздел консоли управления позволяет производить все операции, связанные с управлением и контролем за клиентскими модулями, включая установку, удаление и настройку

    Рисунок 2.18: Endpoint Protection Manager Console – Clients – Clients – Find Unmanaged Computers – Представленное диалоговое окно позволяет производить поиск клиентских компьютеров с отсутствующей защитой или с не подключенной к серверу, с возможностью автоматической установки любого из имеющихся пакетов, поиск может производиться как по диапазону IP-адресов, так и по именам хостов

    Рисунок 2.19: Endpoint Protection Manager Console – Clients – Clients – Import Active Directory or LDAP Users – Распространение клиентских модулей можно делать как на основе сетевой информации (см. Рисунок 2.18), так и на базе информации Глобального каталога, в случае его наличия

    Рисунок 2.20: Endpoint Protection Manager Console – Clients – Policies – В зависимости от выбранных групп появляется возможность использования либо общих, либо локальных политик безопасности; можно использовать как политики, созданные в разделе Policies (см. Рисунок 2.7 - 2.15), так и локально создаваемые в данном разделе. Политики могут наследоваться от вышестоящей группы или быть изолированными, политики могут быть общие вне зависимости от места нахождения клиентского модуля, либо в зависимости от этого меняться. Также существуют политики, общие для любого расположения и поэтому настраиваемые только в данном интерфейсе

    Рисунок 2.21a: Endpoint Protection Manager Console – Clients – Policies – Location-Independent Policies and Settings – System Lockdown – Независимая от места нахождения клиента политика, позволяющая либо только собирать данные о запускаемых приложениях, либо блокировать и анализировать их работу

    Рисунок 2.21b: Endpoint Protection Manager Console – Clients – Policies – Location-Independent Policies and Settings – Network Application Monitoring – Независимая от места нахождения клиента политика, позволяющая инициировать на клиентах контроль версионности и размерности приложений, имеющих доступ в Интернет

    Рисунок 2.21c: Endpoint Protection Manager Console – Clients – Policies – Location-Independent Policies and Settings – Client Log Settings – В данном разделе настроек вы можете задать основные параметры мониторинга на клиентской стороне: какие журналы сколько хранить и как передавать на сервер

    Рисунок 2.21d: Endpoint Protection Manager Console – Clients – Policies – Location-Independent Policies and Settings – Communication Settings – Основные настройки, позволяющие устанавливать тип коммуникаций между управляющим серверов и клиентами: поддерживаются режимы Push (постоянное соединение) и Pull (регулярное соединение через заданные интервалы времени), также здесь активируется возможность сбора клиентами информации о запускаемых приложениях. Также данные настройки могут автоматически меняться в зависимости от места нахождения клиентского хоста

    Рисунок 2.21e: Endpoint Protection Manager Console – Clients – Policies – Location-Independent Policies and Settings – General Settings – Дополнительные настройки безопасности клиентских модулей

    Рисунок 2.22a: Endpoint Protection Manager Console – Clients – Policies – Location-specific Settings – Client User Interface – Ориентированные на зависимость от места нахождения клиента настройки основных прав доступа пользователя к клиентскому интерфейсу

    Рисунок 2.22b: Endpoint Protection Manager Console – Clients – Policies – Location-specific Settings – Client User Interface – Отдельно изменяемые настройки прав доступа клиентской консоли

    Рисунок 2.23a: Endpoint Protection Manager Console – Clients – Policies – Manage Locations – Данный функционал позволяет создавать неограниченное число возможных условных расположений клиента в зависимости от многих параметров; в зависимости от этого клиентское приложение может подчиняться различным политикам безопасности

    Рисунок 2.23b: Endpoint Protection Manager Console – Clients – Policies – Manage Locations – Specify Location Criteria – Неполный список критериев, по которым возможно определении местонахождения клиента

    Рисунок 2.24: Endpoint Protection Manager Console – Clients – Install Packages – Add Client Install Package – Данный раздел позволяет создавать для каждой группы набор пакетов инсталляции или пакетов обновлений с включением требуемых функций и определенных версий, в том числе возможна поддержка пакетов разной языковой локализации на одном сервере
    Рисунок 2.25: Endpoint Protection Manager Console – Admin – Administrator – Сводная панель основных администраторских настроек системы: доступ, домены, основные и второстепенные сервера управления, клиентские пакеты

    Рисунок 2.26a: Endpoint Protection Manager Console – Admin – Administrator – Add Administrator – Предоставляемые возможности разграничения прав доступа Администраторов системы

    Рисунок 2.26b: Endpoint Protection Manager Console – Admin – Administrator – Add Administrator – Group Rights – Предоставляемые возможности разграничения прав доступа Администраторов системы к группам

    Рисунок 2.26c: Endpoint Protection Manager Console – Admin – Administrator – System Administrator Properties – Предоставляемые возможности контроля доступа Администраторов к системе
    Рисунок 2.27: Endpoint Protection Manager Console – Admin – Domains – В рамках системы возможно создание Логических доменов (с набором групп компьютеров в каждом) и прикрепление к ним учетных записей доменных Администраторов

    Рисунок 2.28a: Endpoint Protection Manager Console – Admin – Servers – Предоставляет возможность конфигурирования основных элементов инфраструктуры управления продуктом, ограничения доступа из вне, поддержки Базы Данных (только при условии использования встроенной Базы данных)

    Рисунок 2.28b: Endpoint Protection Manager Console – Admin – Servers – Site Properties – Предоставляет возможность конфигурирования основных настроек глобальной системы управления и мониторинга
    Рисунок 2.28c: Endpoint Protection Manager Console – Admin – Servers – Site Properties – Предоставляет возможность конфигурирования основных настроек глобальной системы управления и мониторинга
    Рисунок 2.28d: Endpoint Protection Manager Console – Admin – Servers – External Logging – Администратору также представлена возможность настройки репликаций системных логов и логов безопасности в режиме реального времени в другие системы

    Рисунок 2.28e: Endpoint Protection Manager Console – Admin – Servers – External Logging – Администратору также представлена возможность настройки репликаций системных логов и логов безопасности в режиме реального времени в другие системы

    Рисунок 2.29: Endpoint Protection Manager Console – Admin – Servers – Show LiveUpdate Downloads – Просмотр информации по текущим версиям обновляемых компонент, включая обновления клиентских модулей

    Рисунок 2.30: Endpoint Protection Manager Console – Admin – Servers – Server Properties – Предоставляет возможность настройки локальной системы управления, доступа к системе управления, интеграции с LDAP серверами и др.
    Рисунок 2.31: Endpoint Protection Manager Console – Admin – Servers – Backup Settings – При использовании внутренней Базы Данных позволяет настраивать расписание резервного копирования Базы данных (при использовании БД MS SQL резервное копирование обеспечивается встроенными средствами MS SQL)

    Рисунок 2.32a: Endpoint Protection Manager Console – Admin –Install Packages – Данный раздел системы позволяет создавать и управлять набором пакетов установки с различными составляющими компонент и модулей

    Рисунок 2.32b: Endpoint Protection Manager Console – Admin – Install Packages – Client Install Packages – Add Client Install Package – Диалог создания нового пакета установки, собирает файлы из указанной папки с установленными

    Рисунок 2.32c: Endpoint Protection Manager Console – Admin – Install Packages – Client Install Packages – Add Client Install Package – Создание нового варианта стандартного пакета установки с возможным выбором набора функций, создания exe или msi пакета и указанием группы импортируемых политик безопасности

    Рисунок 2.32d: Endpoint Protection Manager Console – Admin – Install Packages – Set User Information Collection – Данный механизм позволяет активировать на клиентской стороне запрос персональных данных от пользователя в соответствии с выбором, сделанным Администратором

    Рисунок 2.32e: Endpoint Protection Manager Console – Admin –Install Packages – Client Install Settings – Add Client Install Settings – Создание набора установок, которые можно использовать при создании пакета установки (см. Рисунок 2.32c)

    Рисунок 2.32f: Endpoint Protection Manager Console – Admin –Install Packages – Client Install Feature Sets – Add Client Install Feature Set – Создание нового предустановленного набора компонент, использующегося для создания пакетов установки (см. Рисунок 2.24, 2.32c)

    Выводы:

    Итак, на наш взгляд, Symantec Endpoint Protection на данный момент назвать можно действительно новой эрой в развитии Корпоративных Антивирусных (в широком смысле этого слова) продуктов для защиты рабочих станций и серверов Windows. Он является закономерным продолжением линейки продуктов одного из лидеров индустрии компании Symantec, вобрав в себя дополнительно все то, что сейчас наиболее востребовано на рынке, при этом пока намного опережая всех ближайших конкурентов. В новом продукте, по нашему мнению, не только исправлены просчеты и недостатки прошлых версий, но и сделано много нового; при этом стратегия интеграции в новые продукты лидирующих технологий других производителей с их поглощением (Veritas, Sygate, WholeSecurity, Altiris) в данном примере не первый раз показывает свою правильность и перспективность.

    К этому нужно добавить уже встроенные и не требующие дополнительной установки набирающей популярности технологии Network Access Control (разграничение и управление доступом к локальной и глобальной сети для пользователей), которые, в отличие от Cisco NAC, поддерживают широкий спектр сетевого оборудования и сетевой инфраструктуры; все что требуется для подобного расширения функционала системы – это покупка дополнительной лицензии.

    Сильное преимущество над многими ближайшими конкурентами состоит также в качественной и полной локализации продукта на русский язык: переведены и интерфейсы пользователя, и консоль администратора, и полный комплект Документации. Также это первая и пока единственная версия продукта Symantec для рабочих станций и серверов, которая получает сертифицированные обновления антивирусных сигнатур 3-4 раза в день. Для предшествующих версий обновления выходят один раз в день, для шлюзовых продуктов – до 20 раз в день.

    Комментарий эксперта компании Symantec, Керценбаума Кирилла:

    Продукт Symantec Endpoint Protection является логическим продолжением широко известной и зарекомендовавшей себя линейки Symantec AntiVirus, дополненным также механизмом предотвращения вторжения (HIPS), файрволом, системой проактивной защиты, элементом контроля Устройств и Приложений. Эти компоненты в совокупности обеспечивают очень высокий уровень защиты переносных и настольных компьютеров, а также серверов от вредоносных программ, атак и непреднамеренных ошибок пользователей. Кроме того, обеспечивается защита даже от наиболее сложных, неуловимых для традиционных средств безопасности атак, таких как руткиты, эксплоиты и самоизменяющиеся вирусы. Благодаря многоуровневому подходу к реализации механизмов защиты значительно снижаются риски и повышается эффективность защиты бизнес-активов компании. Endpoint Protection предоставляет все необходимые возможности, включая возможность выбора нужных компонентов для использования и легкую модификацию этого набора. Конечные точки защищены независимо от источника атаки: злонамеренный сотрудник или внешний источник. Таким образом повышается уровень защиты и снижается общая стоимость владения за счет уменьшения административных расходов, а также расходов, связанных с управлением несколькими продуктами защиты конечных точек. Это решение включает единого агента, администрирование которым осуществляется посредством единой консоли управления, доступной из любой точки корпоративной сети. Это упрощает управление безопасностью конечных точек и обеспечивает эффективность эксплуатации, например, единые центры обновления программного обеспечения и политик, унифицированное и централизованное создание отчетов, а также единая программа лицензирования и обслуживания. Symantec Endpoint Protection отличается простотой реализации и развертывания. Компания Symantec предоставляет консультации, техническую информацию и поддержку, которые помогают организациям осуществлять переход, развертывание и управление. Это позволяет извлекать максимальную выгоду из инвестиций в инфраструктуру антивирусной защиты.

    В данный момент идет работа по расширению возможностей данного продукта. В первую очередь, в ближайшее время должны появиться агенты SEP для Linux и Windows Mobile, которые позволят сделать управление защитой еще более унифицированной. Также планируется дополнить модули агентов для Windows функциями шифрования данных (текущий продукт – Symantec Endpoint Encryption), а также контроля утечек конфиденциальных данных (текущий продукт – Symantec Vontu DLP).



    Благодарим компанию Symantec и лично Керценбаума Кирилла за помощь и консультации при написании обзора.


  • Дополнительно

    Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

    Код для блога бета

    Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.