Configure custom client settings for endpoint protection

Переход на SHA-2

Подписи нужны для того, чтобы пользователь был уверен, что получает аутентичное обновление непосредственно от Microsoft, а не перехваченные и модифицированные кем-то файлы. Какое-то время Microsoft использовала для обновлений двойную подпись, применяя SHA-1 и SHA-2 одновременно, теперь же полностью отказывается от SHA-1.

Компания пояснила, что морально устаревший SHA-1 более не соответствует стандартам отрасли. В алгоритме накопились уязвимости, также свою роль сыграло повышение производительности процессоров и развитие облачных технологий. У SHA-2 подобных проблем пока нет.

Антивирус Symantec блокирует установку обновлений Windows 7

Миграция на SHA-2 проходит в несколько этапов. В марте 2019 г. в обновления для Windows 7 SP1 и Windows Server 2008 R2 SP1 была добавлена поддержка сертификатов SHA-2, а 13 августа Microsoft перешла от двойной подписи к использованию исключительно SHA-2 для этих ОС.

Если говорить о других системах Microsoft, то в обновлениях для Windows 10 уже в июне-июле стали использоваться исключительно подписи SHA-2. Собственно говоря, программа перехода практически завершена, Microsoft остался только один шаг — перевести исключительно на SHA-2 продукты Windows Server 2012, Windows 8.1 и Windows Server 2012 R2. Это произойдет 10 сентября 2019 г.

Windows 7, выпущенная Microsoft десять лет назад, до сих пор остается популярной. По состоянию на июль 2019 г. ее доля на рынке десктопных ОС составляет 31,83% против 48,86% у Windows 10. Расширенная поддержка Windows 7 заканчивается в январе 2020 г.

Работа с Security Studio Endpoint Protection

Работа с Security Studio Endpoint Protection осуществляется с помощью специального окна, вызываемого двойным кликом мышки по иконке программы, расположенной в системном трее. Это окно состоит из нескольких вкладок, каждая из которых посвящена тому или иному инструменту защиты. На заглавной странице выводится состояние всех компонентов, а также базовая информация о лицензии.

Рисунок 11: Главная вкладка окна Security Studio Endpoint Protection

Следующая вкладка посвящена брандмауэру и детектору атак. На ней отображается режим их работы, а также основная статистическая информация: количество активных приложений, открытых сетевых соединений, заблокированных атак и пр.

Рисунок 12: Вкладка брандмауэра и системы обнаружения атак

Далее идет так называемая локальная безопасность. Под ней понимается целый комплекс мер по предотвращению проникновения вредоносного ПО на компьютер, передачи в сеть конфиденциальной информации и пр.

Рисунок 13: Вкладка локальной безопасности

Четвертая вкладка полностью посвящена антивирусному компоненту. На ней отображается режим работы защиты, дата выпуска сигнатур, а также статистическая информация: число проверенных объектов, использование кэша SmartScan (технология ускорения проверки на вирусы) и пр.

Рисунок 14: Вкладка антивируса и антишпиона

Следующая вкладка называется «Веб-контроль». Она предназначена для мониторинга состояния инструментов, обеспечивающих защиту от потенциально опасных интерактивных элементов сайтов, а также от передачи личной информации в Интернет.

Рисунок 15: Вкладка «Веб-контроль»

Далее идет вкладка, посвященная антиспаму. Как всегда, на ней отображается режим работы данного инструмента защиты, а также статистика: число обработанные писем, количество отфильтрованного спама и т.п.

Рисунок 16: Вкладка «Антиспам»

Ну и, наконец, последняя вкладка – «Журнал событий». На ней самой отображаются лишь режим настройки, а также ссылка на папку с файлами логов и команда на их очистку. Однако, если развернуть ее, то можно увидеть еще ряд вложенных вкладок, на которых можно просмотреть различные типы событий.

Рисунок 17: Журнал внутренних событий

Для продвинутых пользователей существует специальный расширенный вид главного окна. При переходе к нему появляется ряд дополнительных вкладок, с помощью которых можно просмотреть текущую сетевую активность, открытые порты, активные процессы и т.д.

Рисунок 18: Расширенный вид главного окна

Итак, как мы видим, главное окно Security Studio Endpoint Protection предназначено только для просмотра информации о компонентах защиты. Их настройка осуществляется отдельно.

Рисунок 19: Окно настройки Security Studio Endpoint Protection

Окно настройки также состоит из ряда вкладок, которые предназначены для ввода параметров различных инструментов. Стоит отметить, что некоторые из них должны изменяться только специалистами. Так, например, в разделе «Правила для приложений» можно включить или, наоборот, отключить разные способы контроля над передачей различными приложениями данных в Интернет. Естественно, для этого необходимо обладать определенными знаниями.

Рисунок 20: Настройка способов контроля над передачей данных в Интернет

Другие параметры достаточно просты. Например, любой пользователь может установить уровень антивирусной защиты, начиная с облегченного (минимальная степень защиты и минимальная нагрузка на компьютер) и заканчивая максимальным.

Рисунок 21: Выбор уровня антивирусной защиты

Таким образом, Security Studio Endpoint Protection – достаточно универсальное средство защиты. С одной стороны, данная программа может выполнять свои функции практически без какой-либо первоначальной настройки. Точнее, настройка осуществляется автоматически и с помощью технологии ImproveNet. А если пользователя что-то не устраивает, он может изменить параметры с помощью нескольких переключателей. С другой стороны, в программе предусмотрена возможность очень гибкой настройки различных инструментов защиты. Благодаря этому специалисты в области ИБ  могут тонко настраивать продукт для соответствия его корпоративной информационной системе.

Тестирование

Установка управляющего сервера, базы данных и клиентского модуля проводилась на одну рабочую станцию ОС Windows XP Pro Russian SP2 с 1 Гб ОЗУ, использовалась встроенная в продукт База Данных на основе Sybase (поддерживает до 1000 клиентов), также поддерживаются версии БД MS SQL 200/2005.

Все необходимые для работы компоненты устанавливаются также, предварительно должна быть установлена последняя версия Sun Java. Развертывание управляющего сервера Symantec Endpoint Protection Manager состоит примерно из 4 шагов (см. Рисунок 2.1) и занимает примерно 15 минут, включая процесс создания и инициализации Базы Данных.

После установки потребовалась 1 перезагрузка, после которой все сервисы стартовали автоматически (База Данных и сервис Управляющего сервера); занимаемые ресурсы для Управляющего сервера – 90 Мб ОЗУ, 400 МБ на диске, включая размещение Базы данных, 30 Мб ОЗУ для Базы Данных. Занимаемое место на диске может увеличиваться пропорционально, так как все обновления хранятся в хронологическом порядке определенное количество версий, что позволяет переводить клиентов практически на любые версии компонент.

Установка клиента Symantec Endpoint Protection Client автоматически не производится, возможна либо из отдельного пакета (неуправляемый, с возможностью подключения), либо после установки и запуска Сервера; занимаемые ресурсы (состоит из 3 процессов, 2 из которых присутствуют постоянно) – примерно 25 Мб ОЗУ в режиме реального времени, до 80 Мб в режиме сканирования по заданию или при обнаружении риска (см. Рисунок 1.19), 100 Мб на диске. В данном случае она производилась с помощью мастера поиска (см. Рисунок 2.18) без особых проблем с учетной записью Локального Администратора, заняла примерно 10 минут, без ущерба производительности, при этом на машине была видна шкала завершенности без возможности отменить установку; есть также возможность тихой установки без информирования Пользователя, а также функция, дающая право Пользователю откладывать установку на определенное время (см. Рисунок 2.24, 2.32e).

После установки без перезагрузки были активированы все модули, кроме связанного со сканированием сетевого трафика; активируется только после перезагрузки, которую можно запустить как автоматически, так и дать право Пользователю сделать это самостоятельно.

Надо отметить, что пакет установки содержит в себе инструментарий автоматической миграции и Севера и Клиентов с таких версий ПО Symantec, как Symantec Antivirus Corporate Edition 9.x, 10.x и Symantec Client Security 2.x, 3.x, включая перенос конфигураций и политик.

После установки данного набора продуктов на тестовой машине стало наблюдаться некоторое небольшое снижение производительности, но при этом надо учитывать, что рекомендуемый объем памяти для установки Серверной части – 2 Гб, а в наличии в данном случае имелся лишь 1 Гб. Самые ресурсоемкие приложения сервера – модуль закачки обновлений LiveUpdate и модуль генерации инкрементальных обновлений.

Консоль Управления Сервером построена на JAVA технологии и требует предварительной установки для своего запуска, первоначальная установка на дополнительные хосты упрощена и сводится к вводу в любой браузер IP адреса сервера. Консоль в запущенном состоянии использует около 30 Мб ОЗУ, является довольно удобной в эксплуатации, но не всегда быстро реагирует на запросы и иногда вызывает внутренние ошибки, не приводящиее к ее падению.

Отдельно нужно сказать по поводу защиты абсолютно всех компонент: и серверные, и клиентские сервисы защищены технологией Tamper Protection и выключить их стандартным способом, например через Диспетчер Задач невозможно. Все клиентские компоненты защищены от модификации и удаления с функцией автоматического восстановления и перезапуска.

Также нельзя не упомянуть о том, что, к сожалению, не удалось проверить на практике в рамках данного обзора: продукт содержит инструментарий легкого масштабирования и постороения отказоустойчивых систем на базе создания вторичных Серверов Управления. Он легко интегрируется с LDAP системами, включая Microsoft AD, а также системами распространения обновлений, поддерживая самые популярные из них, такие как Microsoft SMS и Altiris.

В целом Symantec Endpoint Protection оставляет весьма приятные впечатления о своей работе, являясь весьма надежным и удобным продуктом.

To enable Endpoint Protection and configure custom client settings

  1. In the Configuration Manager console, click Administration.

  2. In the Administration workspace, click Client Settings.

  3. On the Home tab, in the Create group, click Create Custom Client Device Settings.

  4. In the Create Custom Client Device Settings dialog box, provide a name and a description for the group of settings, and then select Endpoint Protection.

  5. Configure the Endpoint Protection client settings that you require. For a full list of Endpoint Protection client settings that you can configure, see the Endpoint Protection section in .

    Important

    Install the Endpoint Protection site system role before you configure client settings for Endpoint Protection.

  6. Click OK to close the Create Custom Client Device Settings dialog box. The new client settings are displayed in the Client Settings node of the Administration workspace.

  7. Next, deploy the custom client settings to a collection. Select the custom client settings you want to deploy. In the Home tab, in the Client Settings group, click Deploy.

  8. In the Select Collection dialog box, choose the collection to which you want to deploy the client settings and then click OK. The new deployment is shown in the Deployments tab of the details pane.

Clients are configured with these settings when they next download client policy. For more information, see .

Возможности Security Studio Endpoint Protection

Security Studio Endpoint Protection обеспечивает защиту компьютера от различных ИТ-угроз. Для этого в нем реализованы следующие возможности.

Защита от вредоносных программ

В Security Studio Endpoint Protection используется сканер, который постоянно работает в фоновом режиме, обнаруживает и удаляет вирусы и другие виды вредоносного программного обеспечения. Особо можно отметить наличие антишпиона, который блокирует деятельность spyware, а также почтового антивируса, осуществляющего мониторинг всей входящей корреспонденции.

Защита от несанкционированного доступа к компьютеру по сети

Реализованный в данном продукте межсетевой экран является надежным, но в то же время достаточно простым средством блокирования нежелательного трафика. В нем реализованы все необходимые возможности, включая несколько уровней защиты, обучающий режим для удобной настройки, режим невидимости (режим блокировки запросов к портам), черный список IP-адресов и пр.

Работа с внешним антивирусом

У Security Studio Endpoint Protection есть специальная версия, в состав которой не входит модуль для защиты от вредоносного ПО. При ее использовании антивирусная защита осуществляется продуктом другого разработчика. Эту версию можно рассматривать как хорошее средство экономии для компаний, у которых уже есть антивирусные продукты.

Защита от сетевых атак разных типов

В рассматриваемой системе реализована полноценная IDS, которая позволяет предотвращать наиболее распространенные виды атак: DDoS, IP-спуфинг, ARP-флуд, подмену IP-адреса, подмену MAC-адреса и т.п. При этом администратор имеет возможность настроить действия системы при обнаружении попыток проведения атак на компьютер.

Защита от неизвестного вредоносного ПО

Для обеспечения безопасности компьютера от неизвестного на текущий момент вредоносного ПО в Security Studio Endpoint Protection используется проактивная защита. Она основана на анализе действий, выполняемых разными приложениями, с целью выявления среди них потенциально опасных операций. Для этого программа содержит в себе описание 12 различных способов проникновения вредоносного ПО в систему.

Обеспечение безопасной работы в Интернете

В рассматриваемой программе реализован целый модуль для защиты компьютера во время посещения сайтов. Он способен блокировать различные интерактивные элементы веб-страниц, которые могут представлять собой угрозу: сценарии Java, VB, ActicveX, Flash-скрипты и пр. Кроме того, система позволяет предотвращать передачу личных данных через браузер.

Блокировка рекламы

Security Studio Endpoint Protection может «вырезать» с посещаемых пользователем сайтов различные виды рекламы: простые баннеры, GIF-анимации, Flash-вставки и т.п. Это позволяет уменьшить время загрузки веб-страниц и сократить потребляемый трафик.

Блокирование спама

В рассматриваемой системе реализован байесовский фильтр, который после небольшого предварительного обучения на нормальной и незапрошенной корреспонденции может с высокой степенью эффективности блокировать поступление рекламных писем. Отличительной особенностью модуля антиспама является поддержка не только почтовых клиентов Microsoft, но и весьма популярного в нашей стране The Bat!.

Symantec Endpoint Protection 14.3 RU1 MP1 (14.3.3580.1100)

Symantec Endpoint Protection – комплексный антивирус и фаервол с несколькими уровнями безопасности. Антивирусная и превентивная защита, защита от сетевых угроз и эксплойтов нулевого дня, система предотвращения вторжений.Системные требования:Процессор с тактовой частотой не ниже 1 ГГц (рекомендуется 2 ГГц)1 ГБ оперативной памяти (рекомендуется 2 ГБ)850 МБ свободного места на жестком дискеWindows 7/8/8.1/10/Server 2008/Server 2012/Server 2012 R2/Server 2016/Windows Server 2019 (added for 14.2 MP1)Торрент Symantec Endpoint Protection 14.3 RU1 MP1 (14.3.3580.1100) подробно:CleanWipe — утилита удаления Symantec Endpoint Protection. (eng)В папке Doc — документация. (ClientHelp.chm — встроенная справка из установленного клиента) (ru)Пользователям — самодостаточные клиенты для рабочих станций. Их возможно установить без ключей и регистрационных номеров:RUSymantec_Endpoint_Protection_14.3_RU1_MP1_Win32-bit_Client_RUSymantec_Endpoint_Protection_14.3_RU1_MP1_Win64-bit_Client_RUENSymantec_Endpoint_Protection_14.3_RU1_MP1_Win32-bit_Client_ENSymantec_Endpoint_Protection_14.3_RU1_MP1_Win64-bit_Client_ENАдминистраторам — серверные комплекты для управления клиентами в сети:Symantec_Endpoint_Protection_14.3_RU1_MP1_SEPM_RUSymantec_Endpoint_Protection_14.3_RU1_MP1_SEPM_ENНовое в версии 14.3 RU1 MP1 (14.3.3580.1100) (04.03.2021):Новая версия в данный момент доступна только на английском языке. Русская локализация ожидается в течение следующих нескольких дней.Добавлена &񗜻&񗜻возможность входа в Symantec Endpoint Protection Manager с использованием учетных данных в формате AD (например, username@domain.com или domain\username).Добавлена &񗜻&񗜻возможность синхронизации имен пользователей в обоих форматах из Active Directory (UserPrincipalName и sAMAccountName). Symantec Endpoint Protection Manager больше не создает повторяющиеся записи и обрабатывает оба имени пользователя должным образом.Новый параметр Maintain existing client features when updating в разделе Installation Features and Settings позволяет создавать и экспортировать клиентский пакет, который выполнит обновление, но не внесет изменений в конфигурацию, взаимодействие с клиентом или установленные функции.Antimalware AMSI Scan перед запуском теперь учитывает исключения файлов и папок при сканировании файла сценария.Добавлена &񗜻&񗜻возможность синхронизировать данные macOS из Active Directory.Больше информации в журналах:Записи журнала содержат полную информацию о группе клиентов.События Live Update содержат информацию о версии.Схема базы данных включает следующие изменения таблицы:В таблицу SEM_CLIENT добавлен новый столбец user_name_2.
Скриншоты Symantec Endpoint Protection 14.3 RU1 MP1 (14.3.3580.1100) торрент:

Скачать Symantec Endpoint Protection 14.3 RU1 MP1 (14.3.3580.1100) через торрент:

symantec-endpoint-protection-14_3-ru1-mp1-14_3_3580_1100.torrent (cкачиваний: 114)

Symantec Endpoint Protection 14.2.2.1 (14.2 RU2 MP1) build 5569 (14.2.5569.2100) РС / Русский

Название: Symantec Endpoint Protection

Год: 2021 Разработчик: Symantec Язык интерфейса:Русский Лечение:Для неуправляемого клиента: бесплатноОписание:

Symantec Endpoint Protection объединяет Symantec AntiVirus и усовершенствованное средство предотвращения угроз, обеспечивая непревзойденную защиту переносных и настольных компьютеров, а также серверов от вредоносных программ. Кроме того, обеспечивается защита даже от наиболее сложных, неуловимых для традиционных средств безопасности атак, таких как руткит, эксплойт «нулевого дня» и изменяющиеся программы-шпионы.Symantec Endpoint Protection предоставляет не только передовую в отрасли антивирусную защиту, но также основанную на сигнатурах защиту от программ-шпионов. Это решение также обеспечивает предотвращение угроз, что позволяет защитить конечные точки от целенаправленных и неизвестных атак. Оно включает готовые активные технологии, которые автоматически анализируют поведение приложений и сетевых подключений для обнаружения и блокировки подозрительных действий, а также возможности администрирования, позволяющие запретить определенные действия устройств и приложений, которые считаются крайне опасными для организации.

Системные требования:

Windows 7/8/8.1/10/Server 2008/Server 2012/Server 2012 R2/Server 2016/Windows Server 2021 (added for 14.2 MP1) Процессор с тактовой частотой не ниже 1 ГГц 1 ГБ оперативной памяти (рекомендуется 2 ГБ) 850 МБ свободного места на жестком диске

Особенности:

Непревзойденный уровень защиты — Благодаря технологии Insight обеспечивает более раннее и точное обнаружение новых угроз по сравнению с решениями, реализующими проверку сигнатур или анализ поведения. Потрясающее быстродействие — Технология Insight снижает затраты ресурсов на сканирование до 70% по сравнению со стандартными решениями, делая работу продукта незаметной для пользователя. Предназначен для виртуальных сред — Обеспечивает безопасность виртуальной инфраструктуры без дополнительной настройки

Основные характеристики:

Версия Symantec Endpoint Protection Cloud (защита через облачный портал) обеспечивает изоляцию приложений. Изоляция приложения защищает пользователей от вредоносных макросов для Microsoft Office, вредоносных PDF файлов и уязвимых расширений браузеров. Улучшение защиты: Переадресация трафика WSS (WTR). Возможность тестирования нового движка и сигнатур с использованием тестового сервера обновлений до их релиза через LiveUpdate. Возможность заблокировать обновление версии движка через политики содержимого LiveUpdate. На главной странице Symantec Endpoint Protection Manager ссылка Последние новости заменена на Последние оповещения.

Основные преимущества:

Благодаря технологии Insight обнаруживает новые и быстро видоизменяющиеся вредоносные программы Удаляет вредоносный код: вирусы, черви, троянские компоненты, программы-шпионы, программы показа рекламы, боты, новейшие угрозы и руткиты Предотвращает эпидемии, связанные с информационной безопасностью, и снижает административную нагрузку Снижает совокупную стоимость обслуживания конечных систем.

Дополнительная информация:

Что нового Новое в версии 14.2.2 (14.2 RU2 MP1) (27.01.2020): Добавлена поддержка операционных систем для клиента Linux: Red Hat Enterprise Linux Server (RHEL) 8 и 8.1 CentOS 8 с ядром 4.18 Обновлены сторонние компоненты Jackson-databind и SQLite.

****************************************************************

CleanWipe — утилита удаления Symantec Endpoint Protection. (eng) В папке Doc — документация. (ru)

Пользователям — самодостаточные клиенты для рабочих станций. Их возможно установить без ключей и регистрационных номеров: RU Symantec_Endpoint_Protection_14.2.2_MP1_Win32-bit_Client_RU Symantec_Endpoint_Protection_14.2.2_MP1_Win64-bit_Client_RU EN Symantec_Endpoint_Protection_14.2.2_MP1_Win32-bit_Client_EN Symantec_Endpoint_Protection_14.2.2_MP1_Win64-bit_Client_EN

Администраторам — серверные комплекты для управления клиентами в сети: Symantec_Endpoint_Protection_14.2.2_MP1_SEPM_RU Symantec_Endpoint_Protection_14.2.2_MP1_SEPM_EN

Состав продукта Security Studio Endpoint Protection

Система защиты, основанная на Security Studio Endpoint Protection, состоит из двух основных элементов. Первый из них – непосредственно сам продукт, который установлен на рабочих станциях пользователей. Второй – консоль управления, с помощью которой осуществляется администрирование всей системы. Это две абсолютно разных программы, которые и разбирать нужно отдельно. Так что сегодня мы будем говорить только о первой из них.

В состав клиентской части Security Studio Endpoint Protection входит несколько модулей, каждый из которых используется для защиты от угроз разного типа.

  1. Межсетевой экран. Представляет собой брандмауэр, который осуществляет двухсторонний контроль трафика с целью предотвращения несанкционированного доступа к компьютеру.
  2. Антивирус. Модуль для поиска и обезвреживания вредоносного ПО разного типа, включая программы-шпионы.
  3. Детектор атак. Является решением класса IDS (Intrusion Detection Systems – система обнаружения вторжений). Используется для предотвращения наиболее распространенных типов сетевых атак.
  4. Локальная безопасность. По сути, является системой проактивной защиты, которая контролирует активность программ и может ограничивать выполнение ими потенциально опасных действий.
  5. Веб-контроль. Модуль предназначен для защиты от различных интернет-угроз. С его помощью можно блокировать рекламу, вести список нежелательных сайтов, блокировать работу некоторых приложений (например, IM-клиентов), предотвратить передачу личных данных через браузер.
  6. Антиспам. Система блокирования незапрошенной рекламной корреспонденции на основе байесовского фильтра.

Описание и возможности

В первую очередь давайте разберем возможности программы. Список того, что умеет Symantec Endpoint Protection лучше всего охарактеризовать следующим образом:

  • Программа может использоваться в корпоративном сегменте.
  • Поддерживается файервол, система предотвращения предварительного вторжения и защита от сбоя нулевого дня.
  • Многоуровневая защита конечных точек от массовых вредоносных программ, направленных атак и сложных устойчивых угроз.
  • Присутствует модуль Network Threat Protection, который обеспечивает максимальную безопасность подключения.
  • Режим Insight, поддерживает фильтрацию репутации, обеспечивающую максимально точное определение угроз.
  • Поддерживается технология эвристической защиты SONAR.
  • Программный пакет позволяет оптимизировать работу операционной системы как на физической, так и на виртуальной машине.

Список возможностей данного приложения можно было бы продолжать еще долго. Но мы ценим ваше и наше время, а значит, переходим дальше и будем рассказывать, как бесплатно скачать, установить, а также использовать антивирус.

Возможности Symantec Endpoint Detection and Response и Symantec Advanced Threat Protection

В основе алгоритмов работы ATP — технологии машинного обучения и анализа поведения. Используется комбинация различных методов работы, направленных на раннее обнаружение неизвестных угроз:

Исследование активности в системе

EDR передает в ATP данные о событиях в системе, последовательность которых привела к детектированию подозрительного поведения на конечной точке, обо всех изменениях в точках загрузки приложений, обо всех запросах репутаций файлов при антивирусном сканировании, а также обо всех запусках и завершениях приложений. На основании собранной информации в ATP создается база данных, по которой можно проводить расследования инцидентов. При корреляции определенных событий создается инцидент, причем все инциденты приоритизируются в зависимости от критичности событий, позволяя администратору сосредоточиться в первую очередь на самых актуальных проблемах.

Песочница

Использование глобальной сети GIN

Системы ATP, установленные у разных заказчиков, активно взаимодействует с глобальной сетью GIN и производят между собой обмен информацией о собранных угрозах, известных приложениях и паттернах поведения. Подобная коллаборация позволяет быстро и эффективно противостоять глобальным угрозам и вирусным эпидемиям, а также повышает скорость реакции на локальные угрозы, с которыми уже ранее сталкивались другие пользователи средств защиты от Symantec.

Рисунок 1. Схема взаимодействия и работы Symantec Advanced Threat Protection и Endpoint Detection and Response

Оперативная реакция

В случае обнаружения вредоносной активности с помощью одного из механизмов ATP информация об инциденте сообщается администратору. С помощью централизованной консоли управления специалист может моментально изменить политику безопасности, заблокировать вредоносную активность, и команда будет отправлена на все клиентские компьютеры через централизованное управление Symantec Endpoint Protection.

Корреляция событий между различными продуктами Symantec

В контур мониторинга ATP помимо конечных точек с EDR входят все продукты Symantec, включая устройства, работающие на сетевом уровне, как физические, так и виртуальные, и систему защиты электронной почты. С помощью этой возможности вредоносные файлы и другие угрозы могут быть обнаружены и заблокированы на всех уровнях системы. Например, если один из сотрудников получит ранее неизвестный файл по электронной почте и в ходе анализа он будет классифицирован как вредоносный, ATP сможет заблокировать аналогичные программы при их загрузке по сети или запуске на других компьютерах.

Интеграция с другими средствами защиты

В продукте Advanced Threat Protection реализовано API для интеграции со средствами защиты и аудита сторонних производителей. Производитель предлагает готовые интеграции с SIEM-системами Splunk и QRadar, а также с системой обслуживания инфраструктуры ServiceNow. Используя API, любой разработчик или интегратор может реализовать свои надстройки для совместной работы с продуктами Symantec.

To install the Endpoint Protection client from a command prompt

  1. Copy scepinstall.exe from the Client folder of the Configuration Manager installation folder to the computer on which you want to install the Endpoint Protection client software.

  2. Open a command prompt as an administrator. Change directory to the folder with the installer. Then run , adding any additional command-line properties that you require:

    Property Description
    Run the installer silently
    Extract the setup files silently
    Run the installer normally
    Specify an antimalware policy file to configure the client during installation
    Opt-in to the Microsoft Customer Experience Improvement Program (CEIP)
  3. Follow the on-screen instructions to complete the client installation.

  4. If you downloaded the latest update definition package, copy the package to the client computer, and then double-click the definition package to install it.

    Note

    After the Endpoint Protection client install completes, the client automatically performs a definition update check. If this update check succeeds, you don’t have to manually install the latest definition update package.

Выводы

В первой части обзора Symantec Endpoint Protection 12 мы подробно рассмотрели клиенты этого антивирусного продукта, предназначенные для работы в OS Windows, Mac OS X и Linux.

Больше всего положительных слов можно сказать о клиенте для Windows-систем. В составе актуальной версии данного корпоративного продукта присутствуют такие современные технологии как Insight, Bloodhound и SONAR, что выводит защиту данной линейки ОС на качественно новый уровень. При этом каждый из компонентов защиты можно настраивать достаточно точно для нахождения наилучшего баланса между качеством защиты, требуемыми аппаратными ресурсами, а также количеством ложных срабатываний.

Технология SONAR заслуживает более подробного упоминания. В состав 12-ой версии корпоративного антивирусного продукта от Symantec входит третье поколение данной технологии гибридного типа, которая использует как элементы репутационной оценки сканируемых объектов, так и элементы поведенческого анализа. В современных условиях, когда количество новых вредоносных объектов составляет десятки и сотни тысяч в сутки, такие технологии, как SONAR, позволяют сохранять высокое качество защиты Windows-систем.

Плюс к антивирусной составляющей клиенты Symantec Endpoint Protection 12 для Windows оснащены компонентами, позволяющими контролировать запускаемые пользователем приложения и подключаемые сменные устройства. Работа этого клиента оптимизирована для использования в виртуальных средах. Также в состав этого продукта входит функция предотвращения эксплуатации уязвимости браузеров. Ведь браузеры сегодня участвуют в подавляющем большинстве схем заражения системы. И все эти технологии вместе превращают Symantec Endpoint Protection 12 в надёжный слаженный механизм защиты от современных угроз.

Клиенты для Mac OS X и Linux не настолько развиты в настоящее время. Набор компонентов в них фактически ограничивается файловым монитором, сканером и модулем обновления.

В настоящее время Symantec Endpoint Protection 12 не поддерживает в качестве клиентской ОС Mac OS X 10.7 Lion. Но при этом поддержка данной версии Mac OS появится в ближайшие недели. В настоящее время разработка данной версии находится на стадии релиз-кандидата.

Вирусные базы в Symantec Endpoint Protection 12 для Mac OS X и для Linux-систем обновляются раз в день в отличие от клиента для Windows. Также в данных клиентах не используются механизмы определения репутации сканируемых объектов. Это было бы полезным для определения на этих платформах вредоносных программ для Windows.

В целом, Symantec Endpoint Protection 12, после анализа набора имеющихся антивирусных клиентов, можно рекомендовать к использованию в локальных сетях предприятий, основная часть компьютеров в которых работает под управлением Windows, а также имеется несколько Linux-серверов и рабочих станций под управлением Mac OS X.

Отдельно стоит сказать о лицензировании Symantec Endpoint Protection 12. Тогда как многие производители предлагают защиту серверных вариантов ОС по отдельной, завышенной цене (и при этом количество компонентов защиты в серверном варианте антивирусных агентов может быть меньше, чем в клиенте для рабочих станций), компания Symantec предлагает защиту серверных систем по той же цене, что и защиту рабочих станций. При этом на серверных вариантах систем доступен весь функционал, предназначенный для рабочих станций.

На этом мы заканчиваем обзор клиентской части Symantec Endpoint Protection 12. Во второй части обзора будет рассмотрен компонент управления Symantec Endpoint Protection Manager и компонент управления клиентами Symantec Network Access Control. В ходе освещения функциональных возможностей этих компонентов будут рассмотрены различные способы автоматического развёртывания антивирусной сети, а также возможности централизованного управления защищаемыми объектами в локальной сети предприятия.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector