Symantec endpoint protection неуправляемый клиент. Корпоративный комплексный антивирус Symantec Endpoint Protection. Вход на консоль и поиск своей группы в консоли

Решение Symantec Endpoint Protection 12 предназначено для защиты рабочих станций и серверов, работающих под управлением ОС Windows, Mac OS X и Linux (как 32-битных редакций, так и 64-битных). Компьютеры, работающие под управлением этих операционных систем, составляют подавляющее большинство технического парка находящегося в локальных сетях предприятий.

Основная документация по Symantec Endpoint Protection 12 переведена на русский язык и выполнена достаточно качественно. Основной документ «Руководство по внедрению Symantec Endpoint Protection и Symantec Network Access Control» имеет объём 1167 страниц. Тем не менее, это достаточно структурированный документ, в котором администратор антивирусной сети может найти ответы на большинство вопросов, возникающие в процессе развёртывания и эксплуатации Symantec Endpoint Protection 12. Для начинающих администраторов Symantec Endpoint Protection 12 предлагается документ «Руководство по началу работы с Symantec Endpoint Protection», который имеет объём 32 страницы и содержит необходимую базовую информацию по началу работы с Symantec Endpoint Protection 12. Некоторые документы, относящиеся к описанию работы с клиентами Symantec Endpoint Protection 12, предлагаются только на английском языке. Например, это касается документации на антивирусный пакет для Linux-систем.

Интерфейс клиентов для Windows полностью русифицирован. Инсталляционный пакет для Mac OS X русифицирован частично (имеются англоязычные окна), а интерфейс самого клиента доступен сугубо на английском языке. Клиент для защиты компьютеров, работающих под управлением Linux-систем, доступен только на английском языке, что, в общем-то, не должно быть препятствием для администраторов Linux-систем.

В настоящем обзоре клиентской части Symantec Endpoint Protection 12 приводится вариант установки локальных клиентов, не подключенных к антивирусному серверу (т.н. «неуправляемые клиенты»). В этом случае пользователь имеет возможность полноценно управлять антивирусной защитой на своём компьютере. Это позволяет описать все возможности по управлению защитой клиентов Symantec Endpoint Protection 12. Управление клиентами из консоли администратора будет описано во второй части обзора.

Размер дистрибутивов Symantec Endpoint Protection 12 также близок к рекордным показателям – русскоязычный дистрибутив Symantec Endpoint Protection 12.1 имеет размер 1,45 ГБ, также к этому дистрибутиву предлагается пакет с документацией и утилитами общим размером 397 МБ. Тем не менее, такие размеры дистрибутивов корпоративных программных продуктов уже не удивляют, и их загрузка вряд ли вызовет неудобство при использовании среднестатистического интернет-канала предприятия. Так что этот параметр вряд ли можно считать недостатком в современных условиях.

Системные требования

Системные требования для клиентов Symantec Endpoint Protection 12 приведены в соответствии с документом «Symantec Endpoint Protection 12.1. Спецификация: Защита конечных систем».

Клиент Symantec Endpoint Protection для Windows

Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008, Windows Small Business Server 2003, Windows Small Business Server 2008, Windows Essential Business Server 2008 или Windows Small Business Server 2011 (поддерживаются 32-битные и 64-битные редакции Windows);

32-разрядный процессор: Intel Pentium III 1 ГГц или аналогичный (рекомендуется Intel Pentium 4 или аналогичный процессор);

64-разрядный процессор: Pentium 4 2 ГГц или аналогичный (процессоры Itanium не поддерживаются);

700 МБ дискового пространства.

Клиент Symantec Endpoint Protection для Mac

Mac на базе PowerPC с Mac OS X 10.4-10.5x;

Mac на базе Intel с Mac OS X 10.4-10.6 (поддерживаются 32-битные и 64-битные редакции Mac OS X);

500 МБ свободного дискового пространства для установки;

Примечание. Поддержка актуальной версии Mac OS X 10.7 Lion была добавлена в версии SEP 12.1.1000 (RU1 - Release Update 1). Версия SEP 12.1 RU1 стала доступна 16 ноября.

Клиент Symantec AntiVirus для Linux

Debian 6.0 Squeeze, 5.0 Lenny, 4.0 Etch;

Fedora 15, 13, 12, 10;

Novell - Linux Desktop 9 (NLD9);

OES2 SP1, SP2, SP3 / OES11;

Red Hat версии 6.0 ES, 5.0 ES, 4.0 ES, 3.0 ES;

Red Hat версии 5.0 AS, 4.0 AS;

Red Hat версии 4.0 Desktop;

Red Hat Enterprise Linux 4.0 ES, 3.0 ES;

Red Hat Linux AS 3;

SuSE Linux Enterprise Desktop 11, 10;

SuSE Linux Enterprise Server 11, 10, 9;

Ubuntu 11.04, 10.04, 9.10, 8.04.

Установка клиента Symantec Endpoint Protection 12 для Windows

Опишем установку клиентов Symantec Endpoint Protection 12 для Windows на примере Windows 7 SP1 (32-битная редакция). Для Windows-серверов предлагается устанавливать такие же клиенты Symantec Endpoint Protection 12, как и для рабочих станций Windows, но, при этом, предлагается не устанавливать компоненты, использование которых на конкретном сервере не имеет смысла. Например, имеется возможность не устанавливать компонент, отвечающий за проверку почтового трафика. Для написания обзора также тестировалась установка клиента Symantec Endpoint Protection 12 на Windows Server 2008 R2, которая также прошла успешно и выглядела идентично установке на Windows 7.

Установка традиционно начинается с экрана приветствия, которое сменяет окно с текстом лицензионного соглашения, которое необходимо принять. После этого необходимо выбрать режим работы клиента. В нашем случае это будет неуправляемый клиент.

Рисунок 1: Выбор типа клиента в Symantec Endpoint Protection 12

После этого необходимо выбрать между обычной и выборочной установкой. По умолчанию не устанавливаются такие компоненты как «Сканер Outlook» и «Сканер Notes». При выборочной установке можно их активировать в случае необходимости более тесной интеграции защиты с почтовым клиентом Microsoft Outlook или при необходимости проверять трафик, генерируемый клиентом IBM Lotus Notes.

Рисунок 2: Устанавливаемые компоненты клиента Symantec Endpoint Protection 12

На следующем экране инсталляционный пакет клиента для Windows предлагает включить автоматическую (постоянную) защиту, автоматическое обновление LiveUpdate, а также, во избежание конфликтов с клиентом Symantec Endpoint Protection 12, отключить компонент Windows Defender.

Рисунок 3: Компоненты обеспечения безопасности клиента Symantec Endpoint Protection 12

Следующие два экрана установки посвящены запросу разрешения у пользователя на отправку в компанию Symantec сведений о репутации файлов, а также информации о ходе установки клиента Symantec Endpoint Protection 12 для Windows.

Рисунок 4: Завершение установки клиента Symantec Endpoint Protection 12

После нажатия кнопки «Установить» программа установки производит необходимые манипуляции, не требующие вмешательства пользователя, по окончанию которых необходимо будет лишь нажать кнопку «Готово» для завершения установки. Если установка производилась с настройками по умолчанию, то по её завершению автоматически запускается компонент LiveUpdate, который обновляет компоненты клиента Symantec Endpoint Protection 12 для Windows и определения вирусов до актуального состояния.

Рисунок 5: Компонент обновления Symantec Endpoint Protection 12 – LiveUpdate

Для того чтобы все установленные компоненты заработали в штатном режиме, необходима перезагрузка компьютера. До момента перезагрузки компоненты сетевой защиты не активны, остальные компоненты работают в полном объеме.

Компоненты клиента Symantec Endpoint Protection 12 для Windows

В главном окне интерфейса клиента Symantec Endpoint Protection 12 для Windows показана актуальная информация о состоянии защиты. Также для каждого компонента с помощью кнопки Параметры можно перейти в соответствующие настройки либо в журналы их работы.

Рисунок 6: Главное окно интерфейса в клиенте Symantec Endpoint Protection 12 для Windows

Если перейти в пункт меню «Сканировать» главного окна интерфейса, то отобразятся задания на периодическое сканирование. Также доступны ссылки на запуск активного сканирования, либо сканирования всей системы. При активном сканировании производится проверка только некоторых объектов файловой системы Windows, в которых чаще всего обнаруживаются вредоносные программы. С помощью перехода по соответствующей ссылке можно произвести глобальные настройки сканирования.

Рисунок 7: Пункт меню «Сканировать» в интерфейсе Symantec Endpoint Protection 12 для Windows

При запуске сканирования по требованию открывается окно сканера, в котором отображаются ход и результаты сканирования, а также действия, производимые с вредоносными объектами, степень риска и тип обнаруженных угроз.

Рисунок 8: Интерфейс сканера в клиенте Symantec Endpoint Protection 12 для Windows

В пункте меню «Изменить параметры» главного окна клиента сосредоточены настройки всех компонентов защиты Symantec Endpoint Protection 12 для Windows. Получить к ним доступ можно с помощью кнопки «Настроить параметры», которая отображается справа от названия каждого компонента защиты.

Рисунок 9: Меню «Изменить параметры» в интерфейсе Symantec Endpoint Protection 12 для Windows

Окно с параметрами работы компонента «Защита от вирусов и программ-шпионов» разбито на четыре вкладки:

Глобальные настройки;

Автоматическая защита;

Download Insight;

Автоматическая защита интернет-почты.

На вкладке «Глобальные настройки» можно включить или отключить использование технологий Insight и Bloodhound. При этом для технологии Insight есть возможность выбрать, какая именно информация будет использоваться для её работы – только та, которая проверена специалистами Symantec или же будет учитываться информация, поступающая от сообщества пользователей продукта. Варианты отличаются друг от друга уровнем уверенности в репутации файлов. В первом случае уровень уверенности максимальный, но информация существует о меньшем количестве файлов. Во втором случае есть совсем небольшая доля вероятности ошибки, но количество файлов, о которых есть информация, максимальное.

Рисунок 10: Вкладка «Глобальные настройки» параметров работы компонента «Защита от вирусов и программ-шпионов»

Репутационная технология Insight позволяет пропускать при сканировании известные безопасные файлы.

Технология Bloodhound является проактивной технологией, которая изолирует некоторые области файлов с целью обнаружения значительного числа неизвестных вредоносных программ. В случае попыток проникновения программ за изолируемый периметр производится анализ их действий и принимается решение о степени опасности этих программ.

Вкладка «Автоматическая защита» посвящена включению и выключению сканирования на наличие различных типов угроз. Также на этой вкладке можно настроить действия, которые применяются к обнаруженным вредоносным файлам, настроить уведомления, настроить параметры проверки дискет, а также задать настройки сканирования, собранные в окне «Дополнительные параметры автоматической защиты».

Рисунок 11: Дополнительные параметры автоматической защиты в Symantec Endpoint Protection 12 для Windows

На вкладке Download Insight можно настроить работу технологии Insight при загрузке файлов из Интернета. В частности, можно задать чувствительность работы данной технологии по 9-балльной шкале, а также минимальное количество пользователей или минимальный период «известности» файла для технологии Insight перед принятием решения.

На вкладке «Автоматическая защита интернет-почты» можно, соответственно, настроить параметры проверки почтового трафика на защищаемом компьютере. В частности, можно настроить действия с письмами, содержащими вредоносные объекты и настроить соответствующие уведомления. Опытные пользователи могут настроить работу данного компонента более тонко. Но в настройках есть и ограничения. В частности, некоторые хостинг-провайдеры часто предлагают клиентам использовать нестандартный SMTP-порт, тогда как при отправке с других ящиков пользователя может использовать стандартный SMTP-порт. В настройках же для проверяемого почтового трафика в Symantec Endpoint Protection 12 можно указать лишь один SMTP-порт. При этом следует учесть, что для клиентов корпоративного антивирусного продукта это не столь критично, как для домашних пользователей.

Рисунок 12: Дополнительные параметры почты Интернета в Symantec Endpoint Protection 12 для Windows

Параметры «Превентивной защиты от угроз» разбиты на 3 вкладки:

Обнаружение подозрительного поведения;

Обнаружение изменения системы.

Первая вкладка посвящена настройкам технологии SONAR 3. Эта технология поведенческого анализа работает в режиме реального времени и обнаруживает потенциально вредоносные приложения при их запуске или во время работы. При этом, для их определения используются как классические эвристические технологии, так и репутационные, для реализации которых функционирует глобальное облако.

Данная облачная репутационная технология, называемая Insight, призвана обнаруживать новые и неизвестные угрозы, которые невозможно выявить другими способами, и одновременно экономить вычислительные ресурсы системы (использование этой технологии, по информации вендора, позволяет на 70% снизить нагрузку на систему во время её сканирования). На данный момент система содержит анонимные данные о распространении более 3 миллиардов файлов более чем на 175 миллионах компьютерах клиентов.

Рисунок 13: Параметры превентивной защиты в Symantec Endpoint Protection 12 для Windows

Две последующие вкладки также предназначены для настроек работы технологии SONAR. Первая отвечает за реакцию на угрозы высокого и низкого уровней, а вторая отвечает за настройку реакции SONAR на изменение системных настроек, таких как изменение DNS и файла hosts.

Настройки для компонента «Защита от угроз из сети» разбиты на пять вкладок. Вкладка «Брандмауэр» содержит множество параметров, которые позволяют произвести базовую настройку сетевого экрана.

Рисунок 14: Настройки работы брандмауэра Symantec Endpoint Protection 12 для Windows

На вкладке «Предотвращение вторжений» можно включить или отключить защиту сети и защиту браузера от вторжений. На вкладке «Сеть Microsoft Windows» можно указать конкретный адаптер, либо выбрать все имеющиеся адаптеры для контроля трафика, а также заблокировать доступ к некоторым системным или пользовательским сетевым ресурсам извне. На вкладке «Уведомления» можно включить отображение уведомлений, а также звукового оповещения. Наконец, вкладка «Журналы» определяет для каждого типа журналов его максимальный размер и время хранения записей в нём.

Параметры исключений реализованы в виде единого окна, в котором можно указать известные угрозы по имени детектирования, файлов, папок, расширений, веб-доменов, а также исключения объектов из проверки технологией SONAR. Также можно исключить приложения из проверки целиком.

Рисунок 15: Настройки исключений в Symantec Endpoint Protection 12 для Windows

Последняя группа настроек объединена заголовком «Управление клиентами», и эти настройки разбиты на 4 вкладки. Вкладка «Общие» посвящена параметрам отображения интерфейса клиента Symantec Endpoint Protection 12, параметрам прокси-сервера, параметрам перезагрузки для различных ситуаций, а также управлению приложениями и устройствами. Вкладка «Защита от изменений», по сути, посвящена настройкам работы самозащиты антивируса. Вкладка LiveUpdate содержит настройки, определяющие параметры автоматического обновления продукта. Заключительная вкладка «Отправка» содержит флажки, отвечающие за необходимость отправки того или иного типа информации в облако Symantec для помощи противодействию злоумышленникам и помощи в разработке последующих версий SEP.

Рисунок 16: Параметры управления клиентами в Symantec Endpoint Protection 12 для Windows

Пункт меню «Карантин» в главном окне интерфейса Symantec Endpoint Protection 12 для Windows имеет достаточно стандартный интерфейс. Файлы, находящиеся в нём, можно восстановить, удалить, повторно просканировать и экспортировать. Также в карантин можно добавить любой подозрительный файл, либо отправить его на анализ в компанию Symantec. Параметры очистки разбиты на три вкладки: «Объекты в карантине», «Копии заражённых файлов» и «Исправленные файлы». Для каждого из типов объектов можно настроить время их хранения в карантине, а также максимальный размер хранилища.

Рисунок 17: Интерфейс карантина в клиенте Symantec Endpoint Protection 12 для Windows

Пункт меню «Показать журналы» главного окна интерфейса клиента Symantec Endpoint Protection 12 для Windows содержит кнопки, с помощью которых можно отобразить журналы, соответствующие каждому компоненту антивирусной защиты.

Рисунок 18: Список компонентов с возможностью отображения журналов их работы в Symantec Endpoint Protection 12 для Windows

В данных журналах можно найти подробную информацию о работе каждого компонента Symantec Endpoint Protection 12 для Windows и, в случае возникновения проблем в работе антивирусного клиента, достаточно быстро их локализовать. В качестве примера приведём изображение «Системного журнала».

Рисунок 19: Системный журнал в клиенте Symantec Endpoint Protection 12 для Windows

В главном окне клиента Symantec Endpoint Protection 12 для Windows также доступна кнопка Справка, щёлкнув по которой можно выбрать, помимо прочей информации, пункт «Устранение неполадок». При этом отображается окно с подробной информацией о настройках системы и антивирусного клиента. Эта информация может быть весьма полезной, например, при обращении в техническую поддержку.

Рисунок 20: Окно « Устранение неполадок» в клиенте Symantec Endpoint Protection 12 для Windows

В целом клиент Symantec Endpoint Protection 12 для Windows по функциональности можно сравнить с аналогичными домашними комплексными антивирусными продуктами для Windows от этой компании. К сожалению, не все производители могут похвастаться присутствием репутационных и HIPS-технологий в продуктах, предназначенных для использования на производстве. Часто такому применению мешает излишняя «разговорчивость» или ненадёжность таких компонентов, не позволяющая использовать их в «молчаливом» режиме или в производствах, где важна стабильность работы используемого ПО. Поэтому следует отдать антивирусному клиенту для Windows от Symantec должное – это один из лучших продуктов в своём классе.

Но не Windows единым живы современные локальные сети предприятий. Давайте же рассмотрим клиенты антивирусной защиты Symantec Endpoint Protection для стремительно набирающих в корпоративном сегменте операционных систем от компании Apple и Unix-систем.

Клиент Symantec Endpoint Protection 12 для Mac OS X

Для данного обзора производилась установка и настройка клиента в системе Mac OS X 10.6 Snow Leopard, старшей из поддерживаемых версий Mac OS X.

Установка клиента Symantec Endpoint Protection 12 для Mac OS X начинается традиционно с приветственного окна, за которым следует текст лицензионного соглашения. Согласившись с ним, мы должны ответить на вопрос, будет ли клиент управляемым или неуправляемым. В первой части обзора Symantec Endpoint Protection 12 мы условились устанавливать все клиенты в неуправляемом режиме. После этого необходимо выбрать диск для установки Symantec Endpoint Protection 12 для Mac OS X.

Рисунок 21: Выбор места установки во время установки Symantec Endpoint Protection 12 для Mac OS X

На следующем окне можно уточнить расположение файлов установки, после чего начинается, собственно, сам процесс установки, который не требует от пользователя дополнительных действий. Завершает процесс инсталляции окно об успешном её окончании.

После этого автоматически запускается компонент LiveUpdate и обновляет компоненты и вирусные базы клиента Symantec Endpoint Protection 12 для Mac OS X до актуального состояния.

Рисунок 22: LiveUpdate в составе клиента Symantec Endpoint Protection 12 для Mac OS X

Главное окно клиента Symantec Endpoint Protection 12 для Mac OS X весьма лаконичное и содержит информацию о точной версии клиента, дате последних определений вредоносных программ, кнопки «Live Update», которая запускает вручную процесс обновления, а также кнопка «Scan…», которая запускает сканер по требованию.

Рисунок 23: Главное окно клиента Symantec Endpoint Protection 12 для Mac OS X

Интерфейс сканера для Mac OS X достаточно стандартен и содержит текущую информацию о сканируемом файле, а также общую информацию обо всей сессии сканирования.

Рисунок 24: Интерфейс сканера Symantec Endpoint Protection 12 для Mac OS X

Основное окно LiveUpdate содержит три кнопки. Кнопка «Customize this Update Session» позволяет выбрать те компоненты из доступных в данный момент для обновления, которые пользователь хочет обновить. Кнопка «Update Everything Now» сразу запускает сканирование всех доступных для обновления компонентов.

Рисунок 25: Основной интерфейс LiveUpdate для Mac OS X

Последняя кнопка «Symantec Scheduler» запускает планировщик, позволяющий задать период выполнения задач обновлений и сеансов сканирования.

Рисунок 26: Интерфейс планировщика Symantec Endpoint Protection 12 для Mac OS X

На следующем рисунке показан интерфейс настройки нового задания на периодическое сканирование.

Рисунок 27: Настройка параметров задания на периодическое сканирование в Symantec Endpoint Protection 12 для Mac OS X

Окно настроек активной (постоянной) защиты Symantec Endpoint Protection 12 для Mac OS X разбиты на три вкладки. На вкладке General собраны настройки автоматического восстановления, отправки файлов в карантин и сканирования архивов. Вкладка SafeZones содержит список зон для мониторинга, либо список зон, которые будут исключены из проверки. Наконец, вкладка Mount Scan служит для выбора настроек сканирования подключаемых съёмных дисков (музыкальные/видеодиски, диски с данными, устройства iPod и другие типы дисков).

Рисунок 28: Настройки автоматической защиты в Symantec Endpoint Protection 12 для Mac OS X

В заключение описания антивирусного клиента для Mac OS X стоит сказать, что на сегодняшний момент этот компонент способен отразить существующие угрозы для этих систем. Единственное, что не хватает этому компоненту – так это такого же частого обновления вирусных баз, как и в клиенте для Windows, т.к. количество угроз в единицу времени для Mac OS X постоянно возрастает в геометрической прогрессии.

Клиент Symantec AntiVirus для Linux

Дистрибутив клиента Symantec AntiVirus (SAV) для Linux для данного обзора устанавливался на систему SUSE Linux Enterpise Server 9 (32-битная редакция).

Полноценного клиента SEP для Linux-систем нет. Для этих систем предлагается использовать обычный антивирус. Но, при этом, пользователь имеет возможность настроить получение обновления с локально установленного сервера обновлений, тем самым снизив нагрузку на интернет-канал предприятия.

Установочные пакеты для SAV Linux представлены как в rpm-, так и в deb-формате, с поддержкой 32-битных и 64-битных версий Linux.

Для использования компонентов, в состав которых входит графический интерфейс, необходимо предварительно установить ПО Java JRE версии 1.4 или выше.

В нашем случае для установки SAV на SLES 9 мы последовательно установили сначала rpm-пакет, sav-*.rpm, а затем остальные пакеты.

Клиент Symantec Endpoint Protection 12 для Linux, также как и клиент для Mac OS X, содержит в себе файловый монитор, модуль обновления и сканер по требованию. Правда, в отличие от описанных выше типов клиентов, клиент Symantec Endpoint Protection 12 для Linux не имеет сканера с графическим интерфейсом, т.е. запускать его необходимо соответствующей командой из терминала.

Все настройки клиента для Linux необходимо вносить непосредственно в конфигурационный файл. Правда, для упрощения этой задачи существует утилита SAVCorp Configuration Editor, которая предназначена для работы на Windows.

Рисунок 29: Утилита для редактирования конфигурационного файла Symantec Endpoint Protection 12 для Linux

Основное окно клиента Symantec Endpoint Protection 12 для Linux содержит лишь информацию о текущей версии клиента и поискового модуля, а также кнопку, вызывающую утилиту обновления LiveUpate.

Рисунок 30: Основное окно клиента Symantec Endpoint Protection 12 для Linux

Интерфейс утилиты обновления LiveUpdate для Linux также имеет достаточно стандартный интерфейс. В первом окне отображается список компонентов, которые требуют обновления, а в последующих – ход обновления и его результат.

Рисунок 31: Интерфейс утилиты обновления LiveUpdate в клиенте Symantec Endpoint Protection 12 для Linux

Выводы

В первой части обзора Symantec Endpoint Protection 12 мы подробно рассмотрели клиенты этого антивирусного продукта, предназначенные для работы в OS Windows, Mac OS X и Linux.

Больше всего положительных слов можно сказать о клиенте для Windows-систем. В составе актуальной версии данного корпоративного продукта присутствуют такие современные технологии как Insight, Bloodhound и SONAR, что выводит защиту данной линейки ОС на качественно новый уровень. При этом каждый из компонентов защиты можно настраивать достаточно точно для нахождения наилучшего баланса между качеством защиты, требуемыми аппаратными ресурсами, а также количеством ложных срабатываний.

Технология SONAR заслуживает более подробного упоминания. В состав 12-ой версии корпоративного антивирусного продукта от Symantec входит третье поколение данной технологии гибридного типа, которая использует как элементы репутационной оценки сканируемых объектов, так и элементы поведенческого анализа. В современных условиях, когда количество новых вредоносных объектов составляет десятки и сотни тысяч в сутки, такие технологии, как SONAR, позволяют сохранять высокое качество защиты Windows-систем.

Плюс к антивирусной составляющей клиенты Symantec Endpoint Protection 12 для Windows оснащены компонентами, позволяющими контролировать запускаемые пользователем приложения и подключаемые сменные устройства. Работа этого клиента оптимизирована для использования в виртуальных средах. Также в состав этого продукта входит функция предотвращения эксплуатации уязвимости браузеров. Ведь браузеры сегодня участвуют в подавляющем большинстве схем заражения системы. И все эти технологии вместе превращают Symantec Endpoint Protection 12 в надёжный слаженный механизм защиты от современных угроз.

Клиенты для Mac OS X и Linux не настолько развиты в настоящее время. Набор компонентов в них фактически ограничивается файловым монитором, сканером и модулем обновления.

В настоящее время Symantec Endpoint Protection 12 не поддерживает в качестве клиентской ОС Mac OS X 10.7 Lion. Но при этом поддержка данной версии Mac OS появится в ближайшие недели. В настоящее время разработка данной версии находится на стадии релиз-кандидата.

Вирусные базы в Symantec Endpoint Protection 12 для Mac OS X и для Linux-систем обновляются раз в день в отличие от клиента для Windows. Также в данных клиентах не используются механизмы определения репутации сканируемых объектов. Это было бы полезным для определения на этих платформах вредоносных программ для Windows.

В целом, Symantec Endpoint Protection 12, после анализа набора имеющихся антивирусных клиентов, можно рекомендовать к использованию в локальных сетях предприятий, основная часть компьютеров в которых работает под управлением Windows, а также имеется несколько Linux-серверов и рабочих станций под управлением Mac OS X.

Отдельно стоит сказать о лицензировании Symantec Endpoint Protection 12. Тогда как многие производители предлагают защиту серверных вариантов ОС по отдельной, завышенной цене (и при этом количество компонентов защиты в серверном варианте антивирусных агентов может быть меньше, чем в клиенте для рабочих станций), компания Symantec предлагает защиту серверных систем по той же цене, что и защиту рабочих станций. При этом на серверных вариантах систем доступен весь функционал, предназначенный для рабочих станций.

На этом мы заканчиваем обзор клиентской части Symantec Endpoint Protection 12. Во второй части обзора будет рассмотрен компонент управления Symantec Endpoint Protection Manager и компонент управления клиентами Symantec Network Access Control. В ходе освещения функциональных возможностей этих компонентов будут рассмотрены различные способы автоматического развёртывания антивирусной сети, а также возможности централизованного управления защищаемыми объектами в локальной сети предприятия.

В конце 2016 года компания Symantec выпустила новую версию продукта - Symantec Endpoint Protection 14. За прошедшие пять лет в продукте появилось множество новых защитных функций, изменился интерфейс программы конфигурирования, упростился механизм развертывания и увеличилось число поддерживаемых операционных систем.

Тренд последних лет - изменение концепции защиты конечных точек, выражающийся в усилении комплексности продукта, наращивании числа защитных механизмов, объединенных общим управлением, и фокусировке на безсигнатурной защите от неизвестных угроз и уязвимостей нулевого дня. Для формализации классификации средств защиты конечных точек аналитики и журналисты ввели термин Next Generation Endpoint Protection (NGEP) - средства защиты конечных точек следующего поколения. Аналогичный процесс мы наблюдали в области сетевой защиты и переход от UTM-решений к NGFW. Основные мировые вендоры стремятся идти в ногу со временем и обновлять свои продукты для решения актуальных задач по обеспечению безопасности. Целью выхода 14 версии Symantec Endpoint Protection стал переход к классу NGEP. Также за прошедшее время компания Symantec приобрела активы компании Blue Coat, одного из лидеров на рынке сетевых устройств для кеширования данных и DPI, что позволило внедрить новые технологии во всю линейку Symantec, например прозрачный анализ зашифрованного SSL-трафика, а также увеличило общий объем репутационных баз по сетевым ресурсам и приложениям.

В 14 версии Symantec Endpoint Protection реализованы новые защитные механизмы от эксплуатации уязвимостей нулевого дня и неизвестных угроз. К ним относятся технология по защите от эксплоитов Generic Exploit Mitigation, обновленная версия модуля анализа поведения приложений в реальном времени SONAR и технология машинного обучения Advanced Machine Learning для статического анализа исполняемых файлов.

Системные требования

Системные требования Symantec Endpoint Protection Manager (включает в себя сервер управления и программу конфигурирования):

• Процессор Intel Pentium Dual-Core или эквивалент, от 8 ядер.
• Минимум 2 Гб оперативной памяти, рекомендуется от 8 Гб.
• Минимум 40 Гб свободного места на жестком диске.

Требования к программному обеспечению Symantec Endpoint Protection Manager:

• Операционные системы:
  • Windows Server 2008 (64-bit)
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
• Поддерживаемые браузеры (для веб-версии интерфейса управления):
  • Microsoft Edge (64-bit)
  • Microsoft Internet Explorer 11
  • Mozilla Firefox 5.x и позднее
  • Google Chrome 54.0.x и позднее
• Внешняя база данных (опционально, не требуется для развертывания до 5000 защищаемых компьютеров):
  • Microsoft SQL Server 2008, SP4
  • Microsoft SQL Server 2008 R2, SP3
  • Microsoft SQL Server 2012, RTM - SP3
  • Microsoft SQL Server 2014, RTM - SP2
  • Microsoft SQL Server 2016

Системные требования защитного клиента под Windows:

• Процессор Intel Pentium III (для 32-битных систем) или Intel Pentium 4 и выше.
• Минимум 512 Мб оперативной памяти, рекомендуется от 1 Гб.
• От 250 до 500 Мб свободного места на жестком диске, в зависимости от типа клиента.
• Windows Vista
• Windows 7
• Windows 8/8.1
• Windows 10
• Windows Server 2008 SP1/SP2/2008 R2
• Windows Server 2012/2012R2
• Windows Server 2012 R2
• Windows Server 2016

Системные требования защитного клиента под macOS:

• Процессор Intel Core 2 Duo и выше.
• Минимум 2 Гб оперативной памяти.
• 500 Мб свободного места на жестком диске.
• Поддерживаемые операционные системы:
• macOS X 10.9
• macOS X 10.10
• macOS X 10.11
• macOS 10.12

Системные требования защитного клиента под Linux:

• Процессор Intel Pentium 4 (2 ГГц) и выше.
• Минимум 1 Гб оперативной памяти.
• 7 Гб свободного места на жестком диске.
• Поддерживаемые дистрибутивы:
• CentOS 6U4/6U5
• Debian 6.0.5/8
• Fedora 16/17
• Oracle Linux 6U2/6U4/6U5/7
• Red Hat Enterprise Linux Server 6U2 - 6U8/7/7.1/7.2
• SUSE Linux Enterprise Server 11 SP1 - 11 SP3/12
• SUSE Linux Enterprise Desktop 11 SP1 - 11 SP3
• Ubuntu 12.04/14.04/16.04

Поддерживаемые среды виртуализации для защиты гостевой операционной системы:

• Windows Azure, Amazon WorkSpaces
• VMware WS версии 5.0 и позднее
• VMware GSX версии 3.2 и позднее
• VMware ESX версии 2.5 и позднее
• VMware ESXi 4.1 - 5.5/6.0
• Microsoft Virtual Server 2005
• Windows Server Hyper-V 2008/2012/2012 R2
• Citrix XenServer версии 5.6 и позднее
• Virtual Box

Функциональные возможности Symantec Endpoint Protection 14

Функциональные возможности можно разделить на две основные категории - защитные механизмы и возможности по централизованному управлению.

Защитные функции:

• Сетевой брандмауэр (межсетевой экран) - классический персональный сетевой фильтр с настраиваемыми правилами прохождения трафика. Правила брандмауэра включают в себя следующие параметры:
  • Название и описание
  • Действие (разрешить, запретить, выдать запрос пользователю)
  • Приложение
  • Хост отправителя и получателя
  • Служба/порт (протоколы TCP, UDP, ICMP, IP, Ethernet)
  • Аудит (запись в журнал, уведомление по e-mail)
  • Флаг серьезности срабатывания правила для ранжирования угроз
  • Сетевой адаптер (по типу или конкретной плате)
  • Время действия

Дополнительно в системе присутствуют встроенные интеллектуальные правила для протоколов DHCP, DNS, WINS и Token Ring. Также в сетевой брандмауэр входят функции по аутентификации сетевых соединений «точка-точка» с возможностью настройки списка исключений.

• Предотвращение сетевых атак - статический и эвристический анализатор сетевого трафика. Поддерживает детектирование и блокировку сканирования портов и атак типа «отказ в обслуживании», защиту от ARP-атак, маскировку типа и версии операционной системы. Сигнатурные и эвристические анализаторы позволяют защитить узел от различных сетевых атак на систему и веб-браузер, а также детектируют сетевые действия вредоносных приложений.
• Контроль приложений - возможность создания различных правил по гранулярному контролю доступа приложений к файлам и элементам реестра, а также запуску и завершению процессов и загрузки библиотек. Каждое запрещающее правило можно снабдить описанием, которое отображается пользователю при запрете доступа. При вводе путей к файлам и объектам реестра поддерживаются регулярные выражения и гибкие настройки выбора путей. Функционирует только на клиентах Windows.
• Контроль устройств - белый и черный списки устройств, настройка которых позволяет ограничить подключения устройств к компьютеру. Для клиентов Windows поддерживается возможность указать только тип устройства (например, все принтеры или все USB-устройства), для macOS дополнительно может задаваться поставщик устройства, модель и серийный номер. Контроль устройств в macOS появился только в этой версии продукта, ранее данная функция была доступна только под Windows. Контроль устройств для Linux находится в разработке и пока не реализован в продукте.
• Защита от эксплуатации уязвимостей Generic Exploit Mitigation - механизм контроля памяти Windows, позволяющий обеспечить защиту от эксплуатации уязвимостей нулевого дня в различном программном обеспечении и в операционной системе. Данный механизм работает до начала анализа исполняемых файлов системой SONAR и другими защитными компонентами, что повышает общий уровень защищенности системы и позволяет защититься от атак на само средство защиты.
• Репутационный анализ - часть механизма SONAR, который учитывает репутацию запускаемых в системе процессов, используя глобальное облако Symantec или частное облако, развернутое у заказчика. Применяется для блокировки неизвестных вредоносных программ, которые не обнаруживаются с помощью антивирусных механизмов. Функционирует только на клиентах Windows. Также репутационный анализ используется в технологии Download Insight, которая обеспечивает проверку репутации скачиваемых из сети файлов и предотвращает угрозы еще на этапе загрузки.
• Машинное обучение - расширенный механизм обнаружения вредоносных файлов статическими методами путем анализа содержимого исполняемых файлов и скриптов. База для машинного обучения насчитывает миллиарды образцов «хорошего» и «плохого» микрокода, который сравнивается с кодом анализируемых файлов. Данный механизм по принципу функционирования похож на сигнатурный анализатор, но обеспечивает защиту от еще неизвестных угроз. Функционирует только на клиентах Windows.
• Эмулятор - обновленный и оптимизированный механизм анализа исполняемых файлов в легковесной песочнице для распознавания полиморфных и запакованных вирусов. Внесенные изменения в данном модуле позволили увеличить скорость и производительность его работы, а также повысили процент успешного детектирования вредоносных исполняемых файлов. Функционирует только на клиентах Windows.
• Антивирус - классическое антивирусное решение с сигнатурными и эвристическими анализаторами. Дополнительную защиту обеспечивает драйвер раннего запуска, запуск которого производится первым в системе, что позволяет обнаружить и обезвредить вредоносы, выполненные в виде драйвера. Антивирус обладает всеми стандартными функциями - постоянная защита, сканирование по требованию, контекстное сканирование, карантин, защита электронной почты и так далее.
• Проверка целостности (контроль наличия защиты) - механизм проверки и исправления нарушений политик безопасности в корпоративной безопасности, позволяет определять наличие антивируса, брандмауэра, установки обновлений программ и операционной системы. В случае детектирования несоответствий позволяет выполнить установку необходимых средств защиты или выполнение определенных настроек. Функционирует только на клиентах Windows.
• LiveUpdate - механизм проверки обновлений продукта, сигнатурных баз и других элементов системы защиты. В версии 14 данный механизм был дополнен функциями установки исправлений ошибок в бинарных модулях продукта.
• Интеграция с Symantec Advanced Threat Protection – в клиентские приложения Symantec Endpoint Protection 14 интегрированы функции агента для Symantec Advanced Threat Protection, которые позволяют передавать метрики сетевого трафика и данные о работе приложений в облако Anti-APT для корреляции событий и выявления направленных атак.

Функции управления:

• Централизованное управление продуктом с помощью программы-клиента под Windows или веб-интерфейса (Java-апплет).
• Централизованное развертывание - подготовка пакетов установки для автоматического подключения устанавливаемого клиента к серверу. Поддерживается подготовка пакета для самостоятельной установки, создание ссылки на пакет на веб-сервере или удаленное развертывание с предоставлением данных учетной записи администратора на удаленных компьютерах.
• Централизованный мониторинг с панелью состояния защищенности, мониторами событий, журналами безопасности, уведомлениями по e-mail и другими функциями.
• Система генерации отчетов по состоянию защищенности сетевых узлов и событиям информационной безопасности.
• Централизованное управление политиками безопасности с возможностью создания различных политик и их назначения на группы защищаемых компьютеров.
• Поддержка интеграции с Active Directory и LDAP-каталогами.
• Наличие REST API, специального набора служебных функций для интеграции и взаимодействия с другими продуктами Symantec, сторонними средствами защиты, разрабатываемыми на заказ модулями и системами управления.

В клиенте Symantec Endpoint Protection 14 под Windows поддерживается три типа развертывания - стандартный, dark network и embedded/VDI. Стандартный клиент под Windows обеспечивает все функции продукта и предназначен для работы на защищаемых компьютерах внутри локальный сети организации. Dark network - версия клиента для удаленных компьютеров, не имеющих постоянного соединения с частным или глобальным облаком Symantec и сервером управления. В данном типе клиента отключены проверки, связанные с анализом потенциально небезопасных файлов в облаке, при этом остальные функции работают аналогично стандартному клиенту, включая репутационные базы. Embedded/VDI является уменьшенным в размере дистрибутивом, использующим больше возможностей облака, чем остальные клиенты, и предназначается для эксплуатации во встраиваемых системах и в инфраструктуре виртуальных рабочих столов.

Установка Symantec Endpoint Protection 14

Установка продукта не претерпела больших изменений по сравнению с версией 12. Поддерживается развертывание защитного клиента в пользовательском режиме работы без централизованного управления и сетевая структура с общим сервером. Как и раньше, для защиты компьютеров до 5000 единиц используется встроенная база данных, в крупных инфраструктурах для хранения информации используется СУБД Microsoft SQL.

Рисунок 1. Выбор конфигурации сервера управления Symantec Endpoint Protection 14

В процессе установки сервера управления выбирается схема развертывания, указываются настройки электронной почты, создается учетная запись администратора и настраиваются другие параметры. Завершающим этапом установки является загрузка обновлений через утилиту LiveUpdate.

Рисунок 2. Обновление продукта Symantec Endpoint Protection 14 во время установки

Работа с Symantec Endpoint Protection 14

В версии 14 изменился внешний вид Symantec Endpoint Protection Manager - программы управления продуктом. Программа получила новый современный дизайн, при этом сохранив общее расположение интерфейсов. Доступ к консоли управления может быть получен через Windows-приложение или в веб-браузере, при этом внешний вид интерфейса неизменен, так как для его реализации применяется общий Java-апплет.

Навигация по интерфейсу менеджера Symantec Endpoint Protection 14 осуществляется с помощью бокового меню, в котором представлены следующие разделы:

• «Главная» - панель мониторинга общего состояния системы защиты, на которой присутствует блок отображения необходимости предпринять какие-либо действия для исправления уровня защищенности инфраструктуры.
• «Мониторы» - панель дашбордов, отображающая графики возникновения событий, статистику работы системы и журналы аудита.
• «Отчеты» - система построения отчетов по статистике работы и событиям аудита.
• «Политики» - интерфейс управления политиками безопасности продукта.
• «Клиенты» - управление перечнем защищаемых компьютеров включая систему развертывания и назначения политик безопасности.
• «Админ» - административный раздел для управления учетными записями привилегированных пользователей и настройками сервера управления Symantec Endpoint Protection 14.

Рисунок 4. Главный экран системы управления Symantec Endpoint Protection 14 при доступе через веб-браузер

Мониторинг состояния системы защиты и событий информационной безопасности осуществляется из раздела «Мониторы». В данном разделе представлены четыре вкладки - «Обзор», «Журналы», «Состояние команды» и «Уведомления». На экране обзора расположены графики, отражающие состояние различных аспектов работы системы, с помощью переключателя «Тип сводки» набор выводимых данных может быть изменен. Вся статистика отражает ситуацию на момент загрузки экрана, обновить текущие данные можно с помощью ссылки «Обновление» в верхнем правом углу интерфейса.

Рисунок 5. Панель мониторов в Symantec Endpoint Protection 14

В разделе «Журналы» отображаются последние события аудита. Присутствует система фильтрации по различным полям - типу журнала, интервалу времени, версии продукта и политик, домену, группам компьютеров, IP-адресам и многим другим. Настроенные фильтры можно сохранить для дальнейшего использования. Журнал выводится постранично, для каждого события доступно детальное описание. Поддерживается экспорт событий в формате CSV.

Рисунок 6. Журналы аудита в Symantec Endpoint Protection 14

Вкладка «Состояние команды» отображает состояние и результат выполнения различных команд, в первую очередь - заданий на антивирусное сканирование и команд на включение и выключение отдельных защитных функций.

В разделе «Уведомления» настраиваются параметры и условия отправки e-mail-сообщений при возникновении в системе различных событий.

Рисунок 7. Настройка уведомлений по e-mail в Symantec Endpoint Protection 14

Система отчетов Symantec Endpoint Protection 14 в целом похожа по функциям на журналы - в продукте можно указать тип аудита для отображения в отчетах и присутствует фильтрация событий по различным параметрам. Отчет представляет собой выписку из журнала аудита в готовой к печати и экспорту (в формате HTML) форме. Присутствует возможность построения отчетов по расписанию, отправка сформированных плановых отчетов осуществляется по электронной почте.

Раздел «Политики» разбит на семь основных групп по функциональности:

• Защита от вирусов и программ-шпионов - политики и настройки антивируса, включают в себя параметры сканирования по требованию, настройки автоматической защиты, управление защитой загрузки операционной системы, подсистемы SONAR для эвристического и репутационного детектирования, а также политики сканирования электронной почты. Отдельные группы настроек позволяют управлять политиками работы антивируса в macOS и Linux.

Рисунок 8. Политики защиты от вирусов и программ-шпионов в Symantec Endpoint Protection 14

• Брандмауэр - управление правилами персонального межсетевого экрана. Отображение правил выполнено в виде плоской таблицы с перечислением всех доступных параметров. Дополнительно поддерживается настройка уведомлений, управление встроенными правилами, настройка защиты от сетевых атак, параметры маскировки и сокрытия данных об узле, а также опции интеграции с Windows и параметры аутентификации между компьютерами.

Рисунок 9. Политики брандмауэра в Symantec Endpoint Protection 14

• Предотвращение вторжений - настройки защиты от эксплойтов для популярных офисных и прикладных приложений, управление защитой от сетевых атак и настройка исключений для упрощения реагирования на ложные срабатывания.
• Управление приложениями и устройствами - политики управления доступом приложений к устройствам и объектам компьютера, а также настройка политик разрешения и запрета работы с устройствами.

Рисунок 10. Настройки политики управления приложениями в Symantec Endpoint Protection 14

• Целостность хоста - управление требованиями к проверке целостности и защиты защищаемых компьютеров.
• LiveUpdate - параметры доступа к серверам LiveUpdate, включая выбор локального или глобального сервера и настройки прокси-серверов, а также управление расписанием обновлений. Дополнительно настраивается содержимое LiveUpdate для загрузки.
• Исключения - глобальная политика исключений, в которую можно добавить разнообразные объекты для исключения из всех действующих политик безопасности. В качестве объектов поддерживаются файлы, директории, устройства, сетевые узлы, приложения и многое другое.

Для каждой группы поддерживается множество политик, их можно добавлять, удалять, заменять, копировать, экспортировать и импортировать из файла. Политики применяются к отдельным защищаемым компьютерам или к группам компьютеров.

Рисунок 11. Управление политиками безопасности в Symantec Endpoint Protection 14

В разделе «Клиенты» осуществляется управление защищаемыми компьютерами, их добавление, удаление и отправка оперативных команд. В дополнительных вкладках осуществляется назначение политик безопасности на узлы сети и управление установочными пакетами.

Рисунок 12. Управление защищаемыми компьютерами в Symantec Endpoint Protection 14

В разделе «Админ» присутствует пять разделов:

• Администраторы - управление учетными записями администраторов.
• Домены - синхронизация с Active Directory и работа с сетевыми доменами.
• Серверы - управление серверами Symantec Endpoint Protection, настройка серверов управления, баз данных и других параметров.
• Установочные пакеты - управление клиентскими дистрибутивами и их распространением на целевые системы.
• Лицензии - настройка лицензий продукта.

Рисунок 13. Управление учетными записями администраторов в Symantec Endpoint Protection 14

Интерфейсы клиентских приложений под операционные системы Windows, Linux и macOS в целом практически не изменились - стиль оформления, расположение меню и функциональные возможности, доступные обычным пользователям, практически не изменились по сравнению с версией 12.

Рисунок 14. Интерфейс агента защиты Symantec Endpoint Protection 14 под Windows

Выводы

Разработчики Symantec Endpoint Protection 14 проделали большую работу по усилению способов и средств защиты от неизвестных вредоносных программ и уязвимостей по сравнению с 12-й версией продукта. Добавление модулей защиты Generic Exploit Mitigation, обновление технологии SONAR и внедрение технологии машинного обучения Advanced Machine Learning значительно усилило позиции Symantec на рынке средств защиты конечных точек и позволило решению Endpoint Protection сохранить лидерство в своем сегменте.

Приобретение компании Blue Coat и использование их технологий в продукте также значительно повлияло на качество детектирования сетевых атак и общий уровень защищенности конечных точек с Symantec Endpoint Protection. Значительное наращивание защитных возможностей и качества функциональности продукта фактически переводит продукт Symantec Endpoint Protection на новый уровень. Новую версию данного решения можно считать полноценным продуктом класса Next Generation Endpoint Protection. Дополнительным плюсом является интеграция с Symantec Advanced Threat Protection, позволяющая интегрировать NGEP-продукт в инфраструктуру защиты от направленных атак.

Несмотря на то что компания Symantec сконцентрировала свои силы на улучшении и доработках функций защиты, дизайн и интерфейс продукта не остались забытыми. Новый внешний вид консоли Symantec Endpoint Protection Manager положительно сказался на удобстве управления и настройки продукта. Интерфейс менеджера выглядит современно, юзабилити продукта значительно улучшилось, и в целом пользовательский интерфейс оставляет приятные впечатления.

Достоинства:

• Широкий набор функций по защите от вредоносных программ и уязвимостей - машинное обучение, эмулятор исполняемых файлов, объемные репутационные базы, ранняя загрузка, анализ загружаемых по сети файлов и множество других. Гибкость и легкость управления политиками безопасности.
• Поддержка различных типов клиентских приложений под Windows для защиты различных устройств - компьютеров в локальной сети, удаленных рабочих мест, виртуальных сред и виртуальных рабочих столов (VDI).
• Встроенная система работы с журналами, отчетами и возможность настройки гибких фильтров для оперативного уведомления об угрозах по электронной почте.
• Система автоматической загрузки и применения обновлений, полностью решающая все вопросы по актуализации баз данных и исполняемых модулей продукта.
• Отсутствие необходимости развертывания базы данных для компаний с небольшим числом защищаемых компьютеров.
• Наличие интеграции с Active Directory и LDAP-каталогами, поддержка REST API для сторонней интеграции с продуктом.

Недостатки:

• Общая медлительность интерфейса управления и недостатки в его локализации - использование неуместных сокращений, несогласованные фразы, использование англоязычных терминов.
• Сокращенный функционал в клиентах под macOS и Linux, поддержка защиты Windows XP с помощью агента предыдущей версии 12.1.
• Отсутствие сертификата ФСТЭК России (ожидается в 2017 году).

Роль антивируса в жизни корпорации или любой другой коллективной сети сложно переоценить. По мере прогресса технологий растёт и количество недобросовестных программистов, которые предпочитают украсть какие-либо данные для своей наживы, вместо честного заработка.

Даже, если ваша фирма не работает с электронными деньгами, защита все равно нужна, так как любую похищенную информацию смогут использовать против вас сливая её конкурентам или шантажируя. Существует и другой тип угроз, который наоборот вносит определённую информацию в систему с целью вывода её из строя. От всех этих атак и не только, способен защитить Symantec Endpoint Protection.

Этот корпоративный антивирус обладает самым высоким уровнем защиты и позволяет не только бороться с угрозами, но результативно действует в превентивном варианте, благодаря функции проверки, анализа репутации Insight. Она способна побороть хакерские атаки, которые ещё явно даже не развернулись в вашей системе.

Технология защиты Insight

Insight – это технология, которая отслеживает миллиарды файлов на компьютерах клиентов и в момент возникновения какой-либо угрозы, об этом сообщается в сеть. Сегодня вирусы работают на основании технологии быстрой мутации, таким образом блокируя возможность антивирусов удалять их и обнаруживать в целом. Основа работы функции заключается в том, чтобы отслеживать видоизменяющиеся, зашифрованные программы, то есть обернуть преимущество вредоносного кода против него самого. По мере мутаций определённых файлов система Insight повышает уровень риска для этого элемента, пока не дойдёт до критического, тогда во всей сети Symantec будут знать о некачественном происхождении файла. Технология Insight повышает частоту обнаружения вредоносных файлов, увеличивает производительность и точность всего антивируса.

Insight представляет собой современную функцию обнаружения угроз, которая строится на основании собранной информации с миллиардов файлов. Все полученные данные позволяют наносить точные и сокрушительные удары в отношении угроз.

К преимуществам Symantec Endpoint Protection для Windows можно отнести:

• Активное обнаружение угроз, то есть в реальном времени;
• Блокировка спама в сети, что приводит к увеличению производительности;

• Используется контекстная информация о файле, чтобы снизить сложность управления антивирусом и повысить точность блокировок;
• В сети Symantec более 100млн. компьютеров, что гарантирует своевременное обнаружение.

Так как Insight выступает превентивной защитой, то SONAR – это защита в реальном времени.

Технология защиты SONAR

Если стоит вопрос, антивирус какой лучше выбрать, то больших споров о качестве продукта не будет, если вы обратитесь к Symantec. Встроенная технология SONAR обеспечивает защиту уже не на основании контекстных данных, таких как обновление, частота изменений, производитель и т.д., а основываясь на характере работы процесса. Проще говоря SONAR – это поведенческая защита.

Особенность функции заключается в том, что даже, если вирус смог пройти через превентивный анализ, он будет заблокирован в реальном времени. Очень важно, что благодаря этой технологи происходит защита от атак нулевого дня, а это те вирусы, которые ещё не были обнаружены и побеждены на мировом уровне. Таким образом, на защиту от какого-либо вредоносного кода в стандартных программах уходят дни/недели/месяцы, здесь же вы получите поддержку своевременно благодаря Symantec Endpoint Protection для Windows 10 или ниже.

Уровни защиты от Symantec

Если вопрос, какой антивирус выбрать для Windows 7 или другой версии, ещё открыт, то вот 5 причин, выраженных в уровнях защиты, почему следует выбрать данное предложение.

• Первый уровень – это файловая защита. Данный вид основывается на статической информации о файле, которую считывает, записывает и при необходимости элемент блокируется антивирусом;
• Всевозможные сетевые уязвимости – служит фаерволом и блокирует любое подключение с целью захвата прав администратора или воровства персональных данных;

• Функция Sonar, о которой уже упоминалось, это защита в реальном времени на основании поведения кода;
• Репутационный сервис – определяет общие сведения о файле, полученные на основании сетевой защиты, то есть из общего хранилища;

• Функция восстановления оказывает помощь в устранении обнаруженных угроз.

Теперь, какой антивирус выбрать Windows, становится совершенно очевидно, ведь проходя 5 уровней защиты, соединенных воедино бесшовным методом, у врага не остаётся шансов навредить вашей сети.

Как установить антивирус на компьютер?

Symantec не требует каких-то особенных действий по установке антивируса, всё, что вам необходимо сделать - это преодолеть несколько простых шагов руководства.

• Убедитесь, что ваши компьютеры соответствуют требованиям программы. Подробные сведения о минимальных параметрах, указанных здесь: Ссылка .
• Загрузите приложение с оф сайта по ссылке https://www.symantec.com/security_response/definitions/download/detail.jsp?gid=sep ;
• Следуйте инструкции и установите необходимые вам уровни защиты, так как некоторые необязательны.

Стандартная установка завершена, но если вам необходимо выполнить какие-то дополнительные настройки антивируса, то воспользуйтесь документацией.

Вот мы и разобрались с вопросом, какой антивирус выбрать на основании Symantec Endpoint Protection, как лучшего из предложенных на сегодня вариантов защиты. Symantec стал лучшим благодаря функциональности, невероятно высокому уровню защиты и профессиональному подходу к проблеме.

Если у Вас остались вопросы по теме «Корпоративный комплексный антивирус Symantec Endpoint Protection», то можете задать их в комментариях

if(function_exists("the_ratings")) { the_ratings(); } ?>

В этой статье описана установка продукта Symantec Endpoint Protection 11.0 в сети, в которой не было установлено старых версий Symantec AntiVirus.

Первая установка программного обеспечения для управления выполняется в два этапа. На первом этапе устанавливается Symantec Endpoint Protection Manager. На втором этапе устанавливается и настраивается база данных Symantec Endpoint Protection Manager. На первом этапе оставьте без изменения значения по умолчанию. На втором этапе пользователь должен ввести по крайней мере одно значение - пароль.

Примечание:

• Программное обеспечение для управления не включает программу Symantec Endpoint Protection или какой-либо другой управляемый клиент.
• Перед установкой Symantec Endpoint Protection Manager необходимо установить Internet Information Services (IIS).

Как установить Symantec Endpoint Protection Manager (SEPM)

Загрузите установочный компакт-диск и запустите процедуру установки.

На панели установки выберите вариант Установить Symantec Endpoint Protection Manager.

В окне "Лицензионное соглашение" выберите Я согласен с условиями лицензионного соглашения. Нажмите кнопку Далее.

В окне "Целевая папка" измените или оставьте значение по умолчанию для папки установки.

Выполните одно из следующих действий:

• Для настройки веб-сервера Symantec Endpoint Protection Manager IIS (Internet Information Service) в качестве единственного веб-сервера на этом компьютере выберите вариант Создать отдельный веб-сайт и нажмите кнопку Далее.

  Для настройки веб-сервера Symantec Endpoint Protection Manager IIS для работы с другими веб-серверами на этом компьютере выберите Использовать веб-сайт по умолчанию и нажмите кнопку Далее.

  Если установка производится на сервер под управлением Windows 2003 SB, то для настройки web-сервера необходимо выбирать вариант Использовать веб-сайт по умолчанию.

В окне, подтверждающем готовность к установке, нажмите кнопку Установить.

По завершении установки откроется окно "Работа мастера установки завершена". Нажмите Готово. Мастер настройки сервера управления запустится спустя примерно 15 секунд.

Как настроить Symantec Endpoint Protection Manager

На панели "Мастер настройки сервера управления" выберите тип конфигурации.

Примечание: Если выбрана Простая конфигурация, то пароль администратора SEPM применяется в качестве пароля шифрования. Если впоследствии пароль администратора изменяется, пароль шифрования остается без изменения.

В окне "Тип сайта" выберите Установить первый сайт и нажмите Далее.

В окне "Сведения о сервере" измените или оставьте значения по умолчанию для следующих полей и нажмите Далее:

• Имя сервера

  Порт сервера

  Папка данных сервера

В поле "Имя сайта" измените или оставьте имя по умолчанию и нажмите Далее.

В окне "Пароль шифрования" укажите пароль в обоих полях и нажмите Далее.

Сохраните этот пароль во время установки Symantec Endpoint Protection в рабочей среде. Он указывается при восстановлении после аварии и добавлении аппаратных компонентов Enforcer.

В окне "Выбор сервера базы данных" выберите Встроенная база данных и нажмите Далее.

На панели настройки пользователя укажите пароль, который должен вводиться при входе на консоль от имени пользователя "Admin". Нажмите кнопку Далее. Или создайте пользователя который является администратором домена.

По окончании установки вы сможете развернуть клиент с помощью мастера переноса и развертывания. Войдите на консоль с указанными ранее именем пользователя и паролем.

Настройка и развертывание программного обеспечения клиента

Мастер переноса и развертывания позволяет настроить пакет программного обеспечения клиента. Затем для развертывания пакета программного обеспечения клиента можно запустить мастер развертывания методом рассылки. Если пользователь откажется от запуска мастера развертывания методом рассылки, то в дальнейшем его можно будет запустить вручную. Для этого необходимо запустить программу ClientRemote.exe из папки \tomcat\bin.
Примечание: Далее описана процедура установки клиента на 32-разрядных компьютерах (не на 64-разрядных). В ходе установки потребуется указать папку для копирования установочных файлов. Рекомендуется создать эту папку перед началом процедуры. Установку должен выполнять администратор домена или рабочей группы Windows.

При развертывании клиента на компьютерах, защищенных брандмауэром и работающих под управлением Windows XP или Windows Vista, необходимо учитывать дополнительные факторы. Брандмауэр должен разрешать удаленное развертывания через порт TCP 139. На компьютерах рабочих групп, работающих под управлением Windows XP, необходимо выключить простой общий доступ к файлам. Для подготовки компьютеров с операционной системой Windows Vista ознакомьтесь с документом "Подготовка компьютеров, работающих под управлением Windows, к удаленному развертыванию клиента." (по-английски) :

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007091021513648

Как настроить клиент

В окне "Работа мастера настройки сервера управления завершена" выберите Да и нажмите Готово.

В окне "Вас приветствует мастер переноса и развертывания" нажмите кнопку Далее.

В окне "Выберите нужное действие" выберите Развернуть клиент и нажмите кнопку Далее.

В следующем окне выберите пункт Укажите имя новой группы, в которую следует добавить клиенты, введите имя группы и нажмите кнопку Далее.

В следующем окне отмените выбор программ клиента, которые не следует устанавливать, и нажмите Далее.

В следующем окне укажите параметры для пакетов, файлов и взаимодействия с пользователем.

Нажмите кнопку "Обзор", выберите папку для установочных файлов и нажмите кнопку Открыть.

В следующем окне выберите Да и нажмите Готово.

Не включайте параметр запуска консоли администратора. Создание и экспорт пакета установки для группы может занять до 5 минут. Потом откроется мастер развертывания методом рассылки.

Как развернуть клиент с помощью мастера развертывания методом рассылки

В окне мастера развертывания методом рассылки в списке "Доступные компьютеры" выберите компьютеры, на которых следует установить клиент, и нажмите кнопку Добавить.

Если клиент разворачивается на локальном компьютере, и брандмауэр Windows не настроен для обработки Java, то он может блокировать эту функцию, показав сообщение о необходимости ее настройки. Это окно может быть показано под окном мастера развертывания методом рассылки, то есть не будет видно пользователю. Если мастер развертывания методом рассылки перестал отвечать, переместите его окно вбок и проверьте, не скрыто ли под ним окно с сообщением брандмауэра Windows.

В окне "Идентификация удаленного клиента" введите имя пользователя и пароль для входа в домен или рабочую группу Windows этих компьютеров и нажмите кнопку OK.

После того как все компьютеры будут выбраны и показаны на правой панели, нажмите кнопку Готово.

После завершения установки нажмите кнопку Готово.

Вход на консоль и поиск своей группы в консоли

Прежде всего необходимо войти на консоль и найти свою группу.

Вход на консоль управления

Консоль управления предназначена для управления клиентами.

Как войти на консоль управления

Выберите Пуск> Программы> Symantec Endpoint Protection Manager> Консоль Symantec Endpoint Protection Manager.

В окне входа в систему Symantec Endpoint Protection Manager введите имя пользователя admin.

В поле пароля введите пароль учетной записи администратора, заданный во время установки. Нажмите кнопку Вход в систему.

Поиск своей группы в консоли

После входа на консоль необходимо найти группу, созданную в ходе установки. Затем следует убедиться, что в эту группу входят компьютеры, на которых было установлено программное обеспечение.

Активация Symantec Network Access Control

Если продукт Symantec Endpoint Protection был приобретен вместе с продуктом Symantec Network Access Control, то выполните ряд дополнительных действий для активации Symantec Network Access Control.

Как активировать Symantec Network Access Control

Закройте консоль Symantec Endpoint Protection Manager, если она открыта.

Вставьте компакт-диск продукта Symantec Network Access Control.

На панели установки выберите пункт Установить Symantec Network Access Control.

Нажмите Установить Symantec Endpoint Protection Manager.

В окне "Обновление сервера управления" нажмите кнопку Далее.

Нажмите Продолжить.

Когда в окне "Состояние обновления сервера" будет показано сообщение об успешном завершении обновления, нажмите кнопку Далее.

Нажмите кнопку Готово.

Войдите на консоль Symantec Endpoint Protection Manager.

На вкладке "Политики" выберите Целостность хоста.

На правой панели выберите Политика целостности хоста.

В разделе "Задачи" выберите Присвоить политику.

В окне "Присвоить политику целостности хоста" выберите группу, которой следует присвоить политику.

Нажмите кнопку Присвоить, а затем нажмите Да, чтобы подтвердить изменение.

Теперь функция Symantec Network Access Control активирована в Symantec Endpoint Protection Manager и на клиентах из созданной группы.

Symantec Endpoint Protection 12 является корпоративным антивирусным решением, обеспечивающим администратора антивирусной сети предприятия необходимыми инструментами по развёртыванию антивирусной сети предприятия, её мониторингу, а также по управлению параметрами работы антивирусных клиентов на защищаемых объектах.

В рамках Symantec Endpoint Protection 12 реализована классическая клиент-серверная архитектура, принятая для использования во многих корпоративных антивирусных продуктов, но существуют также и отличия. Лучше всего их проследить на преимуществах новой версии Symantec Endpoint Protection 12.

В серверной части Symantec Endpoint Protection 12 относительно более ранних версий появился ряд усовершенствований:

• Централизованное управление лицензиями из консоли управления;
• Protection Server версии 2 обеспечивает централизованное хранение данных и интеграцию функций управления различными продуктами Symantec;
• Экран входа в Symantec Protection Server позволяет запросить отправку забытого пароля по электронной почте;
• Возможность сброса забытого пароля от Symantec Endpoint Protection Manager;
• Возможность указать время перезагрузки клиентских компьютеров для удобства пользователей;
• Страница «Мониторы» Symantec Endpoint Protection Manager содержит набор стандартных уведомлений о наиболее часто происходящих событиях.
• Отправка клиентами Linux информации о событиях в Symantec Endpoint Protection Manager;

В Symantec Endpoint Protection 12 было достигнуто увеличение быстродействия сервера и клиентов за счёт следующих усовершенствований:

• В новой версии сервер управления автоматически выполняет обслуживание базы данных сервера;
• При сканировании используется технология Insight, исключающая из сканирования достоверно безвредные файлы;
• Компонент LiveUpdate, отвечающий за обновление программных модулей и вирусных баз, может запускаться во время бездействия клиентов, только когда имеется обновлённое содержимое на сервере обновлений.

Немаловажное значение имеет расширенная поддержка виртуальных сред в Symantec Endpoint Protection 12, которая проявляется в следующем:

• Сервер Shared Insight Cache позволяет клиентам обмениваться результатами сканирования, идентичные файлы на всех клиентах будут сканироваться только один раз, благодаря этому общее время сканирования сокращается, по информации производителя до 80%;
• Утилита Virtual Image Exception сокращает объём сканирования путём исключения из сканирования файлов достоверно надёжного, базового образа виртуальной системы;
• Symantec Endpoint Protection автоматически определяет наличие гипервизора, на котором работает клиент на виртуальной платформе, что позволяет создавать политики для групп клиентов на виртуальных платформах;

Также в Symantec Endpoint Protection 12 реализована более тесная интеграция сервера управления с клиентами, работающими под управлением Mac OS X. В частности, в версии 12 можно настроить политики для клиентов Mac, как для отдельных станций, так и для групп.

Рассмотрим возможности сервера управления Symantec Endpoint Protection 12 более подробно.

Системные требования для Symantec Endpoint Protection Manager

Для работы сервера управления Symantec Endpoint Protection Manager компьютер должен удовлетворять следующим системным требованиям.

Процессор:

• 32-разрядный процессор: минимум Intel Pentium III 1 ГГц или аналогичный (рекомендуется Intel Pentium 4 или аналогичный процессор);
• 64-разрядный процессор: минимум Pentium 4 с частотой 2 ГГц и с поддержкой х86-64 или аналогичный процессор.

Примечание : Процессоры Intel Itanium IA-64 и PowerPC не поддерживаются.

Оперативная память:

• 1 ГБ оперативной памяти для 32-разрядных операционных систем;
• 2ГБ оперативной памяти для 64-разрядных операционных систем или больше, если требуется для операционной системы.

Жёсткий диск:

• Не менее 4ГБ;

Разрешение монитора:

• 800х600.

Операционная система:

• Windows 7;
• Windows XP (32-разрядная, пакет обновления SP3 или более поздний; 64-разрядная, все пакеты SP);
• Windows Server 2003 (32-разрядная, 64-разрядная, R2, пакет обновления SP1 или более поздний);
• Windows Server 2008 (32-разрядная, 64-разрядная);
• Windows Small Business Server 2008 (64-разрядная);
• Windows Small Business Server 2011 (64-разрядная);
• Windows Essential Business Server 2008 (64-разрядная).

Веб-браузер:

• Microsoft Internet Explorer 7, 8 или 9;
• Mozilla Firefox 3.6 или 4.0

Примечание : Symantec Endpoint Protection Manager версии 12 позволяет управлять клиентами более ранних версий, независимо от используемой на них операционной системы.

Symantec Endpoint Protection Manager для хранения информации может использовать либо встроенную базу данных, либо использовать:

• MS SQL Server 2000, SP4 или более поздний;
• MS SQL Server 2005, SP2 или более поздний;
• MS SQL Server 2008.

Примечание : в случае установки Symantec Endpoint Protection Manager и базы данных SQL на одном компьютере объем оперативной памяти должен быть не менее 4ГБ.

Установка антивирусного сервера Symantec Endpoint Protection Manager

Symantec Endpoint Protection Manager предназначен для установки только на операционные системы семейства Microsoft Windows. После запуска установки отображается приветственное окно, в котором расположены ссылки, позволяющие ознакомиться с предварительной информацией, которую необходимо знать перед началом развёртывания антивирусной сети, начать, собственно, процедуру установки сервера управления, установить дополнительные средства администрирования или выйти из программы установки, не совершая какие-либо действия.

Рисунок 1: Приветственное окно установки Symantec Endpoint Protection Manager

Непосредственная установка Symantec Endpoint Protection Manager начинается с окна, в котором перечисляются этапы установки:

• Установка сервера управления и консоли;
• Настройка сервера управления;
• Создание базы данных;
• Перенос необходимой информации из предыдущей версии (если необходимо);
• Установка антивирусных клиентов

Затем отображается окно с текстом лицензионного соглашения, которое необходимо принять для продолжения установки. В следующем окне можно выбрать папку установки, и после этого программа установки Symantec Endpoint Protection Manager будет готова к установке необходимых компонентов.

Когда установка компонентов Symantec Endpoint Protection Manager будет завершена, программа установки переходит к следующему этапу – настройке сервера управления. На первом экране мастера настройки сервера управления предлагается выбрать конфигурацию по умолчанию (для локальных сетей, состоящих из менее чем 100 компьютеров), либо задать пользовательскую конфигурацию.

Рисунок 2: Выбор конфигурации

На следующем экране предлагается ввести количество компьютеров, подключённых к сети, при этом предлагаются следующие варианты (эта настройка влияет на то, сколько ревизий антивирусных баз будет храниться на сервере):

• Менее 100;
• От 100 до 500;
• От 5000 до 1000;
• Более 1000.

На следующем этапе работы мастера настройки Symantec Endpoint Protection Manager необходимо создать сайт. Сайт в терминологии Symantec Endpoint Protection - это база данных и одного или нескольких серверов управления, работающих с этой базой (либо кластером баз данных). В инфраструктуре можно создавать несколько сайтов. Делается это для сокращения трафика между регионами, т.к. между сайтами можно реплицировать не всю информацию, а только часть, например, только политики и информацию о членстве в группах, но при этом не реплицировать информацию о журналах событий и обновлениях.

Рисунок 3: Создание сайта антивирусной сети

Рисунок 4: Параметры антивирусного сайта и сервера

На следующем экране программы установки необходимо выбрать между встроенной базой данных и внешней на основе MS SQL-сервера, а далее – либо создать новую базу данных, либо подключиться к существующей. После этого необходимо создать учётную запись администратора.

Рисунок 5: Создание учётной записи системного администратора

После этого предлагается либо задать пароль шифрования для связи клиентов с сервером управления, автоматически или вручную. Этот пароль может пригодиться в случае необходимости аварийного восстановления работы антивирусной сети.

На следующем экране необходимо ввести параметры электронного ящика администратора и SMTP-сервера для отправки сервером управления уведомлений.

При желании можно установить флажок, позволяющий серверу управления отправлять информацию о работе антивирусной сети для оптимизации решений Symantec при разработке новых версий. При этом выводится подробная информация о том, какая именно информация отправляется и для чего.

Рисунок 6: Участие в программе оптимизации Symantec

В завершении установки производится инициализация новой базы данных, если это необходимо. На заключительном экране мастера настройки Symantec Endpoint Protection Manager предлагается запустить мастер миграции с Symantec AntiVirus (если необходимо), а также запустить сервер управления сразу после завершения установки.

На этом установка и первоначальная настройка сервера управления антивирусной сети Symantec Endpoint Protection завершена.

Методы развёртывания антивирусной сети на базе Symantec Endpoint Protection 12

Последним этапом развёртывания антивирусной сети на базе Symantec Endpoint Protection 12 является установка клиентов.

Осуществить эту процедуру можно несколькими способами:

• Использовать дистрибутивы клиентов для различных операционных систем из дистрибутива Symantec Endpoint Protection 12;
• С помощью мастера развёртывания клиентов.

Первый из этих вариантов мы подробно рассмотрели в первой части обзора Symantec Endpoint Protection 12.

Рисунок 7: Мастер развёртывания клиентов

Мастер развёртывания клиентов предлагает указать выбрать в качестве параметров своей работы:

• Тип установочного пакета, с которыми будет вестись работа;
• Группу станций, к которой будет применена установка клиентов;
• Набор устанавливаемых компонентов;
• Параметры установки;
• Варианты содержимого;
• Предпочитаемый режим работы – относительно компьютеров или относительно пользователей сети.

Рисунок 8: Выбор группы и набора устанавливаемых компонентов

Мастер развёртывания клиентов предлагает несколько способов установки клиентов:

• Веб-ссылка и электронная почта;
• Удалённая рассылка;
• Сохранить пакет.

В первом случае пользователи компьютера самостоятельно по ссылке из письма электронной почты загружают дистрибутив клиента Symantec Endpoint Protection и устанавливают на свой компьютер. Во втором случае установка производится в удалённом режиме автоматически. В третьем случае имеется возможность сформировать дистрибутив на компьютере администратора, а затем предоставить его пользователям защищаемых станций любым удобным способом. Чаще всего последний вариант используется при наличии инструментов и политик централизованного распространения ПО внутри компаний.

Рисунок 9: Способ установки клиентов Symantec Endpoint Protection

Для случая удалённой установки администратору предлагается воспользоваться встроенным в мастер инструментом обзора сети для выбора компьютеров, на которые необходимо установить клиенты Symantec Endpoint Protection. Для удалённой установки потребуется указать параметры учётной записи администратора на соответствующих компьютерах.

Рисунок 10: Выбор компьютеров для удалённой установки клиентов

Администрирование антивирусной сети с помощью Symantec Endpoint Protection Manager

Работа с консолью Symantec Endpoint Protection Manager начинается с окна, в котором необходимо ввести имя пользователя, пароль, а также указать антивирусный сервер, к которому необходимо подключиться. Также доступна функция восстановления пароля в случае его утери, что в продуктах подобного класса встречается достаточно редко.

Рисунок 11: Окно логина в консоль Symantec Endpoint Protection Manager

При первом заходе в консоль администратора поверх основного интерфейса отображается окно, в котором перечислены основные задачи администратора локальной сети, а также даны ссылки на элементы интерфейса консоли, связанные с этими задачами. Среди этих задач проверка состояния лицензии, настройка автоматического обновления, развёртывание клиентов, а также настройка параметров работы антивирусного сервера. Такой подход позволяет администратору, который не имеет опыта работы с Symantec Endpoint Protection 12, быстро освоиться в данном продукте.

Рисунок 12: Приветственное окно консоли Symantec Endpoint Protection Manager

Основные элементы консоли администратора (Главная, Мониторы, Отчёты, Политики, Клиенты и Админ) расположены на вертикальной панели инструментов, расположенных в левой части окна. Они доступны в любое время, что облегчает переход от одной задачи к другой из любого окна консоли, количество которых достаточно велико.

В главном окне консоли расположена основная информация о работе антивирусной сети, что позволяет администратору сразу же после захода в консоль оценить состояние антивирусной сети, а также обнаружить возможные проблемы в её работе и принять оперативные меры. Среди такой информации общее состояние защиты, состояние лицензии, состояние защищаемых компьютеров, глобальный уровень угроз и последняя информация о вредоносных программах, а также отчёт о действиях над вредоносными объектами, обнаруженными в сети предприятия и ссылки на наиболее важные отчёты о работе антивирусной сети.

Рисунок 13: Главное окно консоли Symantec Endpoint Protection Manager

Интерфейс раздела «Мониторы» главной инструментальной панели содержит следующие вкладки: «Обзор», «Журналы», «Состояние команды» и «Уведомления».

На вкладке «Обзор» в виде круговых диаграмм отображаются сводки об угрозах за последнее время, а также другие сводки. На вкладке «Журналы» в табличном виде показываются сведения о событиях, произошедших в антивирусной сети. На вкладке «Состояние команды» можно просмотреть сведения о командах, которые администратор выполнял в последнее время. Наконец, на вкладке «Уведомления» можно просмотреть уведомления о событиях, происходящих в антивирусной сети, которые выводятся согласно соответствующим настройкам уведомлений.

Рисунок 14: Раздел «Мониторы» консоли администратора Symantec Endpoint Protection

Раздел интерфейса консоли «Отчёты» посвящён различного рода отчётам и разбит на две вкладки – «Быстрые отчёты» и «Плановые отчёты». Первая вкладка позволяет быстро задать параметры для отчёта, который хочется просмотреть и вывести его на экран по запросу. Плановые же отчёты создаются автоматически с какой-либо периодичностью согласно настройкам. Набор отчётов, с которыми можно ознакомиться, достаточно обширен. Информация в них предлагается как в текстовом виде, так и графическом – для более наглядного восприятия статистики.

Рисунок 15: Один из отчётов, генерируемых консолью администратора Symantec Endpoint Protection

Раздел «Политики» включает в себя настройки работы различных компонентов антивирусной сети, а также настройки работы компонентов защиты на защищаемых клиентах. Этот раздел является наиболее обширным среди всех разделов консоли администрирования. Политики разделены на несколько типов: «Защита от вирусов», «Брандмауэр», «Предотвращение вторжений», «Управление приложениями и устройствами», «LiveUpdate» и «Исключения». Для каждого из типов политики доступен подробный интерфейс настроек соответствующих политик. Собственно, всё управление параметрами работы антивирусной сети в целом и настройками защиты на защищаемых станциях, осуществляется посредством применения соответствующего набора политик.

Рисунок 16: Раздел «Политики» консоли администрирования Symantec Endpoint Protection

Политика «Защита от вирусов и программ-шпионов» включает в себя настройки всех компонентов защиты на станциях, работающих под управлением Windows и Mac OS X. Подробно их перечислять нет смысла, т.к. они описаны в первой части обзора Symantec Endpoint Protection 12 . К этим настройкам добавлены также политики проведения некоторых действий на защищаемых компьютерах по требованию администратора, например «Сканирования администратора». Для сканирования данного типа может быть задан другой приоритет использования ресурсов, другие правила реакции на найденные угрозы, и т.д.

Также стоит отметить, что антивирусные политики, управляемые из консоли SEPM позволяют использовать технологии оптимизации внутри корпоративной инфраструктуры. Это и технология Shared Insight Cache (файлы, просканированные на одной машине не будут сканироваться на других), и технология Virtual Image Exception (т.е. исключение из сканирования файлов из стандартного образа виртуальной машины, используемых внутри организации).

И еще один немаловажный момент: политика позволяет конфигурировать, какие правила пользователь может менять локально, а какие не может. Открытый замок на рисунке ниже показывает действия, которые можно менять. Если кликнуть по этому замку, то он станет закрытым. С этого момента пользователь не сможет конфигурировать этот параметр на рабочей станции.

Рисунок 17: Политика «Защита от вирусов и программ-шпионов

Политика «Брандмауэр» отвечает за параметры работы браднмауэров на защищаемых компьютерах и также повторяет соответствующие настройки в интерфейсе клиентов. Брандмауэр в Symantec Endpoint Protection доступен только для Windows-клиентов. Политика «Брандмаэр» делится на несколько разделов: «Правила», «Встроенные правила», «Защита и скрытый просмотр» и «Интеграция с Windows».

Включение встроенных наборов правил позволяет пропускать трафик системных служб, не добавляя соответствующие правила вручную, т.к. это не всегда простая задача. Так, можно всего лишь установкой нескольких флажков разрешить трафик DHCP, DNS, WINS или адаптеров Token Ring. С другой стороны, с помощью этих правил можно запретить клиенту работать с пакетами NetBIOS, а также запретить обратное преобразование DNS, с помощью которого можно определить имя на основе IP-адреса.

Рисунок 18: Политика «Брандмауэр» в консоли администрирования Symantec Endpoint Protection

«Политика предотвращения вторжений» включает в себя параметры функциональных возможностей Symantec Endpoint Protection, связанных с защитой от атак на сеть и на браузер пользователя. С помощью данной политики можно включить или отключить независимо защиту от атак на сеть и на браузер, а также настроить исключения в работе данной политики.

Политика «Управление приложениями и устройствами» разделена на две части – соответственно, «Управление приложениями» и «Приложение устройствами».

В управлении приложениями можно заблокировать или журналировать различные действия: запуск определённых приложений, запуск программ со съёмных носителей или чтение/запись информации на съемных носителях, запретить пользователям самостоятельную установку каких-либо приложений, а также ввести некоторые другие запреты. Стоит заметить, что наличие подобных политик может значительно увеличить эффективность работы администратора локальной сети предприятия.

В политике управления приложениями Symantec Endpoint Protection нет возможности определить параметры работы сразу с группой приложений (например, браузеры). Вместо этого есть возможность добавить в политику конкретное приложение по имени процесса или по хэш-сумме (поддерживаются шаблоны и системные переменные), а также можно использовать условия, связанные с поведением приложения (попытки обращения к реестру, попытки загрузки DLL, попытки запуска процессов и т.д.), а также условия, связанные с источником запуска приложения (дисковод для компакт-дисков, сетевой диск, виртуальный диск, локальный диск и пр.).

В управлении устройствами можно запретить подключение к компьютеру определённых типов устройств по идентификатору класса или идентификатору устройства. Предлагаемый список устройств выглядит достаточно полноценным, при необходимости можно добавлять свои типы. Среди устройств, подключением которых можно управлять:

• Устройства ввода (клавиатура, мышь и т.д.);
• USB-устройства в целом;
• Устройства, подключаемые через шину IDE;
• Принтеры;
• Устройства, подключающиеся через инфра-красный порт и Bluetooth;
• Модемы;
• Считыватели смарт-карт и др.

Р исунок 19: Политика «Управление приложениями и устройствами» в консоли администрирования Symantec Endpoint Protection

Политика «LiveUpdate» включает в себя достаточно гибкие настройки, связанные с организацией обновлений компонентов антивирусной сети. Они разделены на три группы – «Параметры сервера» (настройки, связанные с выбором сервера обновления и настройками прокси-сервера), «Планирование» (настройки, связанные с периодичностью обновления и условиями совершения попыток обновления), а также «Дополнительные параметры».

Последняя группа параметров политики «LiveUpdate» содержит такие полезные настройки как «Для соединения LiveUpdate требуются стандартные заголовки HTTP», отсутствие которой могло бы привести к проблемам при использовании в локальной сети предприятия определённых прокси-серверов.

Важной возможностью, присутствующей в Symanetc Endpoint Protection, является возможность использования поставщиков обновления групп (Group Update Provider, GUP). GUP позволяем минимизировать трафик обновлений, что особо актуально для доставки обновлений в регионы с узкими каналами связи, а также разгрузить серверы управления SEPM, за счет уменьшения количества обращений к ним за обновлениями. Для активации функционала GUP не нужно устанавливать дополнительного ПО, достаточно лишь указать, какие серверы будут являться поставщиками обновлений.

Рисунок 20: Политика « LiveUpdate » в консоли администрирования Symantec Endpoint Protection

В политике «Исключения» собраны настройки и политики, связанные с исключениями из проверки объектов в различных компонентах защиты и разделены на две группы – «Исключения» и «Ограничения клиентов». Первая группа настроек отвечает, собственно за исключения, которые настраивает администратор антивирусной сети, а вторая группа настроек отвечает за то, какие типы объектов могут добавлять в исключения пользователи самостоятельно.

Рисунок 21: Политика «Исключения» в консоли администрирования Symantec Endpoint Protection

Раздел «Клиенты» консоли администрирования посвящён работе с клиентами антивирусной сети. В частности, из этого раздела можно назначить всем клиентам или клиентам, относящимся к определённой группе, определённые политики работы, получить сведения о клиентах, добавить или удалить клиента из антивирусной сети и тому подобные действия. Также из этого же раздела можно произвести развёртывание и обновление клиентов до последних версий.

Через раздел «Клиенты» можно осуществить интеграцию с AD для простоты группировки активов, т.е. не нужно заново создавать структуру групп клиентов.

Рисунок 22: Раздел «Клиенты» в консоли администрирования Symantec Endpoint Protection

Наконец, раздел консоли «Админ» содержит полезные для администратора сведения, а также основные настройки и действия, служащие для управления антивирусной сетью в целом. Интерфейс данного раздела разделён на пять подразделов: «Администраторы», «Домены», «Серверы», «Установочные пакеты» и Лицензии.

В подразделе «Администраторы» имеется возможность совершать действия над администраторами локальных сетей – создавать учётные записи администратора, удалять их, переименовывать, а также изменять пароль. В том числе есть возможность привязки пользователей SEPM к пользователям домена (т.е. для входа в консоль SEPM будет использоваться пароль доменного пользователя).

Подраздел «Домены» позволяет совершать действия над доменами антивирусной сети – переименовать домен, изменить его свойства или добавить новый домен.

Подраздел «Серверы» позволяет совершать действия над серверами антивирусной сети, такие, например, как изменение свойства сайта, операции с серверами обновления LiveUpdate и другие.

В подразделе «Установочные пакеты» показаны имеющиеся пакеты, готовые для развёртывания. В этом разделе также можно экспортировать установочный пакет, добавить установочный пакет, удалить или изменить его свойства. Также имеется возможность обновить подключённые клиенты с помощью установочного пакета на новую версию.

Подраздел «Лицензии» отображает информацию о действующей лицензии, а также позволяет активировать новую лицензию, изменить сведения о партнёре компании Symantec, с которым работает клиент, а также получить сведения о приобретении дополнительных лицензий.

Рисунок 23: Раздел « Админ » в консоли администрирования Symantec Endpoint Protection

Выводы

Во второй части обзора мы рассмотрели возможности установку антивирусного сервера, методы развёртывания клиентов антивирусной сети, а также возможности администрирования антивирусной сети, предлагаемые консолью управления.

В целом продукт Symantec Endpoint Protection 12 является продуктом, использование которого в локальной сети предприятия не должно вызвать у подготовленного администратора локальной сети какие-либо проблемы.

Наличие подробной документации к продукту на русском языке (как полноценной подробной документации, так и руководства по быстрой установке и развёртыванию) способствует быстрому освоению продукта и планомерному изучению его возможностей, которые можно применить на практике.

Наличие множества подсказок и ссылок на документацию в интерфейсе консоли администрирования не оставит администратора, который недавно использует продукт, один на один с возникающими вопросами.

Плюсы

Среди положительных черт Symantec Endpoint Protection 12 по результатам второй части обзора этого продукта можно отметить:

• Высокий уровень документации и множество подсказок в интерфейсе;
• Интуитивно понятная иерархия интерфейса консоли администратора;
• Высокий уровень возможностей по управлению антивирусными клиентами, которое организовано через многочисленные политики, связанные с каждым компонентом защиты, которые можно применять как сразу ко всем компьютерам, так и к отдельным компьютерам и группам;
• Возможность создания политик для запуска приложений;
• Контроль подключения устройств на компьютерах пользователей, что можно рассматривать как часть функционала DLP-систем;
• Достаточно гибкая, многомерная и наглядная система отчётности, позволяющая в любой момент времени обнаружить как существующие проблемы в работе антивирусной сети, так и выявить проблемы, причины которых возникли некоторое время назад;
• Несколько способов развёртывания клиентов Symantec Endpoint Protection 12, некоторые из которых достаточно уникальны (рассылка писем сотрудникам по электронной почте с ссылкой на дистрибутив, передача собранного администратором дистрибутива, установка клиента на компьютеры удалённо по сети), что позволяет администратору выбрать наиболее удобный из них.
• Высокая масштабируемость продукта, позволяющая использовать его в локальных сетях предприятий различной величины, наличие базы данных собственной реализации для небольших сетей, возможность интеграции с другими популярными СУБД для крупных сетей.
• Оптимизация работы компонентов антивирусной защиты для виртуальных систем (в частности, имеется возможность исключать из сканирования файлы, входящие в состав эталонного образа виртуальной системы);
• Symantec Endpoint Protection Manager поддерживает интеграцию с другими продуктами и решениями Symantec, что может увеличить эффективность работы администратора при использовании на предприятии различных классов продуктов от Symantec;

Минусы

• Среди отрицательных черт Symantec Endpoint Protection 12 можно указать на неравноправие в поддержке различных операционных систем. В частности, отсутствует антивирусный сервер для Linux-систем при том, что серверы на многих предприятиях, особенно в последнее время, работают именно под этими операционными системами.
• При этом известно, что Linux-версии серверных приложений обычно менее требовательны к аппаратным ресурсам, чем Windows-серверы. Существующий же антивирусный сервер Symantec Endpoint Protection 12 к ресурсам, всё же, достаточно требователен.
• Также можно отметить недостаточное удобство использования политики управления приложениями – в настоящий момент невозможно управлять сразу классами приложений (браузеры, офисные приложения и пр.), что затрудняет выставление политик для программ этих классов. Например, клиент, желающий обойти ограничение на запуск браузеров, может найти и использовать браузер, не входящий в пятёрку наиболее популярных, поставив свой компьютер (а как следствие, и всю сеть) под угрозу.
• Но для таких случаев средствами Symantec Endpoint Protection существует возможность запретить использование всех приложений, разрешив только те, которые непосредственно разрешены для использования в организации. Удобство такого подхода зависит от количества разрешённых приложений.
• Можно также сказать о том, что администратор может сталкиваться с проблемами при удалённой установке клиентов на защищаемые компьютеры, или при попытке настроить отправку уведомлений о событиях на электронную почту администратора. При этом установка может завершаться неуспешно, а уведомления могут не доходить в почту, и, при этом, не всегда ясна причина происходящих трудностей. Причины данных трудностей можно определить по файлам отчётов (логам) Symantec Endpoint Protection, но возможность интерпретации логов зависит от квалификации администратора, использующего этот продукт.
• Кроме того, в этом случае администратор может ознакомиться с соответствующими разделами документации, в которых описаны типовые ситуации, при которых могут возникать данные проблемы, а также провести собственные исследования в поисках причин, возникающих в сети проблем при использовании Symantec Endponit Protection. Но разработчикам этого корпоративного продукта следует больше внимания уделить автоматической диагностике подобных ситуаций, т.к. их причины достаточно типичны, а самостоятельный их поиск может занять значительное время.

В целом же Symantec Endpoint Protection 12 можно назвать одним из продуктов-фаворитов в обеспечении безопасности локальных сетей предприятий, а в будущих версиях этого продукта наверняка будут учтены и перечисленные недостатки.