Решение Symantec Endpoint Protection 12 предназначено для защиты рабочих станций и серверов, работающих под управлением ОС Windows, Mac OS X и Linux (как 32-битных редакций, так и 64-битных). Компьютеры, работающие под управлением этих операционных систем, составляют подавляющее большинство технического парка находящегося в локальных сетях предприятий.

Основная документация по Symantec Endpoint Protection 12 переведена на русский язык и выполнена достаточно качественно. Основной документ «Руководство по внедрению Symantec Endpoint Protection и Symantec Network Access Control» имеет объём 1167 страниц. Тем не менее, это достаточно структурированный документ, в котором администратор антивирусной сети может найти ответы на большинство вопросов, возникающие в процессе развёртывания и эксплуатации Symantec Endpoint Protection 12. Для начинающих администраторов Symantec Endpoint Protection 12 предлагается документ «Руководство по началу работы с Symantec Endpoint Protection», который имеет объём 32 страницы и содержит необходимую базовую информацию по началу работы с Symantec Endpoint Protection 12. Некоторые документы, относящиеся к описанию работы с клиентами Symantec Endpoint Protection 12, предлагаются только на английском языке. Например, это касается документации на антивирусный пакет для Linux-систем.

Интерфейс клиентов для Windows полностью русифицирован. Инсталляционный пакет для Mac OS X русифицирован частично (имеются англоязычные окна), а интерфейс самого клиента доступен сугубо на английском языке. Клиент для защиты компьютеров, работающих под управлением Linux-систем, доступен только на английском языке, что, в общем-то, не должно быть препятствием для администраторов Linux-систем.

В настоящем обзоре клиентской части Symantec Endpoint Protection 12 приводится вариант установки локальных клиентов, не подключенных к антивирусному серверу (т.н. «неуправляемые клиенты»). В этом случае пользователь имеет возможность полноценно управлять антивирусной защитой на своём компьютере. Это позволяет описать все возможности по управлению защитой клиентов Symantec Endpoint Protection 12. Управление клиентами из консоли администратора будет описано во второй части обзора.

Размер дистрибутивов Symantec Endpoint Protection 12 также близок к рекордным показателям – русскоязычный дистрибутив Symantec Endpoint Protection 12.1 имеет размер 1,45 ГБ, также к этому дистрибутиву предлагается пакет с документацией и утилитами общим размером 397 МБ. Тем не менее, такие размеры дистрибутивов корпоративных программных продуктов уже не удивляют, и их загрузка вряд ли вызовет неудобство при использовании среднестатистического интернет-канала предприятия. Так что этот параметр вряд ли можно считать недостатком в современных условиях.

Системные требования

Системные требования для клиентов Symantec Endpoint Protection 12 приведены в соответствии с документом «Symantec Endpoint Protection 12.1. Спецификация: Защита конечных систем».

Клиент Symantec Endpoint Protection для Windows

Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008, Windows Small Business Server 2003, Windows Small Business Server 2008, Windows Essential Business Server 2008 или Windows Small Business Server 2011 (поддерживаются 32-битные и 64-битные редакции Windows);

32-разрядный процессор: Intel Pentium III 1 ГГц или аналогичный (рекомендуется Intel Pentium 4 или аналогичный процессор);

64-разрядный процессор: Pentium 4 2 ГГц или аналогичный (процессоры Itanium не поддерживаются);

700 МБ дискового пространства.

Клиент Symantec Endpoint Protection для Mac

Mac на базе PowerPC с Mac OS X 10.4-10.5x;

Mac на базе Intel с Mac OS X 10.4-10.6 (поддерживаются 32-битные и 64-битные редакции Mac OS X);

500 МБ свободного дискового пространства для установки;

Примечание. Поддержка актуальной версии Mac OS X 10.7 Lion была добавлена в версии SEP 12.1.1000 (RU1 - Release Update 1). Версия SEP 12.1 RU1 стала доступна 16 ноября.

Клиент Symantec AntiVirus для Linux

Debian 6.0 Squeeze, 5.0 Lenny, 4.0 Etch;

Fedora 15, 13, 12, 10;

Novell - Linux Desktop 9 (NLD9);

OES2 SP1, SP2, SP3 / OES11;

Red Hat версии 6.0 ES, 5.0 ES, 4.0 ES, 3.0 ES;

Red Hat версии 5.0 AS, 4.0 AS;

Red Hat версии 4.0 Desktop;

Red Hat Enterprise Linux 4.0 ES, 3.0 ES;

Red Hat Linux AS 3;

SuSE Linux Enterprise Desktop 11, 10;

SuSE Linux Enterprise Server 11, 10, 9;

Ubuntu 11.04, 10.04, 9.10, 8.04.

Установка клиента Symantec Endpoint Protection 12 для Windows

Опишем установку клиентов Symantec Endpoint Protection 12 для Windows на примере Windows 7 SP1 (32-битная редакция). Для Windows-серверов предлагается устанавливать такие же клиенты Symantec Endpoint Protection 12, как и для рабочих станций Windows, но, при этом, предлагается не устанавливать компоненты, использование которых на конкретном сервере не имеет смысла. Например, имеется возможность не устанавливать компонент, отвечающий за проверку почтового трафика. Для написания обзора также тестировалась установка клиента Symantec Endpoint Protection 12 на Windows Server 2008 R2, которая также прошла успешно и выглядела идентично установке на Windows 7.

Установка традиционно начинается с экрана приветствия, которое сменяет окно с текстом лицензионного соглашения, которое необходимо принять. После этого необходимо выбрать режим работы клиента. В нашем случае это будет неуправляемый клиент.

Рисунок 1: Выбор типа клиента в Symantec Endpoint Protection 12

После этого необходимо выбрать между обычной и выборочной установкой. По умолчанию не устанавливаются такие компоненты как «Сканер Outlook» и «Сканер Notes». При выборочной установке можно их активировать в случае необходимости более тесной интеграции защиты с почтовым клиентом Microsoft Outlook или при необходимости проверять трафик, генерируемый клиентом IBM Lotus Notes.

Рисунок 2: Устанавливаемые компоненты клиента Symantec Endpoint Protection 12

На следующем экране инсталляционный пакет клиента для Windows предлагает включить автоматическую (постоянную) защиту, автоматическое обновление LiveUpdate, а также, во избежание конфликтов с клиентом Symantec Endpoint Protection 12, отключить компонент Windows Defender.

Рисунок 3: Компоненты обеспечения безопасности клиента Symantec Endpoint Protection 12

Следующие два экрана установки посвящены запросу разрешения у пользователя на отправку в компанию Symantec сведений о репутации файлов, а также информации о ходе установки клиента Symantec Endpoint Protection 12 для Windows.

Рисунок 4: Завершение установки клиента Symantec Endpoint Protection 12

После нажатия кнопки «Установить» программа установки производит необходимые манипуляции, не требующие вмешательства пользователя, по окончанию которых необходимо будет лишь нажать кнопку «Готово» для завершения установки. Если установка производилась с настройками по умолчанию, то по её завершению автоматически запускается компонент LiveUpdate, который обновляет компоненты клиента Symantec Endpoint Protection 12 для Windows и определения вирусов до актуального состояния.

Рисунок 5: Компонент обновления Symantec Endpoint Protection 12 – LiveUpdate

Для того чтобы все установленные компоненты заработали в штатном режиме, необходима перезагрузка компьютера. До момента перезагрузки компоненты сетевой защиты не активны, остальные компоненты работают в полном объеме.

Компоненты клиента Symantec Endpoint Protection 12 для Windows

В главном окне интерфейса клиента Symantec Endpoint Protection 12 для Windows показана актуальная информация о состоянии защиты. Также для каждого компонента с помощью кнопки Параметры можно перейти в соответствующие настройки либо в журналы их работы.

Рисунок 6: Главное окно интерфейса в клиенте Symantec Endpoint Protection 12 для Windows

Если перейти в пункт меню «Сканировать» главного окна интерфейса, то отобразятся задания на периодическое сканирование. Также доступны ссылки на запуск активного сканирования, либо сканирования всей системы. При активном сканировании производится проверка только некоторых объектов файловой системы Windows, в которых чаще всего обнаруживаются вредоносные программы. С помощью перехода по соответствующей ссылке можно произвести глобальные настройки сканирования.

Рисунок 7: Пункт меню «Сканировать» в интерфейсе Symantec Endpoint Protection 12 для Windows

При запуске сканирования по требованию открывается окно сканера, в котором отображаются ход и результаты сканирования, а также действия, производимые с вредоносными объектами, степень риска и тип обнаруженных угроз.

Рисунок 8: Интерфейс сканера в клиенте Symantec Endpoint Protection 12 для Windows

В пункте меню «Изменить параметры» главного окна клиента сосредоточены настройки всех компонентов защиты Symantec Endpoint Protection 12 для Windows. Получить к ним доступ можно с помощью кнопки «Настроить параметры», которая отображается справа от названия каждого компонента защиты.

Рисунок 9: Меню «Изменить параметры» в интерфейсе Symantec Endpoint Protection 12 для Windows

Окно с параметрами работы компонента «Защита от вирусов и программ-шпионов» разбито на четыре вкладки:

Глобальные настройки;

Автоматическая защита;

Download Insight;

Автоматическая защита интернет-почты.

На вкладке «Глобальные настройки» можно включить или отключить использование технологий Insight и Bloodhound. При этом для технологии Insight есть возможность выбрать, какая именно информация будет использоваться для её работы – только та, которая проверена специалистами Symantec или же будет учитываться информация, поступающая от сообщества пользователей продукта. Варианты отличаются друг от друга уровнем уверенности в репутации файлов. В первом случае уровень уверенности максимальный, но информация существует о меньшем количестве файлов. Во втором случае есть совсем небольшая доля вероятности ошибки, но количество файлов, о которых есть информация, максимальное.

Рисунок 10: Вкладка «Глобальные настройки» параметров работы компонента «Защита от вирусов и программ-шпионов»

Репутационная технология Insight позволяет пропускать при сканировании известные безопасные файлы.

Технология Bloodhound является проактивной технологией, которая изолирует некоторые области файлов с целью обнаружения значительного числа неизвестных вредоносных программ. В случае попыток проникновения программ за изолируемый периметр производится анализ их действий и принимается решение о степени опасности этих программ.

Вкладка «Автоматическая защита» посвящена включению и выключению сканирования на наличие различных типов угроз. Также на этой вкладке можно настроить действия, которые применяются к обнаруженным вредоносным файлам, настроить уведомления, настроить параметры проверки дискет, а также задать настройки сканирования, собранные в окне «Дополнительные параметры автоматической защиты».

Рисунок 11: Дополнительные параметры автоматической защиты в Symantec Endpoint Protection 12 для Windows

На вкладке Download Insight можно настроить работу технологии Insight при загрузке файлов из Интернета. В частности, можно задать чувствительность работы данной технологии по 9-балльной шкале, а также минимальное количество пользователей или минимальный период «известности» файла для технологии Insight перед принятием решения.

На вкладке «Автоматическая защита интернет-почты» можно, соответственно, настроить параметры проверки почтового трафика на защищаемом компьютере. В частности, можно настроить действия с письмами, содержащими вредоносные объекты и настроить соответствующие уведомления. Опытные пользователи могут настроить работу данного компонента более тонко. Но в настройках есть и ограничения. В частности, некоторые хостинг-провайдеры часто предлагают клиентам использовать нестандартный SMTP-порт, тогда как при отправке с других ящиков пользователя может использовать стандартный SMTP-порт. В настройках же для проверяемого почтового трафика в Symantec Endpoint Protection 12 можно указать лишь один SMTP-порт. При этом следует учесть, что для клиентов корпоративного антивирусного продукта это не столь критично, как для домашних пользователей.

Рисунок 12: Дополнительные параметры почты Интернета в Symantec Endpoint Protection 12 для Windows

Параметры «Превентивной защиты от угроз» разбиты на 3 вкладки:

Обнаружение подозрительного поведения;

Обнаружение изменения системы.

Первая вкладка посвящена настройкам технологии SONAR 3. Эта технология поведенческого анализа работает в режиме реального времени и обнаруживает потенциально вредоносные приложения при их запуске или во время работы. При этом, для их определения используются как классические эвристические технологии, так и репутационные, для реализации которых функционирует глобальное облако.

Данная облачная репутационная технология, называемая Insight, призвана обнаруживать новые и неизвестные угрозы, которые невозможно выявить другими способами, и одновременно экономить вычислительные ресурсы системы (использование этой технологии, по информации вендора, позволяет на 70% снизить нагрузку на систему во время её сканирования). На данный момент система содержит анонимные данные о распространении более 3 миллиардов файлов более чем на 175 миллионах компьютерах клиентов.

Рисунок 13: Параметры превентивной защиты в Symantec Endpoint Protection 12 для Windows

Две последующие вкладки также предназначены для настроек работы технологии SONAR. Первая отвечает за реакцию на угрозы высокого и низкого уровней, а вторая отвечает за настройку реакции SONAR на изменение системных настроек, таких как изменение DNS и файла hosts.

Настройки для компонента «Защита от угроз из сети» разбиты на пять вкладок. Вкладка «Брандмауэр» содержит множество параметров, которые позволяют произвести базовую настройку сетевого экрана.

Рисунок 14: Настройки работы брандмауэра Symantec Endpoint Protection 12 для Windows

На вкладке «Предотвращение вторжений» можно включить или отключить защиту сети и защиту браузера от вторжений. На вкладке «Сеть Microsoft Windows» можно указать конкретный адаптер, либо выбрать все имеющиеся адаптеры для контроля трафика, а также заблокировать доступ к некоторым системным или пользовательским сетевым ресурсам извне. На вкладке «Уведомления» можно включить отображение уведомлений, а также звукового оповещения. Наконец, вкладка «Журналы» определяет для каждого типа журналов его максимальный размер и время хранения записей в нём.

Параметры исключений реализованы в виде единого окна, в котором можно указать известные угрозы по имени детектирования, файлов, папок, расширений, веб-доменов, а также исключения объектов из проверки технологией SONAR. Также можно исключить приложения из проверки целиком.

Рисунок 15: Настройки исключений в Symantec Endpoint Protection 12 для Windows

Последняя группа настроек объединена заголовком «Управление клиентами», и эти настройки разбиты на 4 вкладки. Вкладка «Общие» посвящена параметрам отображения интерфейса клиента Symantec Endpoint Protection 12, параметрам прокси-сервера, параметрам перезагрузки для различных ситуаций, а также управлению приложениями и устройствами. Вкладка «Защита от изменений», по сути, посвящена настройкам работы самозащиты антивируса. Вкладка LiveUpdate содержит настройки, определяющие параметры автоматического обновления продукта. Заключительная вкладка «Отправка» содержит флажки, отвечающие за необходимость отправки того или иного типа информации в облако Symantec для помощи противодействию злоумышленникам и помощи в разработке последующих версий SEP.

Рисунок 16: Параметры управления клиентами в Symantec Endpoint Protection 12 для Windows

Пункт меню «Карантин» в главном окне интерфейса Symantec Endpoint Protection 12 для Windows имеет достаточно стандартный интерфейс. Файлы, находящиеся в нём, можно восстановить, удалить, повторно просканировать и экспортировать. Также в карантин можно добавить любой подозрительный файл, либо отправить его на анализ в компанию Symantec. Параметры очистки разбиты на три вкладки: «Объекты в карантине», «Копии заражённых файлов» и «Исправленные файлы». Для каждого из типов объектов можно настроить время их хранения в карантине, а также максимальный размер хранилища.

Рисунок 17: Интерфейс карантина в клиенте Symantec Endpoint Protection 12 для Windows

Пункт меню «Показать журналы» главного окна интерфейса клиента Symantec Endpoint Protection 12 для Windows содержит кнопки, с помощью которых можно отобразить журналы, соответствующие каждому компоненту антивирусной защиты.

Рисунок 18: Список компонентов с возможностью отображения журналов их работы в Symantec Endpoint Protection 12 для Windows

В данных журналах можно найти подробную информацию о работе каждого компонента Symantec Endpoint Protection 12 для Windows и, в случае возникновения проблем в работе антивирусного клиента, достаточно быстро их локализовать. В качестве примера приведём изображение «Системного журнала».

Рисунок 19: Системный журнал в клиенте Symantec Endpoint Protection 12 для Windows

В главном окне клиента Symantec Endpoint Protection 12 для Windows также доступна кнопка Справка, щёлкнув по которой можно выбрать, помимо прочей информации, пункт «Устранение неполадок». При этом отображается окно с подробной информацией о настройках системы и антивирусного клиента. Эта информация может быть весьма полезной, например, при обращении в техническую поддержку.

Рисунок 20: Окно « Устранение неполадок» в клиенте Symantec Endpoint Protection 12 для Windows

В целом клиент Symantec Endpoint Protection 12 для Windows по функциональности можно сравнить с аналогичными домашними комплексными антивирусными продуктами для Windows от этой компании. К сожалению, не все производители могут похвастаться присутствием репутационных и HIPS-технологий в продуктах, предназначенных для использования на производстве. Часто такому применению мешает излишняя «разговорчивость» или ненадёжность таких компонентов, не позволяющая использовать их в «молчаливом» режиме или в производствах, где важна стабильность работы используемого ПО. Поэтому следует отдать антивирусному клиенту для Windows от Symantec должное – это один из лучших продуктов в своём классе.

Но не Windows единым живы современные локальные сети предприятий. Давайте же рассмотрим клиенты антивирусной защиты Symantec Endpoint Protection для стремительно набирающих в корпоративном сегменте операционных систем от компании Apple и Unix-систем.

Клиент Symantec Endpoint Protection 12 для Mac OS X

Для данного обзора производилась установка и настройка клиента в системе Mac OS X 10.6 Snow Leopard, старшей из поддерживаемых версий Mac OS X.

Установка клиента Symantec Endpoint Protection 12 для Mac OS X начинается традиционно с приветственного окна, за которым следует текст лицензионного соглашения. Согласившись с ним, мы должны ответить на вопрос, будет ли клиент управляемым или неуправляемым. В первой части обзора Symantec Endpoint Protection 12 мы условились устанавливать все клиенты в неуправляемом режиме. После этого необходимо выбрать диск для установки Symantec Endpoint Protection 12 для Mac OS X.

Рисунок 21: Выбор места установки во время установки Symantec Endpoint Protection 12 для Mac OS X

На следующем окне можно уточнить расположение файлов установки, после чего начинается, собственно, сам процесс установки, который не требует от пользователя дополнительных действий. Завершает процесс инсталляции окно об успешном её окончании.

После этого автоматически запускается компонент LiveUpdate и обновляет компоненты и вирусные базы клиента Symantec Endpoint Protection 12 для Mac OS X до актуального состояния.

Рисунок 22: LiveUpdate в составе клиента Symantec Endpoint Protection 12 для Mac OS X

Главное окно клиента Symantec Endpoint Protection 12 для Mac OS X весьма лаконичное и содержит информацию о точной версии клиента, дате последних определений вредоносных программ, кнопки «Live Update», которая запускает вручную процесс обновления, а также кнопка «Scan…», которая запускает сканер по требованию.

Рисунок 23: Главное окно клиента Symantec Endpoint Protection 12 для Mac OS X

Интерфейс сканера для Mac OS X достаточно стандартен и содержит текущую информацию о сканируемом файле, а также общую информацию обо всей сессии сканирования.

Рисунок 24: Интерфейс сканера Symantec Endpoint Protection 12 для Mac OS X

Основное окно LiveUpdate содержит три кнопки. Кнопка «Customize this Update Session» позволяет выбрать те компоненты из доступных в данный момент для обновления, которые пользователь хочет обновить. Кнопка «Update Everything Now» сразу запускает сканирование всех доступных для обновления компонентов.

Рисунок 25: Основной интерфейс LiveUpdate для Mac OS X

Последняя кнопка «Symantec Scheduler» запускает планировщик, позволяющий задать период выполнения задач обновлений и сеансов сканирования.

Рисунок 26: Интерфейс планировщика Symantec Endpoint Protection 12 для Mac OS X

На следующем рисунке показан интерфейс настройки нового задания на периодическое сканирование.

Рисунок 27: Настройка параметров задания на периодическое сканирование в Symantec Endpoint Protection 12 для Mac OS X

Окно настроек активной (постоянной) защиты Symantec Endpoint Protection 12 для Mac OS X разбиты на три вкладки. На вкладке General собраны настройки автоматического восстановления, отправки файлов в карантин и сканирования архивов. Вкладка SafeZones содержит список зон для мониторинга, либо список зон, которые будут исключены из проверки. Наконец, вкладка Mount Scan служит для выбора настроек сканирования подключаемых съёмных дисков (музыкальные/видеодиски, диски с данными, устройства iPod и другие типы дисков).

Рисунок 28: Настройки автоматической защиты в Symantec Endpoint Protection 12 для Mac OS X

В заключение описания антивирусного клиента для Mac OS X стоит сказать, что на сегодняшний момент этот компонент способен отразить существующие угрозы для этих систем. Единственное, что не хватает этому компоненту – так это такого же частого обновления вирусных баз, как и в клиенте для Windows, т.к. количество угроз в единицу времени для Mac OS X постоянно возрастает в геометрической прогрессии.

Клиент Symantec AntiVirus для Linux

Дистрибутив клиента Symantec AntiVirus (SAV) для Linux для данного обзора устанавливался на систему SUSE Linux Enterpise Server 9 (32-битная редакция).

Полноценного клиента SEP для Linux-систем нет. Для этих систем предлагается использовать обычный антивирус. Но, при этом, пользователь имеет возможность настроить получение обновления с локально установленного сервера обновлений, тем самым снизив нагрузку на интернет-канал предприятия.

Установочные пакеты для SAV Linux представлены как в rpm-, так и в deb-формате, с поддержкой 32-битных и 64-битных версий Linux.

Для использования компонентов, в состав которых входит графический интерфейс, необходимо предварительно установить ПО Java JRE версии 1.4 или выше.

В нашем случае для установки SAV на SLES 9 мы последовательно установили сначала rpm-пакет, sav-*.rpm, а затем остальные пакеты.

Клиент Symantec Endpoint Protection 12 для Linux, также как и клиент для Mac OS X, содержит в себе файловый монитор, модуль обновления и сканер по требованию. Правда, в отличие от описанных выше типов клиентов, клиент Symantec Endpoint Protection 12 для Linux не имеет сканера с графическим интерфейсом, т.е. запускать его необходимо соответствующей командой из терминала.

Все настройки клиента для Linux необходимо вносить непосредственно в конфигурационный файл. Правда, для упрощения этой задачи существует утилита SAVCorp Configuration Editor, которая предназначена для работы на Windows.

Рисунок 29: Утилита для редактирования конфигурационного файла Symantec Endpoint Protection 12 для Linux

Основное окно клиента Symantec Endpoint Protection 12 для Linux содержит лишь информацию о текущей версии клиента и поискового модуля, а также кнопку, вызывающую утилиту обновления LiveUpate.

Рисунок 30: Основное окно клиента Symantec Endpoint Protection 12 для Linux

Интерфейс утилиты обновления LiveUpdate для Linux также имеет достаточно стандартный интерфейс. В первом окне отображается список компонентов, которые требуют обновления, а в последующих – ход обновления и его результат.

Рисунок 31: Интерфейс утилиты обновления LiveUpdate в клиенте Symantec Endpoint Protection 12 для Linux

Выводы

В первой части обзора Symantec Endpoint Protection 12 мы подробно рассмотрели клиенты этого антивирусного продукта, предназначенные для работы в OS Windows, Mac OS X и Linux.

Больше всего положительных слов можно сказать о клиенте для Windows-систем. В составе актуальной версии данного корпоративного продукта присутствуют такие современные технологии как Insight, Bloodhound и SONAR, что выводит защиту данной линейки ОС на качественно новый уровень. При этом каждый из компонентов защиты можно настраивать достаточно точно для нахождения наилучшего баланса между качеством защиты, требуемыми аппаратными ресурсами, а также количеством ложных срабатываний.

Технология SONAR заслуживает более подробного упоминания. В состав 12-ой версии корпоративного антивирусного продукта от Symantec входит третье поколение данной технологии гибридного типа, которая использует как элементы репутационной оценки сканируемых объектов, так и элементы поведенческого анализа. В современных условиях, когда количество новых вредоносных объектов составляет десятки и сотни тысяч в сутки, такие технологии, как SONAR, позволяют сохранять высокое качество защиты Windows-систем.

Плюс к антивирусной составляющей клиенты Symantec Endpoint Protection 12 для Windows оснащены компонентами, позволяющими контролировать запускаемые пользователем приложения и подключаемые сменные устройства. Работа этого клиента оптимизирована для использования в виртуальных средах. Также в состав этого продукта входит функция предотвращения эксплуатации уязвимости браузеров. Ведь браузеры сегодня участвуют в подавляющем большинстве схем заражения системы. И все эти технологии вместе превращают Symantec Endpoint Protection 12 в надёжный слаженный механизм защиты от современных угроз.

Клиенты для Mac OS X и Linux не настолько развиты в настоящее время. Набор компонентов в них фактически ограничивается файловым монитором, сканером и модулем обновления.

В настоящее время Symantec Endpoint Protection 12 не поддерживает в качестве клиентской ОС Mac OS X 10.7 Lion. Но при этом поддержка данной версии Mac OS появится в ближайшие недели. В настоящее время разработка данной версии находится на стадии релиз-кандидата.

Вирусные базы в Symantec Endpoint Protection 12 для Mac OS X и для Linux-систем обновляются раз в день в отличие от клиента для Windows. Также в данных клиентах не используются механизмы определения репутации сканируемых объектов. Это было бы полезным для определения на этих платформах вредоносных программ для Windows.

В целом, Symantec Endpoint Protection 12, после анализа набора имеющихся антивирусных клиентов, можно рекомендовать к использованию в локальных сетях предприятий, основная часть компьютеров в которых работает под управлением Windows, а также имеется несколько Linux-серверов и рабочих станций под управлением Mac OS X.

Отдельно стоит сказать о лицензировании Symantec Endpoint Protection 12. Тогда как многие производители предлагают защиту серверных вариантов ОС по отдельной, завышенной цене (и при этом количество компонентов защиты в серверном варианте антивирусных агентов может быть меньше, чем в клиенте для рабочих станций), компания Symantec предлагает защиту серверных систем по той же цене, что и защиту рабочих станций. При этом на серверных вариантах систем доступен весь функционал, предназначенный для рабочих станций.

На этом мы заканчиваем обзор клиентской части Symantec Endpoint Protection 12. Во второй части обзора будет рассмотрен компонент управления Symantec Endpoint Protection Manager и компонент управления клиентами Symantec Network Access Control. В ходе освещения функциональных возможностей этих компонентов будут рассмотрены различные способы автоматического развёртывания антивирусной сети, а также возможности централизованного управления защищаемыми объектами в локальной сети предприятия.

Symantec Endpoint Protection - корпоративный продукт, обеспечивающий антивирусную защиту, защиту от программ-шпионов, защиту от сетевых атак, а также включает в себя систему по предотвращению вторжений и межсетевой экран.

Решение представляет собой управляющий сервер () и клиенты. Клиентами выступают не только сервера и рабочие станции Windows (32-х и 64-х битные), так и рабочие станции на базе Mac OS.

Рассмотрим развертывание защиты на рабочие станции Windows.

1. Открываем консоль Symantec Endpoint Protection Manager . Переходим на вкладку "Clients" и на панели задач нажимаем "Add a client" (Рис.1):

2. Откроется окно "Client Deployment Wizard" . Выбираем "New Package Deployment" и нажимаем "Next" (Рис.2):

3. В поле "Install Packages" выбираем клиент для Windows. В поле "Group" выбираем нужную нам группу (Рис.3):

4. В поле "Install Feature Sets" выбираем один из трех вариантов установки: "Full Protection for Clients" (вариант установки всех модулей защиты на клиентские ПК), "Full Protection for Servers" (вариант установки всех модулей защиты на сервера) и "Basic Protection for Servers" (Базовая защита для файловых серверов). При развертывании клиентской защиты доступны два вида установки: Computer Mode и User Mode . Этим параметром мы определяем, к какой сущности применяются политики защиты, к пользователям или к компьютерам. Выбираем нужный нам вариант и нажимаем Next (Рис.4):

5. На следующей странице нам необходимо выбрать метод установки клиента защиты. Имеем три варианта: "Web Link and Email" - создание пакета установки и отправка ссылки на этот клиент с инструкциями для пользователя по электронной почте; "Remote Push" - передача установочных файлов по сети и дальнейшая установка; "Save Package" - сохранения пакету установки для дальнейшей ручной установки. Выбираем "Remote Push" и нажимаем Next (Рис.5):

6. В окне "Computer Selection" переходим на вкладку "Search Network" и нажимаем кнопку "Find Computers" . Выбираем диапазон IP адресов и жмем Ок. Находим нужный нам компьютер и добавляем его в колонку "Install Protection Client on" и нажимаем Next (Рис.6):

7. В следующем окне нажимаем Next и отправляем пакет установки на клиент (Рис.7).

В конце 2016 года компания Symantec выпустила новую версию продукта - Symantec Endpoint Protection 14. За прошедшие пять лет в продукте появилось множество новых защитных функций, изменился интерфейс программы конфигурирования, упростился механизм развертывания и увеличилось число поддерживаемых операционных систем.

Тренд последних лет - изменение концепции защиты конечных точек, выражающийся в усилении комплексности продукта, наращивании числа защитных механизмов, объединенных общим управлением, и фокусировке на безсигнатурной защите от неизвестных угроз и уязвимостей нулевого дня. Для формализации классификации средств защиты конечных точек аналитики и журналисты ввели термин Next Generation Endpoint Protection (NGEP) - средства защиты конечных точек следующего поколения. Аналогичный процесс мы наблюдали в области сетевой защиты и переход от UTM-решений к NGFW. Основные мировые вендоры стремятся идти в ногу со временем и обновлять свои продукты для решения актуальных задач по обеспечению безопасности. Целью выхода 14 версии Symantec Endpoint Protection стал переход к классу NGEP. Также за прошедшее время компания Symantec приобрела активы компании Blue Coat, одного из лидеров на рынке сетевых устройств для кеширования данных и DPI, что позволило внедрить новые технологии во всю линейку Symantec, например прозрачный анализ зашифрованного SSL-трафика, а также увеличило общий объем репутационных баз по сетевым ресурсам и приложениям.

В 14 версии Symantec Endpoint Protection реализованы новые защитные механизмы от эксплуатации уязвимостей нулевого дня и неизвестных угроз. К ним относятся технология по защите от эксплоитов Generic Exploit Mitigation, обновленная версия модуля анализа поведения приложений в реальном времени SONAR и технология машинного обучения Advanced Machine Learning для статического анализа исполняемых файлов.

Системные требования

Системные требования Symantec Endpoint Protection Manager (включает в себя сервер управления и программу конфигурирования):

• Процессор Intel Pentium Dual-Core или эквивалент, от 8 ядер.
• Минимум 2 Гб оперативной памяти, рекомендуется от 8 Гб.
• Минимум 40 Гб свободного места на жестком диске.

Требования к программному обеспечению Symantec Endpoint Protection Manager:

• Операционные системы:
  • Windows Server 2008 (64-bit)
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
• Поддерживаемые браузеры (для веб-версии интерфейса управления):
  • Microsoft Edge (64-bit)
  • Microsoft Internet Explorer 11
  • Mozilla Firefox 5.x и позднее
  • Google Chrome 54.0.x и позднее
• Внешняя база данных (опционально, не требуется для развертывания до 5000 защищаемых компьютеров):
  • Microsoft SQL Server 2008, SP4
  • Microsoft SQL Server 2008 R2, SP3
  • Microsoft SQL Server 2012, RTM - SP3
  • Microsoft SQL Server 2014, RTM - SP2
  • Microsoft SQL Server 2016

Системные требования защитного клиента под Windows:

• Процессор Intel Pentium III (для 32-битных систем) или Intel Pentium 4 и выше.
• Минимум 512 Мб оперативной памяти, рекомендуется от 1 Гб.
• От 250 до 500 Мб свободного места на жестком диске, в зависимости от типа клиента.
• Windows Vista
• Windows 7
• Windows 8/8.1
• Windows 10
• Windows Server 2008 SP1/SP2/2008 R2
• Windows Server 2012/2012R2
• Windows Server 2012 R2
• Windows Server 2016

Системные требования защитного клиента под macOS:

• Процессор Intel Core 2 Duo и выше.
• Минимум 2 Гб оперативной памяти.
• 500 Мб свободного места на жестком диске.
• Поддерживаемые операционные системы:
• macOS X 10.9
• macOS X 10.10
• macOS X 10.11
• macOS 10.12

Системные требования защитного клиента под Linux:

• Процессор Intel Pentium 4 (2 ГГц) и выше.
• Минимум 1 Гб оперативной памяти.
• 7 Гб свободного места на жестком диске.
• Поддерживаемые дистрибутивы:
• CentOS 6U4/6U5
• Debian 6.0.5/8
• Fedora 16/17
• Oracle Linux 6U2/6U4/6U5/7
• Red Hat Enterprise Linux Server 6U2 - 6U8/7/7.1/7.2
• SUSE Linux Enterprise Server 11 SP1 - 11 SP3/12
• SUSE Linux Enterprise Desktop 11 SP1 - 11 SP3
• Ubuntu 12.04/14.04/16.04

Поддерживаемые среды виртуализации для защиты гостевой операционной системы:

• Windows Azure, Amazon WorkSpaces
• VMware WS версии 5.0 и позднее
• VMware GSX версии 3.2 и позднее
• VMware ESX версии 2.5 и позднее
• VMware ESXi 4.1 - 5.5/6.0
• Microsoft Virtual Server 2005
• Windows Server Hyper-V 2008/2012/2012 R2
• Citrix XenServer версии 5.6 и позднее
• Virtual Box

Функциональные возможности Symantec Endpoint Protection 14

Функциональные возможности можно разделить на две основные категории - защитные механизмы и возможности по централизованному управлению.

Защитные функции:

• Сетевой брандмауэр (межсетевой экран) - классический персональный сетевой фильтр с настраиваемыми правилами прохождения трафика. Правила брандмауэра включают в себя следующие параметры:
  • Название и описание
  • Действие (разрешить, запретить, выдать запрос пользователю)
  • Приложение
  • Хост отправителя и получателя
  • Служба/порт (протоколы TCP, UDP, ICMP, IP, Ethernet)
  • Аудит (запись в журнал, уведомление по e-mail)
  • Флаг серьезности срабатывания правила для ранжирования угроз
  • Сетевой адаптер (по типу или конкретной плате)
  • Время действия

Дополнительно в системе присутствуют встроенные интеллектуальные правила для протоколов DHCP, DNS, WINS и Token Ring. Также в сетевой брандмауэр входят функции по аутентификации сетевых соединений «точка-точка» с возможностью настройки списка исключений.

• Предотвращение сетевых атак - статический и эвристический анализатор сетевого трафика. Поддерживает детектирование и блокировку сканирования портов и атак типа «отказ в обслуживании», защиту от ARP-атак, маскировку типа и версии операционной системы. Сигнатурные и эвристические анализаторы позволяют защитить узел от различных сетевых атак на систему и веб-браузер, а также детектируют сетевые действия вредоносных приложений.
• Контроль приложений - возможность создания различных правил по гранулярному контролю доступа приложений к файлам и элементам реестра, а также запуску и завершению процессов и загрузки библиотек. Каждое запрещающее правило можно снабдить описанием, которое отображается пользователю при запрете доступа. При вводе путей к файлам и объектам реестра поддерживаются регулярные выражения и гибкие настройки выбора путей. Функционирует только на клиентах Windows.
• Контроль устройств - белый и черный списки устройств, настройка которых позволяет ограничить подключения устройств к компьютеру. Для клиентов Windows поддерживается возможность указать только тип устройства (например, все принтеры или все USB-устройства), для macOS дополнительно может задаваться поставщик устройства, модель и серийный номер. Контроль устройств в macOS появился только в этой версии продукта, ранее данная функция была доступна только под Windows. Контроль устройств для Linux находится в разработке и пока не реализован в продукте.
• Защита от эксплуатации уязвимостей Generic Exploit Mitigation - механизм контроля памяти Windows, позволяющий обеспечить защиту от эксплуатации уязвимостей нулевого дня в различном программном обеспечении и в операционной системе. Данный механизм работает до начала анализа исполняемых файлов системой SONAR и другими защитными компонентами, что повышает общий уровень защищенности системы и позволяет защититься от атак на само средство защиты.
• Репутационный анализ - часть механизма SONAR, который учитывает репутацию запускаемых в системе процессов, используя глобальное облако Symantec или частное облако, развернутое у заказчика. Применяется для блокировки неизвестных вредоносных программ, которые не обнаруживаются с помощью антивирусных механизмов. Функционирует только на клиентах Windows. Также репутационный анализ используется в технологии Download Insight, которая обеспечивает проверку репутации скачиваемых из сети файлов и предотвращает угрозы еще на этапе загрузки.
• Машинное обучение - расширенный механизм обнаружения вредоносных файлов статическими методами путем анализа содержимого исполняемых файлов и скриптов. База для машинного обучения насчитывает миллиарды образцов «хорошего» и «плохого» микрокода, который сравнивается с кодом анализируемых файлов. Данный механизм по принципу функционирования похож на сигнатурный анализатор, но обеспечивает защиту от еще неизвестных угроз. Функционирует только на клиентах Windows.
• Эмулятор - обновленный и оптимизированный механизм анализа исполняемых файлов в легковесной песочнице для распознавания полиморфных и запакованных вирусов. Внесенные изменения в данном модуле позволили увеличить скорость и производительность его работы, а также повысили процент успешного детектирования вредоносных исполняемых файлов. Функционирует только на клиентах Windows.
• Антивирус - классическое антивирусное решение с сигнатурными и эвристическими анализаторами. Дополнительную защиту обеспечивает драйвер раннего запуска, запуск которого производится первым в системе, что позволяет обнаружить и обезвредить вредоносы, выполненные в виде драйвера. Антивирус обладает всеми стандартными функциями - постоянная защита, сканирование по требованию, контекстное сканирование, карантин, защита электронной почты и так далее.
• Проверка целостности (контроль наличия защиты) - механизм проверки и исправления нарушений политик безопасности в корпоративной безопасности, позволяет определять наличие антивируса, брандмауэра, установки обновлений программ и операционной системы. В случае детектирования несоответствий позволяет выполнить установку необходимых средств защиты или выполнение определенных настроек. Функционирует только на клиентах Windows.
• LiveUpdate - механизм проверки обновлений продукта, сигнатурных баз и других элементов системы защиты. В версии 14 данный механизм был дополнен функциями установки исправлений ошибок в бинарных модулях продукта.
• Интеграция с Symantec Advanced Threat Protection – в клиентские приложения Symantec Endpoint Protection 14 интегрированы функции агента для Symantec Advanced Threat Protection, которые позволяют передавать метрики сетевого трафика и данные о работе приложений в облако Anti-APT для корреляции событий и выявления направленных атак.

Функции управления:

• Централизованное управление продуктом с помощью программы-клиента под Windows или веб-интерфейса (Java-апплет).
• Централизованное развертывание - подготовка пакетов установки для автоматического подключения устанавливаемого клиента к серверу. Поддерживается подготовка пакета для самостоятельной установки, создание ссылки на пакет на веб-сервере или удаленное развертывание с предоставлением данных учетной записи администратора на удаленных компьютерах.
• Централизованный мониторинг с панелью состояния защищенности, мониторами событий, журналами безопасности, уведомлениями по e-mail и другими функциями.
• Система генерации отчетов по состоянию защищенности сетевых узлов и событиям информационной безопасности.
• Централизованное управление политиками безопасности с возможностью создания различных политик и их назначения на группы защищаемых компьютеров.
• Поддержка интеграции с Active Directory и LDAP-каталогами.
• Наличие REST API, специального набора служебных функций для интеграции и взаимодействия с другими продуктами Symantec, сторонними средствами защиты, разрабатываемыми на заказ модулями и системами управления.

В клиенте Symantec Endpoint Protection 14 под Windows поддерживается три типа развертывания - стандартный, dark network и embedded/VDI. Стандартный клиент под Windows обеспечивает все функции продукта и предназначен для работы на защищаемых компьютерах внутри локальный сети организации. Dark network - версия клиента для удаленных компьютеров, не имеющих постоянного соединения с частным или глобальным облаком Symantec и сервером управления. В данном типе клиента отключены проверки, связанные с анализом потенциально небезопасных файлов в облаке, при этом остальные функции работают аналогично стандартному клиенту, включая репутационные базы. Embedded/VDI является уменьшенным в размере дистрибутивом, использующим больше возможностей облака, чем остальные клиенты, и предназначается для эксплуатации во встраиваемых системах и в инфраструктуре виртуальных рабочих столов.

Установка Symantec Endpoint Protection 14

Установка продукта не претерпела больших изменений по сравнению с версией 12. Поддерживается развертывание защитного клиента в пользовательском режиме работы без централизованного управления и сетевая структура с общим сервером. Как и раньше, для защиты компьютеров до 5000 единиц используется встроенная база данных, в крупных инфраструктурах для хранения информации используется СУБД Microsoft SQL.

Рисунок 1. Выбор конфигурации сервера управления Symantec Endpoint Protection 14

В процессе установки сервера управления выбирается схема развертывания, указываются настройки электронной почты, создается учетная запись администратора и настраиваются другие параметры. Завершающим этапом установки является загрузка обновлений через утилиту LiveUpdate.

Рисунок 2. Обновление продукта Symantec Endpoint Protection 14 во время установки

Работа с Symantec Endpoint Protection 14

В версии 14 изменился внешний вид Symantec Endpoint Protection Manager - программы управления продуктом. Программа получила новый современный дизайн, при этом сохранив общее расположение интерфейсов. Доступ к консоли управления может быть получен через Windows-приложение или в веб-браузере, при этом внешний вид интерфейса неизменен, так как для его реализации применяется общий Java-апплет.

Навигация по интерфейсу менеджера Symantec Endpoint Protection 14 осуществляется с помощью бокового меню, в котором представлены следующие разделы:

• «Главная» - панель мониторинга общего состояния системы защиты, на которой присутствует блок отображения необходимости предпринять какие-либо действия для исправления уровня защищенности инфраструктуры.
• «Мониторы» - панель дашбордов, отображающая графики возникновения событий, статистику работы системы и журналы аудита.
• «Отчеты» - система построения отчетов по статистике работы и событиям аудита.
• «Политики» - интерфейс управления политиками безопасности продукта.
• «Клиенты» - управление перечнем защищаемых компьютеров включая систему развертывания и назначения политик безопасности.
• «Админ» - административный раздел для управления учетными записями привилегированных пользователей и настройками сервера управления Symantec Endpoint Protection 14.

Рисунок 4. Главный экран системы управления Symantec Endpoint Protection 14 при доступе через веб-браузер

Мониторинг состояния системы защиты и событий информационной безопасности осуществляется из раздела «Мониторы». В данном разделе представлены четыре вкладки - «Обзор», «Журналы», «Состояние команды» и «Уведомления». На экране обзора расположены графики, отражающие состояние различных аспектов работы системы, с помощью переключателя «Тип сводки» набор выводимых данных может быть изменен. Вся статистика отражает ситуацию на момент загрузки экрана, обновить текущие данные можно с помощью ссылки «Обновление» в верхнем правом углу интерфейса.

Рисунок 5. Панель мониторов в Symantec Endpoint Protection 14

В разделе «Журналы» отображаются последние события аудита. Присутствует система фильтрации по различным полям - типу журнала, интервалу времени, версии продукта и политик, домену, группам компьютеров, IP-адресам и многим другим. Настроенные фильтры можно сохранить для дальнейшего использования. Журнал выводится постранично, для каждого события доступно детальное описание. Поддерживается экспорт событий в формате CSV.

Рисунок 6. Журналы аудита в Symantec Endpoint Protection 14

Вкладка «Состояние команды» отображает состояние и результат выполнения различных команд, в первую очередь - заданий на антивирусное сканирование и команд на включение и выключение отдельных защитных функций.

В разделе «Уведомления» настраиваются параметры и условия отправки e-mail-сообщений при возникновении в системе различных событий.

Рисунок 7. Настройка уведомлений по e-mail в Symantec Endpoint Protection 14

Система отчетов Symantec Endpoint Protection 14 в целом похожа по функциям на журналы - в продукте можно указать тип аудита для отображения в отчетах и присутствует фильтрация событий по различным параметрам. Отчет представляет собой выписку из журнала аудита в готовой к печати и экспорту (в формате HTML) форме. Присутствует возможность построения отчетов по расписанию, отправка сформированных плановых отчетов осуществляется по электронной почте.

Раздел «Политики» разбит на семь основных групп по функциональности:

• Защита от вирусов и программ-шпионов - политики и настройки антивируса, включают в себя параметры сканирования по требованию, настройки автоматической защиты, управление защитой загрузки операционной системы, подсистемы SONAR для эвристического и репутационного детектирования, а также политики сканирования электронной почты. Отдельные группы настроек позволяют управлять политиками работы антивируса в macOS и Linux.

Рисунок 8. Политики защиты от вирусов и программ-шпионов в Symantec Endpoint Protection 14

• Брандмауэр - управление правилами персонального межсетевого экрана. Отображение правил выполнено в виде плоской таблицы с перечислением всех доступных параметров. Дополнительно поддерживается настройка уведомлений, управление встроенными правилами, настройка защиты от сетевых атак, параметры маскировки и сокрытия данных об узле, а также опции интеграции с Windows и параметры аутентификации между компьютерами.

Рисунок 9. Политики брандмауэра в Symantec Endpoint Protection 14

• Предотвращение вторжений - настройки защиты от эксплойтов для популярных офисных и прикладных приложений, управление защитой от сетевых атак и настройка исключений для упрощения реагирования на ложные срабатывания.
• Управление приложениями и устройствами - политики управления доступом приложений к устройствам и объектам компьютера, а также настройка политик разрешения и запрета работы с устройствами.

Рисунок 10. Настройки политики управления приложениями в Symantec Endpoint Protection 14

• Целостность хоста - управление требованиями к проверке целостности и защиты защищаемых компьютеров.
• LiveUpdate - параметры доступа к серверам LiveUpdate, включая выбор локального или глобального сервера и настройки прокси-серверов, а также управление расписанием обновлений. Дополнительно настраивается содержимое LiveUpdate для загрузки.
• Исключения - глобальная политика исключений, в которую можно добавить разнообразные объекты для исключения из всех действующих политик безопасности. В качестве объектов поддерживаются файлы, директории, устройства, сетевые узлы, приложения и многое другое.

Для каждой группы поддерживается множество политик, их можно добавлять, удалять, заменять, копировать, экспортировать и импортировать из файла. Политики применяются к отдельным защищаемым компьютерам или к группам компьютеров.

Рисунок 11. Управление политиками безопасности в Symantec Endpoint Protection 14

В разделе «Клиенты» осуществляется управление защищаемыми компьютерами, их добавление, удаление и отправка оперативных команд. В дополнительных вкладках осуществляется назначение политик безопасности на узлы сети и управление установочными пакетами.

Рисунок 12. Управление защищаемыми компьютерами в Symantec Endpoint Protection 14

В разделе «Админ» присутствует пять разделов:

• Администраторы - управление учетными записями администраторов.
• Домены - синхронизация с Active Directory и работа с сетевыми доменами.
• Серверы - управление серверами Symantec Endpoint Protection, настройка серверов управления, баз данных и других параметров.
• Установочные пакеты - управление клиентскими дистрибутивами и их распространением на целевые системы.
• Лицензии - настройка лицензий продукта.

Рисунок 13. Управление учетными записями администраторов в Symantec Endpoint Protection 14

Интерфейсы клиентских приложений под операционные системы Windows, Linux и macOS в целом практически не изменились - стиль оформления, расположение меню и функциональные возможности, доступные обычным пользователям, практически не изменились по сравнению с версией 12.

Рисунок 14. Интерфейс агента защиты Symantec Endpoint Protection 14 под Windows

Выводы

Разработчики Symantec Endpoint Protection 14 проделали большую работу по усилению способов и средств защиты от неизвестных вредоносных программ и уязвимостей по сравнению с 12-й версией продукта. Добавление модулей защиты Generic Exploit Mitigation, обновление технологии SONAR и внедрение технологии машинного обучения Advanced Machine Learning значительно усилило позиции Symantec на рынке средств защиты конечных точек и позволило решению Endpoint Protection сохранить лидерство в своем сегменте.

Приобретение компании Blue Coat и использование их технологий в продукте также значительно повлияло на качество детектирования сетевых атак и общий уровень защищенности конечных точек с Symantec Endpoint Protection. Значительное наращивание защитных возможностей и качества функциональности продукта фактически переводит продукт Symantec Endpoint Protection на новый уровень. Новую версию данного решения можно считать полноценным продуктом класса Next Generation Endpoint Protection. Дополнительным плюсом является интеграция с Symantec Advanced Threat Protection, позволяющая интегрировать NGEP-продукт в инфраструктуру защиты от направленных атак.

Несмотря на то что компания Symantec сконцентрировала свои силы на улучшении и доработках функций защиты, дизайн и интерфейс продукта не остались забытыми. Новый внешний вид консоли Symantec Endpoint Protection Manager положительно сказался на удобстве управления и настройки продукта. Интерфейс менеджера выглядит современно, юзабилити продукта значительно улучшилось, и в целом пользовательский интерфейс оставляет приятные впечатления.

Достоинства:

• Широкий набор функций по защите от вредоносных программ и уязвимостей - машинное обучение, эмулятор исполняемых файлов, объемные репутационные базы, ранняя загрузка, анализ загружаемых по сети файлов и множество других. Гибкость и легкость управления политиками безопасности.
• Поддержка различных типов клиентских приложений под Windows для защиты различных устройств - компьютеров в локальной сети, удаленных рабочих мест, виртуальных сред и виртуальных рабочих столов (VDI).
• Встроенная система работы с журналами, отчетами и возможность настройки гибких фильтров для оперативного уведомления об угрозах по электронной почте.
• Система автоматической загрузки и применения обновлений, полностью решающая все вопросы по актуализации баз данных и исполняемых модулей продукта.
• Отсутствие необходимости развертывания базы данных для компаний с небольшим числом защищаемых компьютеров.
• Наличие интеграции с Active Directory и LDAP-каталогами, поддержка REST API для сторонней интеграции с продуктом.

Недостатки:

• Общая медлительность интерфейса управления и недостатки в его локализации - использование неуместных сокращений, несогласованные фразы, использование англоязычных терминов.
• Сокращенный функционал в клиентах под macOS и Linux, поддержка защиты Windows XP с помощью агента предыдущей версии 12.1.
• Отсутствие сертификата ФСТЭК России (ожидается в 2017 году).

Облачные компоненты

По умолчанию группы и устройства управляются Symantec Endpoint Protection Manager, а не облачным порталом

После регистрации домена Symantec Endpoint Protection Manager управляет группами и устройствами по умолчанию. В версии 14.1 по умолчанию использовался облачный портал.

Автоматическое обновление клиентов с помощью усиления защиты Symantec Endpoint Protection

Усиление защиты Symantec Endpoint Protection было введено между версиями 14.0 и 14.2. Как результат, вы не можете автоматически обновлять клиенты 14.0.x с помощью усиления защиты Symantec Endpoint Protection (SEP).

• В 14.2 можно установить усиление защиты Symantec Endpoint Protection на клиентах Windows с помощью автоматического обновления, даже если этот компонент ранее не был установлен. В пакете установки клиента, даже если установлен флажок Сохранить существующие компоненты клиента при обновлении, можно установить усиление защиты. Следует убедиться, что Усиление защиты приложений выбрано в пользовательском наборе компонентов (включено по умолчанию), иначе усиление защиты Symantec Endpoint Protection не установится.
• 14.2 поддерживает усиление защиты Symantec Endpoint Protection в 32-разрядных и 64-разрядных операционных системах Windows для настольных ПК. Более ранние клиенты поддерживают только 64-разрядные операционные системы Windows для настольных ПК. Усиление защиты Symantec Endpoint Protection не поддерживается на серверных операционных системах.

Поддержка клиентов роуминга

Клиенты роуминга время от времени подключаются к серверу управления. В версии 14.2 клиенты роуминга автоматически отправляют критические события в облачный портал, когда клиенты не могут подключиться к серверу управления. После повторного подключения клиента к серверу управления клиенты отправляют любые новые критические события на сервер управления.

Интеграция с системой аналитики содержимого Symantec

Система аналитики содержимого (CAS) определяет степень вредоносности файла с помощью облачной службы классификации репутации файлов, которая идентифицирует известные файлы. Служба использует численные оценки репутации (1–10) для указания того, являются ли файлы надежными или вредоносными. Файлы с высокой оценкой с большей вероятностью будут вредоносными. Вы можете интегрировать Symantec Endpoint Protection Manager с системой аналитики содержимого, чтобы отправлять файлы для анализа из облачного портала в CAS. Когда CAS вернет оценку репутации, вы можете выполнить действие с файлом, например заблокировать его или включить в белый список.

Для интеграции Symantec Endpoint Protection Manager с CAS откройте вкладку Администратор > Серверы > Изменить свойства сайта > Система аналитики содержимого. Чтобы отправить файлы на анализ, перейдите на облачный портал.

Репликация нескольких сайтов доступна для сервера управления, зарегистрированного на облачном портале

Теперь можно зарегистрировать сайты, которые реплицируются с партнерскими сайтами, на облачном портале. Партнерский сайт не зарегистрирован на облачном портале, но продолжает реплицировать данные с первого сайта.

Сбор данных и варианты отправки автоматически включены

После регистрации Symantec Endpoint Protection Manager на облачном портале параметры сбора данных и отправки включаются автоматически. Это происходит независимо от того, были ли эти настройки отключены ранее. Symantec рекомендует включить эти параметры, чтобы клиенты использовали преимущества AML в облаке. Управление анонимными и неанонимными данными, которые клиенты отправляют в Symantec Важность сбора данных о сервере и сведений, отправляемых клиентами, для безопасности сети

Компоненты защиты

Поддержка IPv6

Поддержка IPv6 добавлена для следующих элементов:

• Связь между клиентами Windows, Mac и Linux и Symantec Endpoint Protection Manager.
• Связь между консолью и сервером управления, например локальный или удаленный вход в Symantec Endpoint Protection Manager.
• Связь между серверами управления и внутренними серверами LiveUpdate, на которых запущен LiveUpdate Administrator.
• Критерии на основе IPv6 для многих политик, таких как пользовательские сигнатуры IPS, служба определения расположения, поставщики обновлений группы и исключения.

Брандмауэр на клиенте Symantec Endpoint Protection для Mac

Брандмауэр Symantec Endpoint Protection для Mac обеспечивает защиту с помощью брандмауэра, которая полностью интегрирована в Symantec Endpoint Protection, включая события, политики и команды. Управление и настройка правил и некоторых параметров брандмауэра выполняются в той же политике брандмауэра Symantec Endpoint Protection Manager, что и для Windows.

Брандмауэр Symantec Endpoint Protection доступен только для управляемых клиентов.

Перенаправление трафика WSS для Mac

Перенаправление трафика WSS (WTR) направляет веб-трафик с URL-адресом файла автоматической настройки прокси-сервера в службу Symantec Web Security Service. Это перенаправление трафика защищает веб-трафик клиентского компьютера. Эта версия Symantec Endpoint Protection расширяет функциональность перенаправления трафика WSS для компьютеров Mac.

Расширения перенаправления трафика WSS для Windows

В этой версии Symantec Endpoint Protection добавлена расширенная аутентификация клиента для служб Symantec Web Security Services (WSS). Это обеспечивает более детализированное управление безопасностью для перенаправления трафика WSS. Кроме того, можно настроить пересылку дополнительных данных заголовка, чтобы идентифицировать пользователя, инициировавшего трафик. Эти дополнительные данные заголовка позволяют создавать правила трафика для каждого пользователя. Для доступа к этому параметру нажмите Политики > Интеграции, откройте политику и нажмите Перенаправление трафика WSS .

Сканирования быстро обрабатывают большое количество угроз на сильно зараженных компьютерах

Когда ручное сканирование и сканирование автоматической защиты обнаруживают большое количество угроз на клиентском компьютере, сканирования могут быстро обработать угрозы. Этот агрессивный режим запускается, когда на компьютере обнаружено не менее 100 вирусов. Действием по умолчанию для этих обнаружений является Удаление. Этот агрессивный режим не обрабатывает программы-шпионы. Этот компонент не нужно настраивать; он запускается автоматически.

Компоненты сервера управления

Двухфакторная аутентификация Symantec VIP и аутентификация смарт-карты для Symantec Endpoint Protection Manager

Теперь вы можете использовать два дополнительных типа аутентификации для учетных записей администратора Symantec Endpoint Protection Manager.

• Двухфакторная аутентификация (2FA) с Symantec VIP. Когда двухфакторная аутентификация включена, необходимо предоставить уникальный одноразовый код подтверждения при входе в Symantec Endpoint Protection Manager в дополнение к используемому паролю. Этот код можно получить по голосовой почте, SMS или через бесплатное приложение Symantec VIP Access.
• Аутентификация смарт-карты. Можно настроить Symantec Endpoint Protection Manager для входа администраторов, использующих карту удостоверения личности (PIV) или общую карту доступа (CAC). Смарт-карты применяются среди администраторов, которые работают в Федеральных агентствах США или в американской армии. При аутентификации PIV/CAC вы вставляете карту в считывающее устройство и указываете PIN-код.

Новый модуль связи

Новый модуль связи заменяет существующий протокол. Оба модуля по-прежнему используют sylink.xml для установления административного соединения между Symantec Endpoint Protection Manager и клиентом. Новый модуль связи работает как с IPv6, так и с IPv4-адресами и обменивается данными с клиентами Windows, Mac и Linux.

Более строгие требования к паролю

При установке или настройке сервера управления необходимо установить надежный пароль для учетной записи системного администратора. Пароль должен содержать от 8 до 15 символов. Он должен содержать как минимум одну букву нижнего регистра , одну букву верхнего регистра , один цифровой символ и один специальный символ ["/ \ : ; | = , + * ? ].

Обновления для соответствия требованиям FIPS 140-2

Symantec Endpoint Protection 14.2 обновляет компоненты сторонних поставщиков и проверенные модули для обеспечения непрерывного соответствия требованиям к шифрованию данных федеральных стандартов обработки информации (FIPS) 140-2. Symantec Endpoint Protection 14.2 позволяет средам, соответствующим требованиям FIPS 140-2, получать доступ к облачным компонентам.

LiveUpdate загружает содержимое для модуля управления приложениями

Для исправления проблем с операционной системой, такой как Windows 10, LiveUpdate теперь загружает содержимое для модуля управления приложениями для клиентов Windows, которые используют версию 14.2. Чтобы получить доступ к содержимому управления приложениями, нажмите Администрирование > Изменить свойства сайта > вкладка LiveUpdate > Загружаемые типы содержимого. Этот параметр всегда должен быть включен.

По материалам Symantec :

• Доступен Symantec Endpoint Protection 14.2 (оф.сайт, английский)
• Примечания к релизу (оф.сайт, английский + русский)

Нашли опечатку? Нажмите Ctrl + Enter

«Symantec™ Endpoint Protection и Symantec Network Access Control: руководство по работе с клиентом Symantec™ Endpoint Protection и Symantec Network Access Control: руководство по работе...»

-- [ Страница 1 ] --

Symantec™ Endpoint

Protection и Symantec

Network Access Control:

руководство по работе с

клиентом

Symantec™ Endpoint Protection и Symantec Network

Access Control: руководство по работе с клиентом

Программное обеспечение, описанное в этой книге, поставляется с лицензионным

соглашением и может использоваться только при соблюдении условий этого

соглашения.

Версия документации: 11.00.02.01.00

Юридическая информация

© 2008 Symantec Corporation. Все права защищены.

Symantec, эмблема Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton и TruScan являются товарными знаками или зарегистрированными товарными знаками компании Symantec Corporation или ее дочерних компаний в США и других странах. Другие наименования являются товарными знаками соответствующих владельцев.

Этот продукт компании Symantec может содержать программные модули сторонних производителей, авторство которых компания Symantec должна признавать ("Программы сторонних производителей"). Некоторые Программы сторонних производителей распространяются как бесплатное ПО или ПО с открытым кодом (защищено лицензией GPL). Лицензионное соглашение, которое прилагается к этому программному обеспечению, никак не влияет на права и обязательства пользователя, указанные в лицензиях на бесплатное ПО или ПО с открытым кодом. Дополнительные сведения о Программах сторонних производителей см. в приложении "Юридическая информация о сторонних производителях" этой документации или в файле TPIP ReadMe, который прилагается к этому продукту Symantec.

Продукт, описанный в этом документе, распространяется на условиях лицензии, ограничивающей его использование, копирование, распространение и декомпиляцию/получение исходного кода. Запрещается воспроизведение любых фрагментов этого документа без письменного согласия Symantec Corporation и ее лицензиаров (если они есть).

ДОКУМЕНТАЦИЯ ПРЕДОСТАВЛЯЕТСЯ НА УСЛОВИЯХ "КАК ЕСТЬ", БЕЗ КАКИХ-ЛИБО

ЯВНЫХ И ПОДРАЗУМЕВАЕМЫХ УСЛОВИЙ, УТВЕРЖДЕНИЙ И ГАРАНТИЙ, ВКЛЮЧАЯ

ЛЮБЫЕ ГАРАНТИИ ТОВАРНОГО СОСТОЯНИЯ, ПРИГОДНОСТИ ДЛЯ КАКОЙ-ЛИБО

ЦЕЛИ ИЛИ НЕНАРУШЕНИЯ ПРАВ, ПРИ УСЛОВИИ, ЧТО ПОДОБНЫЙ ОТКАЗ НЕ

ПРОТИВОРЕЧИТ ЗАКОНУ. SYMANTEC CORPORATION НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ

ЗА КАКОЙ-ЛИБО СЛУЧАЙНЫЙ ИЛИ ОПОСРЕДОВАННЫЙ УЩЕРБ, СВЯЗАННЫЙ С

КОМПЛЕКТАЦИЕЙ ИЛИ ИСПОЛЬЗОВАНИЕМ ДАННОЙ ДОКУМЕНТАЦИИ.

СОДЕРЖАЩАЯСЯ В ДОКУМЕНТАЦИИ ИНФОРМАЦИЯ МОЖЕТ БЫТЬ ИЗМЕНЕНА БЕЗ

ПРЕДВАРИТЕЛЬНОГО УВЕДОМЛЕНИЯ.

Лицензионное программное обеспечение и Документация считаются коммерческим компьютерным программным обеспечением в соответствии с определением, данным в документе FAR 12.212, в отношении которого действуют ограниченные права, указанные в части 52.227-19 документа FAR, "Commercial Computer Software - Restricted Rights", и в части 227.7202 документа DFARS, "Rights in Commercial Computer Software or Commercial Computer Software Documentation", и последующих предписаниях.

Любое использование, изменение, воспроизводство, выполнение, демонстрация и раскрытие Лицензионного программного обеспечения и Документации должно осуществляться правительством США исключительно на условиях данного Соглашения.

Symantec Corporation 20330 Stevens Creek Blvd.

Cupertino, CA 95014

–  –  –

Глава 2 Ответ на сообщения клиента

Сведения о взаимодействии с клиентом

Действия над зараженным файлом

О вреде вирусов

Сведения об уведомлениях и предупреждениях

Реагирование на уведомления, связанные с приложениями

Действия при получении предупреждения о безопасности

Реагирование на уведомления функции управления доступом к сети

Глава 3 Управление клиентом

Сведения о функции LiveUpdate

Запуск LiveUpdate по расписанию

Запуск LiveUpdate вручную

Проверка защиты компьютера

Сведения о расположениях

Сведения о защите от изменений

Включение, выключение и настройка защиты от изменений

–  –  –

Глава 5 Основные сведения о Symantec Endpoint Protection

–  –  –

Осмотр электронной почты и автоматическая защита............. 67 Отключение автоматической защиты почты при использовании соединений с шифрованием данных

Просмотр статистики осмотра функции автоматической защиты

Просмотр списка угроз

Настройка распознавания типов файлов в функции автоматической защиты

Выключение и включение поиска и блокирования угроз безопасности в функции автоматической защиты............ 72 Настройка параметров осмотра сети

Работа с осмотрами функции защиты от вирусов и программ-шпионов

Обнаружение вирусов и угроз безопасности в клиенте Symantec Endpoint Protection

Сведения о файлах описаний

Сведения об осмотре сжатых файлов

Запуск осмотров по запросу

Настройка осмотра функции защиты от вирусов и программ-шпионов

Создание планового осмотра

Создание осмотров по запросу и осмотров при запуске............ 82 Изменение и удаление осмотров при запуске, пользовательских и плановых осмотров

Интерпретация результатов осмотра

Работа с результатами осмотра или автоматической защиты

Отправка информации об осмотрах на наличие вирусов и программ-шпионов в Symantec Security Response

Настройка действий по обработке вирусов и угроз безопасности

Советы по выбору вторых действий для вирусов

Советы по выбору вторых действий для угроз безопасности

Оценка уровня влияния угроз

Настройка уведомлений для вирусов и угроз безопасности............ 95 Настройка глобальных исключений для осмотров функции защиты от вирусов и программ-шпионов

Сведения об Изоляторе

Сведения о зараженных файлах в Изоляторе

Сведения о работе с зараженными файлами в Изоляторе

–  –  –

Раздел 3 Symantec Network Access Control................. 149 Глава 9 Основные сведения о продукте Symantec Network Access Control

Сведения о Symantec Network Access Control

Как работает программа Symantec Network Access Control

Сведения об обновлении политики целостности хоста........... 153 Выполнение проверки целостности хоста

Исправление компьютера

Просмотр журналов Symantec Network Access

Сведения о проверке

Настройка клиента для выполнения идентификации

Повторная идентификация компьютера

Раздел 4 Мониторинг и ведение журнала

Глава 10 Работа с журналами и управление ими

Общая информация о журналах

Просмотр журналов и сведений из журналов

Фильтрация событий в журналах

–  –  –

Сведения о клиенте Компания Symantec предоставляет два продукта для защиты конечных точек, которые могут использоваться совместно или по отдельности:

Symantec Endpoint Protection и Symantec Network Access Control.

Администратор установил один из этих продуктов Symantec или оба продукта на данный компьютер. Если клиент был установлен администратором, то администратор указал, какие продукты должны быть включены.

Примечание: Если администратор установил на компьютер только один из этих продуктов, то его название будет показано с строке заголовка. Если установлены оба продукта, в строке заголовка будет показано "Symantec Endpoint Protection".

Программа Symantec Endpoint Protection защищает компьютер от угроз из Интернета и угроз безопасности.

Она может выполнять следующие операции:

14 Общая информация о клиенте Symantec Сведения о клиенте

–  –  –

Сведения о значке в области уведомлений

Значок клиента в области уведомлений показывает состояние клиента:

подключен к сети или выключен, а также уровень защиты компьютера клиента. Щелкните на нем правой кнопкой, чтобы открыть список часто используемых команд. Значок находится в правом нижнем углу рабочего стола.

Примечание: На управляемых клиентах этот значок не будет показан, если администратор выключил его отображение.

Значки состояния клиента Symantec Endpoint Protection показаны в Табл. 1-1.

–  –  –

Скрытие и отображение значка в области уведомлений При необходимости значок в области уведомлений можно скрыть.

Например, это можно сделать, если в панели задач Windows недостаточно места.

Примечание: На управляемых клиентах значок в области уведомлений нельзя скрыть, если это запрещено администратором.

Как скрыть значок в области уведомлений 1 На боковой панели главного окна выберите Изменить параметры.

3 В окне "Параметры управления клиентами" на вкладке "Общие" в разделе "Параметры отображения" либо выключите "Показыватьзначок защиты Symantec в области уведомления".

4 Нажмите кнопку ОК.

Как показать значок в области уведомлений 1 На боковой панели главного окна выберите Изменить параметры.

2 На странице "Изменить параметры" в группе "Управление клиентами" выберите Настроить параметры.

3 В окне "Параметры управления клиентами" на вкладке "Общие" в разделе "Параметры отображения" включите переключатель "Показывать значок защиты Symantec в области уведомления".

4 Нажмите кнопку ОК.

Как обновляются средства защиты компьютера Сотрудники фирмы Symantec отслеживают эпидемии компьютерных вирусов для идентификации новых типов вирусов. Они также следят за комплексными угрозами, программами-шпионами и уязвимостями, которые могут быть использованы, когда компьютер подключен к Интернету.

Обнаружив угрозу, сотрудники Symantec создают сигнатуру (набор сведений об угрозе) и сохраняют ее в файле описаний. Файл описаний необходим для поиска, устранения и исправления угроз и побочных эффектов. Во время осмотра Symantec Endpoint Protection выполняет поиск известных сигнатур.

Помимо описаний, клиент должен обновлять списки разрешенных и запрещенных процессов и сигнатур атак. Список процессов помогает 18 Общая информация о клиенте Symantec Как обновляются средства защиты компьютера

–  –  –

удалении угроз. Энциклопедия расположена на веб-сайте Symantec Security

Response по адресу:

http://securityresponse.symantec.com Как обновляется защита управляемых клиентов Способ обновления описаний вирусов и угроз безопасности выбирается администратором. Обычно пользователю не нужно выполнять никаких действий для получения новых описаний.

Администратор может настроить в Symantec Endpoint Protection функцию LiveUpdate, обеспечивающую своевременное обновление средств защиты от вирусов и угроз безопасности. Программа LiveUpdate подключается к компьютеру, содержащему обновления, проверяет, требуется ли обновление клиента, и загружает необходимые файлы. Обновления могут храниться на сервере Symantec Endpoint Protection Manager во внутренней сети организации. Это также может быть сервер Symantec LiveUpdate, доступный через Интернет.

Как обновляется защита неуправляемых клиентов Администраторы не обновляют систему защиты на неуправляемых клиентах. Функция LiveUpdate позволяет обновить программы и файлы описаний. Если на неуправляемом клиенте применяются параметры LiveUpdate по умолчанию, клиент проверяет наличие обновлений на сервере Symantec один раз в неделю.

Пользователь может изменить частоту проверки обновлений с помощью LiveUpdate. Кроме того, программу LiveUpdate можно запустить вручную при эпидемии вирусов или других угроз.

См. "Сведения о функции LiveUpdate" на стр. 33.

Сведения о политиках безопасности Политика безопасности - это набор параметров безопасности, которые администратор управляемого клиента настраивает и развертывает на клиентах. Политики безопасности задают свойства клиента, включая набор параметров, которые пользователю разрешено просматривать и изменять.

Управляемые клиенты подключаются к серверу управления и автоматически получают обновленные политики безопасности. Если с доступом к сети 20 Общая информация о клиенте Symantec Источники дополнительной информации

–  –  –

Сведения о взаимодействии с клиентом Клиент работает в фоновом режиме, защищая компьютер от вредоносных действий. Иногда клиенту требуется уведомить пользователя о каких-либо действиях или получить ответ на вопрос.

Если в клиенте включена функция Symantec Endpoint Protection, возможны следующие виды взаимодействия с клиентом:

24 Ответ на сообщения клиента Действия над зараженным файлом

–  –  –

автоматической защиты показывает окно результатов при обнаружении угрозы. В процессе выполнения осмотра на экране показано окно с его результатами. На управляемых клиентах администратор может выключить эти типы уведомлений.

Если эти типы уведомлений отправляются, то в ряде случаев может потребоваться выполнить действие над зараженным файлом.

По умолчанию функция автоматической защиты и другие виды осмотров при обнаружении зараженного файла пытаются удалить из него вирус.

Если клиенту не удается исправить файл, то он регистрирует ошибку в журнале и перемещает зараженный файл в Изолятор. Локальный изолятор - это особое расположение, предназначенное для хранения зараженных файлов и системных объектов, измененных за счет побочных эффектов.

При обнаружении угроз безопасности клиент изолирует зараженные файлы и удаляет или устраняет их побочные эффекты. Если файл не удается исправить, то клиент регистрирует угрозу в журнале.

Примечание: В Изоляторе вирус теряет способность к распространению.

Файл, помещенный в Изолятор, недоступен пользователям.

Если Symantec Endpoint Protection удалось исправить зараженный вирусом файл, то пользователю не требуется выполнять дополнительные действия.

Если после изоляции зараженного угрозой файла клиенту удается удалить угрозу и исправить файл, то пользователю также не требуется выполнять никаких действий.

Однако даже в тех случаях, когда файл не требуется обрабатывать вручную, для него можно выполнить ряд дополнительных действий. Например, очищенный от вируса файл можно удалить, если у вас есть его копия.

Уведомления позволяют немедленно обрабатывать файлы. В журнале и Изоляторе можно выполнить отложенную обработку файла.

См. "Интерпретация результатов осмотра" на стр. 85.

См. "Изоляция рисков и угроз из журнала рисков и журнала угроз" на стр. 175.

См. "Сведения об Изоляторе" на стр. 100.

Как обработать зараженный файл 1 Выполните одно из следующих действий:

В окне диалога с информацией о состоянии осмотра выберите нужные файлы после завершения осмотра.

В окне результатов осмотра выберите необходимые файлы.

26 Ответ на сообщения клиента Сведения об уведомлениях и предупреждениях

–  –  –

Реагирование на уведомления, связанные с приложениями Клиент может показать уведомление с вопросом о том, следует ли разрешить запуск приложения или службы.

Такие уведомления появляются по одной из следующих причин:

Приложение запросило доступ к сетевому соединению.

–  –  –

При попытке приложения или службы обратиться к сети с локального компьютера может появиться сообщение следующего содержания:

Internet Explorer (IEXPLORE.EXE) пытается подключиться к www.symantec.ru через удаленный порт 80 (HTTP - World Wide Web).

Разрешить этой программе доступ к сети?

–  –  –

В Табл. 2-1 показаны варианты ответа на вопрос о том, следует ли разрешить или заблокировать приложение.

28 Ответ на сообщения клиента Сведения об уведомлениях и предупреждениях

–  –  –

"Программе Symantec Endpoint Protection не удалось открыть пользовательский интерфейс. Если применяется функция быстрого переключения пользователей Windows XP, убедитесь, что остальные пользователи вышли из Windows, затем выйдите из системы и войдите заново. При работе через службы терминала пользовательский интерфейс не поддерживается."

или “Программа Symantec Endpoint Protection не работала, но будет запущена.

Однако программе Symantec Endpoint Protection не удается открыть пользовательский интерфейс. Если применяется функция быстрого переключения пользователей Windows XP, убедитесь, что остальные пользователи вышли из Windows, затем выйдите из системы и войдите заново. При работе через службы терминала пользовательский интерфейс не поддерживается."

Быстрое переключение пользователей - это функция Windows, позволяющая быстро переключаться между учетными записями, не завершая сеанс работы с компьютером. С компьютером могут одновременно работать несколько пользователей и переключать сеансы, не закрывая запущенные приложения.

При переключении пользователей с помощью этой функции появляется одно из описанных выше сообщений.

Для ответа на сообщение следуйте показанным в нем инструкциям.

Реагирование на уведомления об автоматическом обновлении После автоматического обновления программы-клиента может появиться следующее уведомление:

Symantec Endpoint Protection обнаружил новую версию программы Symantec Endpoint Protection Manager.

Загрузить ее сейчас?

Как ответить на уведомление об автоматическом обновлении 1 Выполните одно из следующих действий:

Для того чтобы немедленно загрузить программу, нажмите кнопку Загрузить сейчас.

Если об обновлении необходимо напомнить через некоторое время, нажмите кнопку Напомнить позже.

2 Если после начала установки обновленной программы появится сообщение, нажмите ОК.

30 Ответ на сообщения клиента Сведения об уведомлениях и предупреждениях

–  –  –

Как реагировать на уведомления функции управления доступом к сети 1 Следуйте указаниям, показанным в окне сообщения.

2 В окне сообщения нажмите кнопку OK.

32 Ответ на сообщения клиента Сведения об уведомлениях и предупреждениях

–  –  –

Сведения о функции LiveUpdate Функция LiveUpdate загружает обновления программ и средств защиты по соединению с Интернетом.

Обновления программ служат для внесения небольших изменений и улучшений в установленные продукты. Не следует путать обновление с установкой новой версии продукта. Обычно обновления программ применяются для улучшения совместимости с операционной системой и оборудованием, повышения производительности или исправления ошибок.

Обновления программ создаются по мере необходимости.

Примечание: После установки некоторых обновлений программ требуется перезагрузить компьютер.

34 Управление клиентом Запуск LiveUpdate по расписанию

–  –  –

Запуск LiveUpdate вручную Функция LiveUpdate позволяет обновить программы и файлы описаний.

Она автоматически находит новые файлы описаний на сайте компании Symantec, а затем заменяет ими старые файлы. Для того чтобы продукты Symantec обеспечивали защиту компьютера от всех новых типов атак, им необходимо регулярно предоставлять свежую информацию. Компания Symantec предоставляет эту информацию с помощью функции LiveUpdate.

Как получить обновления с помощью функции LiveUpdate На боковой панели клиента выберите LiveUpdate.

Программа LiveUpdate подключается к серверу Symantec, проверяет наличие обновлений, а затем автоматически загружает и устанавливает их.

Проверка защиты компьютера Проверить эффективность защиты компьютера от внешних угроз можно путем осмотра компьютера. Осмотр - это важный этап, позволяющий гарантировать, что компьютер надежно защищен от возможного вторжения.

Результаты осмотра помогают правильно настроить параметры защиты клиента от атак.

Как проверить защиту компьютера 1 На боковой панели клиента выберите Состояние.

2 В разделе "Защита от угроз из сети" выберите Параметры Показать сетевые операции.

3 Выберите Сервис Проверить защиту в сети.

4 На веб-сайте Symantec Security Check выполните одно из следующих действий:

Чтобы проверить защиту компьютера от угроз из Интернета, выберите Security Scan (Осмотр системы защиты).

36 Управление клиентом Сведения о расположениях

–  –  –

Примечание: В зависимости от настроенных политик безопасности пользователю может быть предоставлен доступ к нескольким расположениям. В некоторых случаях при щелчке на расположении не происходит переход к этому расположению. Это означает, что текущая конфигурация сети не соответствует этому расположению. Например, расположение "Офис" может быть доступно только когда компьютер подключен к локальной сети (LAN). Если клиент не находится в этой сети, то переключится на расположение "Офис" нельзя.

Как изменить расположение 1 На боковой панели клиента выберите Изменить параметры.

2 На странице "Изменить параметры" в группе "Управление клиентами" выберите Настроить параметры.

3 На вкладке "Общие" в разделе "Параметры расположения" выберите расположение, на которое необходимо переключиться.

4 Нажмите кнопку OK.

Сведения о защите от изменений Функция защиты от изменений обеспечивает постоянную защиту приложений Symantec. Она пресекает атаки таких вредоносных программ, как черви, троянские компоненты, вирусы и угрозы безопасности.

Защиту от изменений можно настроить так, чтобы она выполняла одно из следующих действий:

Блокировала попытки изменения и регистрировала события в журнале

Регистрировала попытки изменения в журнале, но не блокировала их

По умолчанию защита от изменений включена как на управляемых, так и на неуправляемых клиентах (если администратор не менял параметры по умолчанию). По умолчанию при обнаружении попытки изменения функция защиты от изменений регистрирует событие в своем журнале. Ее можно настроить так, чтобы она показывала уведомление об этом событии.

Отображаемое сообщение можно задать самостоятельно. Функция защиты от изменений не уведомляет о попытках изменения, пока эта функция не будет включена вручную.

На неуправляемом клиенте можно изменить параметры защиты от изменений. На управляемом клиенте параметры можно изменить лишь в том случае, если это разрешено администратором.

38 Управление клиентом Включение, выключение и настройка защиты от изменений

–  –  –

Как настроить защиту от изменений 1 На боковой панели главного окна выберите Изменить параметры.

2 В разделе "Управление клиентом" нажмите кнопку Изменить параметры.

3 На вкладке "Защита от изменений" в списке "Действие при попытке приложения изменить или закрыть программу обеспечения безопасности Symantec" выберите Блокировать и занести событие в журнал или Только занести событие в журнал.

4 Для получения уведомлений о подозрительных действиях, обнаруженных функцией защиты от изменений, включите переключатель Показывать сообщение при обнаружении изменения.

Когда включена отправка уведомлений, будут отображаться как сообщения о процессах Windows, так и сообщения о процессах Symantec.

5 Для настройки показываемого сообщения обновите текст в поле сообщения.

6 Нажмите кнопку ОК.

40 Управление клиентом Включение, выключение и настройка защиты от изменений

–  –  –

О программе Symantec Endpoint Protection Symantec Endpoint Protection может работать как автономная программа или под управлением администратора. Работой автономной программы Symantec Endpoint Protection не управляет администратор, то есть она работает как автономный клиент.

Если вы управляете собственным компьютером, это должен быть компьютер одного из следующих типов:

Автономный компьютер, не подключенный к сети, например домашний или портативный компьютер. На компьютере должен быть установлен продукт Symantec Endpoint Protection с параметрами по умолчанию или параметрами, заранее заданными администратором.

Удаленный компьютер, применяемый для подключения к корпоративной сети. Подключение будет разрешено, если компьютер соответствует требованиям к безопасности.

Параметры Symantec Endpoint Protection по умолчанию обеспечивают защиту от угроз из сети, превентивную защиту и защиту от вирусов и программ-шпионов.. Эти параметры можно изменить в соответствии с требованиями своей организации, для повышения производительности системы или для отключения ненужных параметров.

44 Symantec Endpoint Protection – Введение Как Symantec Endpoint Protection обеспечивает защиту компьютера

–  –  –

Сведения о защите от угроз из сети В состав клиента Symantec Endpoint Protection входит настраиваемый брандмауэр, обеспечивающий защиту компьютера от вторжений и несанкционированного использования (как случайного, так и злонамеренного). Он выявляет многие известные типы атак, в том числе сканирование портов. Брандмауэр выборочно разрешает и блокирует различные сетевые службы, приложения, порты и компоненты. Для защиты компьютеров клиентов от опасного сетевого трафика предусмотрено несколько типов правил брандмауэра и настроек безопасности.

Для блокирования вторжений и вредоносных данных функция защиты от угроз из сети предоставляет брандмауэр и сигнатуры системы предотвращения вторжений. Брандмауэр блокирует или разрешает трафик, оценивая его по различным критериям.

Решение о блокировании или разрешении входящих или исходящих приложений и служб, пытающихся подключиться к компьютеру по сетевому соединению, принимается исходя из правил брандмауэра. Правила брандмауэра разрешают или блокируют входящие или исходящие приложения и трафик с определенными исходными и целевыми IP-адресами и портами. Настройки безопасности позволяют выявлять стандартные типы атак, отправлять уведомления об атаках по электронной почте, показывать настраиваемое сообщение и выполнять другие задачи для обеспечения безопасности.

Общие сведения о превентивной защите от угроз В системе превентивного поиска угроз применяется технология осмотра TruScan, которая обеспечивает своевременную защиту компьютера от угроз неизвестных типов. Используя эвристические методы осмотра, она анализирует структуру программы, ее поведение и другие характеристики, сравнивая их с характеристиками вирусов. Эта функция блокирует большинство таких угроз, как черви массовой рассылки и макровирусы.

46 Symantec Endpoint Protection – Введение Как Symantec Endpoint Protection обеспечивает защиту компьютера

–  –  –

Сведения о вирусах и угрозах безопасности Клиент Symantec Endpoint Protection способен находить как вирусы, так и другие угрозы безопасности, такие как программы-шпионы и программы показа рекламы. Такие угрозы могут подвергать риску не только компьютер, но и всю сеть. При осмотрах антивирусной защиты и защиты от программ-шпионов также выявляются угрозы типа rootkit на уровне ядра ОС. Rootkit - это программа, которая пытается скрыть себя от операционной системы компьютера и может выполнять вредоносные действия.

По умолчанию все типы операций осмотра для защиты от вирусов и программ-шпионов, в том числе осмотры в рамках автоматической защиты, 48 Основные сведения о Symantec Endpoint Protection Сведения о вирусах и угрозах безопасности

–  –  –

Программы показа Отдельные или прикрепленные программы, которые втайне собирают через рекламы Интернет информацию о пользователе и отправляют ее на другой компьютер.

Такие программы могут отслеживать привычки пользователя при работе в Интернете в целях выбора наиболее подходящей рекламы. Кроме того, они используются для рассылки рекламы.

–  –  –

Программы набора Программы, без ведома и разрешения пользователя использующие компьютер номера для набора платных номеров и регистрации на FTP-серверах. Как правило, такие программы пользуются платными услугами.

–  –  –

Другие Любые другие угрозы безопасности, не соответствующие точному определению вируса, троянского коня, червя и прочих категорий угроз.

Программы Программы, которые обеспечивают доступ через Интернет с других компьютеров, удаленного доступа что позволяет им собирать информацию, атаковать или изменять ваш компьютер.

Некоторые программы удаленного доступа могут быть нужны для работы. Процесс может установить такую программу без вашего ведома. Программа может наносить вред, в частности, изменяя исходную программу удаленного доступа.

50 Основные сведения о Symantec Endpoint Protection Сведения о вирусах и угрозах безопасности

–  –  –

Каким образом клиент реагирует на обнаружение вирусов и угроз безопасности Клиент защищает компьютер от вирусов и угроз безопасности, поступающих из любых источников. В число таких источников входят жесткие диски, дискеты, а также сети. Обеспечивается защита компьютеров от вирусов и других угроз, распространяющихся с помощью вложений электронной почты и некоторыми другими способами. Например, угроза безопасности может быть установлена на компьютере без вашего ведома во время работы в Интернете.

52 Основные сведения о Symantec Endpoint Protection Включение и выключение компонентов защиты

–  –  –

Включение и выключение защиты от вирусов и программ-шпионов По умолчанию автоматическая защита от вирусов и других угроз безопасности загружается при запуске системы. Функция автоматической защиты проверяет программы на наличие вирусов и угроз безопасности при их запуске. Кроме того, она регистрирует все операции, которые могут указывать на наличие вируса или угрозы безопасности. При обнаружении вируса, вирусоподобных действий (событий, которые могут быть результатом наличия вируса) или угрозы безопасности функция автоматической защиты предупреждает об этом пользователя.

Функцию автоматической защиты файлов и процессов можно включать и выключать по своему усмотрению. Кроме того, можно независимо включать и выключать автоматическую защиту почты Интернета и почтовых программ для рабочих групп. В управляемой среде соответствующие параметры могут быть заблокированы администратором.

Когда может потребоваться выключить автоматическую защиту В некоторых случаях функция автоматической защиты может предупреждать о действиях, указывающих на наличие вируса, хотя известно, что эти действия не являются следствием работы вируса. Например, при установке новых программ может появиться предупреждение. Для того чтобы избежать вывода предупреждений, можно временно отключить автоматическую защиту перед установкой других программ. Обязательно включите автоматическую защиту сразу после завершения задачи, чтобы компьютер оставался защищенным от вирусов.

Даже если автоматическая защита выключена, все другие запланированные вами или администратором типы осмотров (плановые или при запуске) будут выполняться как обычно.

Администратор может запретить выключение автоматической защиты. Он также может указать, что после временного выключения автоматическая защита должна автоматически восстанавливаться через указанный период времени.

Сведения о состоянии автоматической защиты и защиты от вирусов и программ-шпионов Параметры автоматической защиты влияют на состояние защиты от вирусов и программ-шпионов, показанное в интерфейсе клиента и в области уведомлений Windows.

54 Основные сведения о Symantec Endpoint Protection Включение и выключение компонентов защиты

–  –  –

Если защиту разрешено выключать, то ее можно повторно включать в любое время. Администратору дано право в любой момент включать и выключать защиту, в том числе переопределять состояние защиты, установленное пользователем.

См. "Сведения об управлении защитой от угроз из сети" на стр. 121.

56 Основные сведения о Symantec Endpoint Protection Применение клиента вместе с Центром обеспечения безопасности Windows

–  –  –

Продукт Symantec Endpoint Protection установлен с полным Включена (отмечено набором компонентов защиты зеленым цветом) Продукт Symantec Endpoint Protection установлен, но Устарела (отмечено описания вирусов и угроз устарели красным цветом) Продукт Symantec Endpoint Protection установлен, но Выключена (отмечено автоматическая защита файловой системы выключена красным цветом) Продукт Symantec Endpoint Protection установлен, но Выключена (отмечено автоматическая защита файловой системы выключена, а красным цветом) описания вирусов и угроз устарели Продукт Symantec Endpoint Protection установлен, но Выключена (отмечено функция Rtvscan была вручную выключена красным цветом) В Табл. 5-3 указано состояние брандмауэра Symantec Endpoint Protection, которое может быть показано в WSC.

–  –  –

Брандмауэр Symantec не установлен или выключен, либо Включена (отмечено установлен и включен другой брандмауэр зеленым цветом) Примечание: Symantec Endpoint Protection по умолчанию выключает брандмауэр Windows.

58 Основные сведения о Symantec Endpoint Protection Приостановка и задержка осмотра

–  –  –

Как приостановить осмотр 1 Во время выполнения осмотра щелкните на значке «Приостановить»

в окне осмотра.

Осмотр, запущенный пользователем, будет остановлен немедленно, а окно осмотра останется открытым для повторного запуска.

Если осмотр был запущен администратором, появится окно «Приостановка планового осмотра».

2 В окне «Приостановка планового осмотра» выберите Приостановить.

Осмотры, запланированные администратором, останавливаются немедленно; окно осмотра остается открытым для повторного запуска осмотра.

3 Для продолжения осмотра щелкните на значке «Запустить» в окне осмотра.

60 Основные сведения о Symantec Endpoint Protection Приостановка и задержка осмотра

–  –  –

Работа с осмотрами функции защиты от вирусов и программ-шпионов Настройка осмотра функции защиты от вирусов и программ-шпионов

–  –  –

Отправка информации об осмотрах на наличие вирусов и программ-шпионов в Symantec Security Response Настройка действий по обработке вирусов и угроз безопасности Настройка уведомлений для вирусов и угроз безопасности Настройка глобальных исключений для осмотров функции защиты от вирусов и программ-шпионов

–  –  –

Обычно Symantec не рекомендует исключать файлы из осмотра. Однако в случае исключения файла "Входящие" клиент сохраняет возможность выявлять любые вирусы при открытии почтовых сообщений. В случае обнаружения вируса при открытии почтового сообщения клиент безопасно изолирует или удаляет сообщение.

Для исключения файла настройте глобальное исключение.

Сведения об осмотре файлов с определенными расширениями Клиент может осматривать на компьютере только файлы с определенными расширениями.

Можно выбрать один из следующих типов расширений файлов:

–  –  –

Программы Включают динамически компонуемые библиотеки (.dll), командные файлы (.com), исполняемые файлы (.exe) и другие программные файлы. Клиент проверяет программные файлы на наличие программных вирусов.

Как добавить исключения файлов в список осматриваемых файлов функции автоматической защиты 1 На боковой панели клиента выберите Изменить параметры.

3 В окне Параметры защиты от вирусов и программ-шпионов откройте вкладку Автоматическая защита файловой системы, затем найдите раздел Типы файлов и выберите Выбрано.

4 Нажмите кнопку Расширения.

5 Введите расширение в текстовом поле и нажмите кнопку Добавить.

6 Повторите шаг 5 необходимое количество раз и нажмите OK.

7 Нажмите кнопку ОК.

64 Управление защитой от вирусов и программ-шпионов Общие сведения о защите от вирусов и программ-шпионов

–  –  –

Корпоративная политика безопасности может допускать использование программы, которая распознается клиентом как угроза. В этом случае исключите папки данной программы.

Для исключения объектов из осмотров настраиваются глобальные исключения. Эти исключения действуют во всех операциях осмотра функции защиты от вирусов и программ-шпионов. Некоторые исключения могут быть настроены администратором. Такие исключения имеют более высокий приоритет, чем исключения, настроенные пользователем.

См. "Настройка глобальных исключений для осмотров функции защиты от вирусов и программ-шпионов" на стр. 98.

Предупреждение! Исключения следует выбирать аккуратно. Если исключить файл из осмотра, то его заражение вирусом останется незамеченным для клиента. Это создаст угрозу безопасности системы.

–  –  –

Действия клиента Symantec Endpoint Protection при обнаружении вируса или угрозы безопасности Действия клиента при обнаружении зараженного файла зависят от типа угрозы. Вначале клиент пытается выполнить первое действие, настроенное для соответствующего типа угрозы, а в случае неудачи - второе действие.

66 Управление защитой от вирусов и программ-шпионов Сведения об автоматической защите

–  –  –

Осмотр на наличие угроз безопасности можно выключить в настройках автоматической защиты.

См. "Выключение и включение поиска и блокирования угроз безопасности в функции автоматической защиты " на стр. 72.

В случае обнаружения процесса, постоянно загружающего угрозу безопасности на компьютер, функция автоматической защиты показывает уведомление и заносит в журнал сведения о найденной угрозе. (В функции автоматической защиты должна быть настроена отправка уведомлений.) Если процесс продолжает загружать ту же угрозу безопасности, то будет создано несколько одинаковых уведомлений и записей журнала. Для того чтобы избежать излишнего числа повторных уведомлений и записей журнала, функция автоматической защиты отправляет максимум три уведомления об одной угрозе. Аналогично, функция автоматической защиты заносит максимум три записи журнала об одной угрозе.

В ряде случаев функция автоматической защиты не прекращает отправку уведомлений и запись событий в журнал.

Это происходит в следующих случаях:

На компьютерах клиентов пользователь или администратор выключил блокирование установки угроз безопасности (по умолчанию этот параметр включен).

Для угрозы безопасности, которую загружает процесс, настроено действие "Не исправлять".

–  –  –

Отключение автоматической защиты почты при использовании соединений с шифрованием данных Электронная почта может передаваться по безопасному соединению. По умолчанию функция автоматической защиты почты Интернета поддерживает работу с зашифрованными паролями и почтовыми сообщениями, передаваемыми по соединениям POP3 и SMTP. Если POP3 или SMTP применяется совместно с SSL, то клиент распознает безопасные соединения, но не осматривает зашифрованные сообщения.

Хотя функция автоматической защиты не осматривает почтовые сообщения, передаваемые по безопасным соединениям, она продолжает защищать компьютер от угроз из вложений. Она осматривает почтовые вложения при их сохранении на жестком диске.

Примечание: Из-за возможного снижения производительности функция автоматической защиты почты Интернета не поддерживается для POP3 в операционных системах сервера.

При необходимости можно выключить поддержку зашифрованных почтовых сообщений. В этом случае функция автоматической защиты осматривает входящие и исходящие незашифрованные сообщения и блокирует всю зашифрованную почту. Для того чтобы снова получить возможность отправлять зашифрованную почту, необходимо не только активировать соответствующие параметры автоматической защиты, но и перезапустить почтовый клиент.

Примечание: Отключение поддержки соединений с шифрованием в параметрах автоматической защиты вступает в силу только после повторного входа в Windows. Для того чтобы изменение вступило в силу немедленно, заново войдите в систему.

70 Управление защитой от вирусов и программ-шпионов Сведения об автоматической защите

–  –  –

Обычно вирусы заражают только определенные типы файлов. Однако выбор только некоторых расширений для осмотра в рамках автоматической защиты ослабляет защиту компьютера. В список расширений по умолчанию включены файлы, вероятность заражения которых вирусами наиболее велика.

Функция автоматической защиты осматривает все исполняемые файлы, а также все файлы.exe и.doc. Она правильно определяет тип файла даже в том случае, если расширение файла было изменено вирусом. Например, она будет осматривать файлы.doc, даже если их расширение было изменено вирусом.

Для обеспечения максимально надежной защиты компьютера от вирусов и угроз безопасности функция автоматической защиты должна осматривать все типы файлов.

Как настроить распознавание типов файлов в функции автоматической защиты 1 На боковой панели клиента выберите Изменить параметры.

2 В разделе "Защита от вирусов и программ-шпионов" нажмите кнопку Изменить параметры.

3 Откройте вкладку "Автоматическая защита" и выполните одно из следующих действий в разделе "Типы файлов":

Выберите Все типы, чтобы осматривались все файлы.

–  –  –

4 Если был отмечен пункт "Выбранные", то выберите или отмените выбор параметра Определять типы файлов по содержимому.

5 Нажмите кнопку OK.

72 Управление защитой от вирусов и программ-шпионов Сведения об автоматической защите

–  –  –

Настройка параметров осмотра сети

В конфигурации осмотра сети можно задать следующие параметры:

Следует ли хранить информацию о сетевых файлах, проверенных функцией автоматической защиты, в кэше.

По умолчанию функция автоматической защиты осматривает файлы при записи файла на удаленный компьютер. Кроме того, она осматривает файлы, загружаемые на локальный компьютер с удаленных компьютеров.

Однако функция автоматической защиты не всегда выполняет осмотр при чтении файла на удаленном компьютере. По умолчанию функция автоматической защиты доверяет удаленным функциям автоматической защиты. Если параметр доверия включен на обоих компьютерах, то локальная функция автоматической защиты проверяет параметры функции автоматической защиты на удаленном компьютере. Если эти параметры обеспечивают уровень безопасности не ниже, чем локальные параметры, то локальная функция автоматической защиты доверяет удаленной функции автоматической защиты. В этом случае локальная функция автоматической защиты не осматривает файлы, считываемые с удаленного компьютера. Она полагает, что удаленная функция автоматической защиты уже осмотрела файлы.

Примечание: Локальная функция автоматической защиты всегда осматривает файлы, копируемые с удаленного компьютера.

По умолчанию параметр доверия включен. Выключение этой функции может привести к снижению скорости работы сети.

Как отказать в доверии удаленным версиям функции автоматической защиты 1 На боковой панели клиента выберите Изменить параметры.

2 В разделе "Защита от вирусов и программ-шпионов" нажмите кнопку Изменить параметры.

3 На вкладке "Автоматическая защита файловой системы" нажмите кнопку Дополнительно.

74 Управление защитой от вирусов и программ-шпионов Сведения об автоматической защите

–  –  –

Работа с осмотрами функции защиты от вирусов и программ-шпионов Функция автоматической защиты является самым мощным оружием против вирусов и угроз безопасности. Однако помимо автоматической защиты в функции защиты от вирусов и программ-шпионов предусмотрен ряд других типов осмотров, позволяющих еще больше обезопасить компьютер.

Доступные типы осмотров описаны в Табл. 6-1

–  –  –

Пользовательский Осмотр указанного набора файлов в произвольное время.

Если включена автоматическая защита, то для обеспечения высокого уровня безопасности достаточно ежедневно выполнять активный осмотр и еженедельно выполнять плановый осмотр всех файлов. Если компьютер часто атакуется вирусами, то рекомендуется добавить полный осмотр при запуске или ежедневный плановый осмотр.

Дополнительно можно настроить периодичность выполнения осмотра, который выполняет поиск подозрительных действий, а не известных угроз.

См. "Настройка частоты запуска превентивного поиска угроз TruScan" на стр. 112.

76 Управление защитой от вирусов и программ-шпионов Работа с осмотрами функции защиты от вирусов и программ-шпионов

–  –  –

Сведения о файлах описаний Вирусы содержат фрагменты кода, которые, будучи выделенными, могут использоваться в качестве шаблонов. Соответствие этим шаблонам может прослеживаться в зараженных файлах. Шаблоны иногда называются сигнатурами. Аналогичные сигнатуры распознаются в угрозах безопасности, таких как программы показа рекламы и программы-шпионы.

Файлы описаний содержат список известных сигнатур вирусов, не включающих в себя вредоносный код, и известных сигнатур угроз безопасности. Модуль осмотра выполняет поиск известных сигнатур из файлов описаний в хранящихся на компьютере файлах. Файл считается зараженным, если было обнаружено совпадение с шаблоном вируса. С помощью файлов описаний клиент определяет вирус, заразивший файл, и способ устранения его побочных эффектов. При обнаружении угрозы безопасности клиент использует файлы описаний для изоляции угрозы и устранения ее побочных эффектов.

В компьютерной среде регулярно появляются новые вирусы и угрозы. В связи с этим очень важно, чтобы на компьютере были установлены текущие файлы описаний. Это позволит клиенту находить и удалять даже те вирусы и угрозы, которые появились совсем недавно.

78 Управление защитой от вирусов и программ-шпионов Работа с осмотрами функции защиты от вирусов и программ-шпионов

–  –  –

Настройка осмотра функции защиты от вирусов и программ-шпионов Для защиты компьютера от вирусов и угроз безопасности можно настроить различные типы осмотров.

Создание планового осмотра Плановые осмотры - это важный компонент защиты от угроз безопасности.

Для того чтобы компьютер был надежно защищен от вирусов и угроз безопасности, плановый осмотр должен выполняться не реже раза в неделю.

Созданные осмотры показаны в окне "Осмотреть на наличие угроз".

Примечание: Если плановый осмотр был создан администратором, то он будет показан в списке осмотров в окне "Осмотреть на наличие угроз".

–  –  –

Выборочный Проверяет отдельные области компьютера на наличие вирусов и угроз безопасности.

80 Управление защитой от вирусов и программ-шпионов Настройка осмотра функции защиты от вирусов и программ-шпионов

–  –  –

Параметры производительности Параметры миграции между разными типами памяти 11 В разделе "Окно диалога" разверните выпадающий список, выберите пункт Показывать ход выполнения осмотра и нажмите кнопку OK.

12 В окне параметров осмотра можно дополнительно изменить следующие параметры:

–  –  –

14 В окне "Когда выполнять осмотр" выберите пункт В указанное время и нажмите кнопку Далее.

15 В окне планирования укажите периодичность и время выполнения осмотра.

16 Нажмите кнопку Дополнительно.

17 В окне дополнительных параметров расписания выполните следующие действия:

Выберите Повторить пропущенные осмотры, затем укажите значение в поле Максимальное количество дней ожидания перед повторением осмотра.

Например, можно разрешить запуск еженедельного осмотра в течение трех дней после запланированного времени.

Включите или выключите переключатель Выполнять осмотр, даже если ни один пользователь не вошел в систему.

Если в то время, на которое запланирован осмотр, пользователь работает в системе, то осмотр выполняется в любом случае, независимо от значения этого параметра.

Похожие работы:

«Социальная помощь несовершеннолетним, пострадавшим в ходе вооруженных конфликтов: в рамках целевой программы Дети России подпрограммы Профилактика безнадзорности и правонарушений несовершеннолетних: информационно-аналитические материалы по результатам опытно-экспериментального проекта, 2005, 5902079403, 9785902079408, СевероКавказский соц. ин-т, 2005 Опубликовано: 7th August 2010 Социальная помощь несовершеннолетним, пострадавшим в ходе вооруженных конфликтов: в рамках целевой программы Дети...»

«Ярославский филиал Образовательного учреждения профсоюзов высшего образования «Академия труда и социальных отношений» УТВЕРЖДЕНО Ученым советом протокол № 8 от 26 марта 2015г. Председатель Ученого совета Тюрин С. Б. 01 апреля 2015 г. ОТЧЕТ О САМООБСЛЕДОВАНИИ Ярославского филиала Образовательного учреждения профсоюзов высшего образования «Академия труда и социальных отношений» Ярославль 2015 г. СОДЕРЖАНИЕ I. АНАЛИТИЧЕСКАЯ ЧАСТЬ. Введение.. 1. Организационно-правовое обеспечение деятельности...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Ярославский государственный университет им. П.Г. Демидова Юридический факультет УТВЕРЖДАЮ Проректор по развитию образования _Е.В. Сапир _2012 г. Рабочая программа дисциплины послевузовского профессионального образования (аспирантура) Теория и история права и государства; история учений о праве и государстве по специальности научных работников 12.00.01 Теория и история права и государства; история учений о праве и государстве Ярославль 2012...»

«Государственное автономное образовательное учреждение высшего профессионального образования «Московский городской университет управления Правительства Москвы» Институт высшего профессионального образования Кафедра юриспруденции УТВЕРЖДАЮ Проректор по учебной и научной работе А.А. Александров «_»_ 2015 г. Рабочая программа учебной дисциплины «Семейное право» для студентов направления подготовки 40.03.01 «Юриспруденция» профиль «Правовое обеспечение государственного и муниципального управления в...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Кемеровский государственный университет» Новокузнецкий институт (филиал) Факультет юридический УТВЕРЖДАЮ Декан факультета А.Б. Диваев «16» марта 2015 г. РАБОЧАЯ ПРОГРАММА ДИСЦИПЛИНЫ Б3.В.ОД.8 Криминология Направление 40.03.01 «Юриспруденция» Направленность (профиль) подготовки Государственно-правовой, гражданско-правовой, уголовно-правовой...»

«1. Цели освоения дисциплины Научить студента ориентироваться в вузовской библиотеке, познакомить его с системой справочной и научной литературы, обучить методике поиска документов по интересующей теме с помощью информационно-библиографических пособий, каталогов, картотек и баз данных, привить культуру чтения значит не только помочь ему обучаться в вузе сегодня, но и подготовить будущего специалиста к самостоятельной работе завтра 2.Место дисциплины в структуре ООП бакалавриата Курс относится к...»

«Федеральное государственное бюджетное образовательное учреждение высшего образования «Российская правовая академия Министерства юстиции Российской Федерации» Северный (г. Петрозаводск) филиал (СФ РПА Минюста России) Юридический факультет УТВЕРЖДАЮ Директор филиала Е.Е. Петров Рабочая программа учебной дисциплины Правовые и организационные основы деятельности службы судебных приставов НАПРАВЛЕНИЕ ПОДГОТОВКИ 40.05.02 – ПРАВООХРАНИТЕЛЬНАЯ ДЕЯТЕЛЬНОСТЬ КВАЛИФИКАЦИЯ (степень) – специалист КАФЕДРА...»

« ДИСЦИПЛИНЫ АДВОКАТУРА Направление подготовки 030900.62 «Юриспруденция» Квалификация (степень) выпускника – бакалавр Форма обучения – очная, заочная Санкт-Петербург Разработчик: Кандидат юридических наук, доцент Шадрина Е. Г. Рабочая программа по дисциплине «Адвокатура» составлена в соответствии с требованиями федеральных государственных...»

«АССОЦИИРОВАННАЯ ШКОЛА Ю Н Е С К О ОАНО ГИМНАЗИЯ «ЭЛЛАДА» во имя святых Кирилла и Мефодия городская инновационная площадка по учебно-исследовательской деятельности Согласовано Согласовано на заседании ЛДНО и ПП Утверждено Зам директора по УВР Директор ОАНО Гимназии «Эллада» _ Савченко И.А. «» августа 2014 Сидоров В.А. РАБОЧАЯ ПРОГРАММА Название предмета Основы православной веры Класс 1 «А» Срок реализации программы 2015-2016 учебный год Ф.И.О. учителя, категория Плешинец Инора Машрабовна...»

« института на 2013-2018 годы и Плана мероприятий («дорожная карта») «Изменения в системе подготовки кадров МВД России, направленные на повышение эффективности образования и науки» Реализация мероприятий, предусмотренных Посланием Президента России Федеральному Собранию Российской Федерации, Директивой МВД России от 12.11.2013 № 2дсп «О...»

«Введение 1. В целях самообследования и в соответствии с Приказами Министерства образования и науки Российской Федерации от 14 июня 2013 года № 462 в Муниципальном автономном дошкольном образовательном учреждении «Центр развития ребенка «Умка» проведен анализ деятельности образовательного учреждения в период с 19.01.2015 по 31.05.2015.Самоанализ осуществлялся в три этапа: I этап. Ознакомление сотрудников и родителей с целями самоанализа. II этап. Сбор информации о работе дошкольной организации....»

«СОДЕРЖАНИЕ ОБЩИЕ ПОЛОЖЕНИЯ ОБЛАСТЬ ПРИМЕНЕНИЯ И СФЕРА ДЕЙСТВИЯ ПРОГРАММЫ НОРМАТИВНЫЕ ДОКУМЕНТЫ ТРЕБОВАНИЯ К УРОВНЮ ЗНАНИЙ ЛИЦ, ПОСТУПАЮЩИХ В МАГИСТРАТУРУ ИНСТИТУТА ЗАКОНОДАТЕЛЬСТВА И СРАВНИТЕЛЬНОГО ПРАВОВОЕДЕНИЯ ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ ПОРЯДОК ПРОВЕДЕНИЯ ПИСЬМЕННОГО КОМПЛЕКСНОГО МЕЖДИСЦИПЛИНАРНОГО ВСТУПИТЕЛЬНОГО ЭКЗАМЕНА 1.1. О КРИТЕРИЯХ ОЦЕНКИ РЕЗУЛЬТАТОВ СДАЧИ ПИСЬМЕННОГО КОМПЛЕКСНОГО МЕЖДИСЦИПЛИНАРНОГО ВСТУПИТЕЛЬНОГО ЭКЗАМЕНА 1.2. ЦЕЛЬ ПРОГРАММЫ 1.3. РАЗДЕЛ 1. ТЕОРИЯ...»

« Зав. кафедрой Д.ю.н., проф. Коломытцев Н.А. «_»_20_г. КОНСТИТУЦИОННОЕ (государственное) ПРАВО РОССИИ РАБОЧАЯ ПРОГРАММА Направление подготовки 030900.62 «Юриспруденция» Квалификация (степень) выпускника – бакалавр Форма обучения – очная, заочная Санкт-Петербург Разработчики: доктор юридических наук, профессор ВИНОКУРОВ Владимир Анатольевич,...»

« Н.В.Микляева В современной науке и практике для описания образовательного процесса, в котором дети с условной нормой развития и дети с особыми образовательными потребностями и ограниченными возможностями здоровья обучаются и воспитываются вместе, используются такие термины, как интеграция, мэйнстриминг, инклюзия. Термин «интеграция»...»

«Михаил Поздняков Практическая реализация принципа открытости правосудия в Российской Федерации Санкт-Петербург Проблемы практической реализации принципа открытости правосудия в Российской Федерации. - СПб: Институт проблем правоприменения при Европейском университете в Санкт-Петербурге, 2013. - 49 стр. Автор: Михаил Львович Поздняков – научный сотрудник Института проблем правоприменения. Институт проблем правоприменения (The Institute for the Rule of Law) создан в 2009 году в составе...»

«СОДЕРЖАНИЕ Общие сведения об образовательном учреждении 4 1. Общая характеристика образовательного учреждения. 1.1 Организационно-правовое обеспечение образовательной деятельности колледжа. 1.2 Особые цели и отличительные черты образовательного учреждения, ожидаемые 1.3 результаты деятельности. Структура Колледжа и система его управления 2. Структура и содержание подготовки специалистов 9 3. Направления подготовки и формирование контингента, динамика численности. 3.1 Организация и содержание...»

«МИНОБРНАУКИ РОССИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ» (ФГБОУ ВПО «ВГУ») УТВЕРЖДАЮ Заведующий кафедрой финансового права _ Сенцова М. В. 02.09.2013 г. РАБОЧАЯ ПРОГРАММА УЧЕБНОЙ ДИСЦИПЛИНЫ Б.3.Б.14 ФИНАНСОВОЕ ПРАВО 1. Шифр и наименование направления подготовки / специальности: 030900 Юриспруденция 2. Профиль подготовки: Государственное право 3. Квалификация (степень) выпускника: бакалавр...»

«ГОСУДАРСТВЕННОЕ И МУНИЦИПАЛЬНОЕ УПРАВЛЕНИЕ В СФЕРЕ ТУРИЗМА Под общей редакцией доктора юридических наук Е.Л. Писаревского Рекомендовано Федеральным агентством по туризму в качестве учебника для обучения студентов вузов по направлению подготовки «Туризм» Рекомендовано УМО учебных заведений Российской Федерации по образованию в области сервиса и туризма в качестве учебника для обучения студентов высших учебных заведений по направлению подготовки «Туризм» МОСКВА УДК 351/379.85(075.8) ББК 65.43я73...»

«ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «РОССИЙСКАЯ ПРАВОВАЯ АКАДЕМИЯ МИНИСТЕРСТВА ЮСТИЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ» (РПА Минюста России) ПРОГРАММА ВСТУПИТЕЛЬНОГО ЭКЗАМЕНА ПО ДИСЦИПЛИНЕ «ИСТОРИЯ» ДЛЯ АБИТУРИЕНТОВ, ПОСТУПАЮЩИХ НА ОБУЧЕНИЕ ПО НАПРАВЛЕНИЮ ПОДГОТОВКИ 40.03.01 «ЮРИСПРУДЕНЦИЯ», СПЕЦИАЛЬНОСТЯМ 40.05.01 «ПРАВОВОЕ ОБЕСПЕЧЕНИЕ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ», 40.05.02 «ПРАВООХРАНИТЕЛЬНАЯ ДЕЯТЕЛЬНОСТЬ» Москва Содержание экзамена...»
Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам , мы в течении 1-2 рабочих дней удалим его.