Кроме весьма продвинутых настроек антивирусной и антишпионской защиты, Symantec Endpoint Protection имеет весьма богатый опциями сетевой экран. Он позволяет разграничить доступ не только к определенным внутресетевым ресурсам, но и к внешним, например запретить доступ к некоторым сайтам в интернете. Для этого нам необходимо изменить политику сетевого экрана (Firewall Plicy ). Разберем на примере запрета доступа к сайту vk.com :

1. Открываем Symantec Endpoint Protection Manager , переходим в раздел Policies . В меню Policies выбираем Firewall . Для редактирования политики сетевого экрана нажимаем на ней правой кнопкой мыши -> Edit (Рис.1):

2. В окне Firewall Policy выбираем раздел Rules , далее нажимаем кнопку Add Rule (Рис.2):

3. Откроется окно мастера добавления политик сетевого экрана (Add Firewall Police Rule Wizard ). Даем имя нашему правилу и нажимаем Next (Рис.3):

4. Выбираем действие для нашего правила. Выбираем Block Connections и нажимаем Next (Рис.4):

6. Затем необходимо выбрать "К чему мы закрываем доступ". Два варианта: Any computer or site (любой компьютер или сайт) или Only the computers and sites listed below (только компьютеры или сайта из списка). Выбираем второй вариант и нажимаем кнопку Add (Рис.6):

7. В окне Add Host , в окне Address Type выбираем DNS Domain . В окне DNS Domain вписываем *.vk.com и нажимаем Ок . Далее видим. что в списке хостов появляется наша запись *.vk.com (Рис.7-8):

Выбор корпоративного антивируса дело не простое и требует тщательного отбора претендентов. Современные решения часто предлагаются в виде комбайна, который содержит дополнительные компоненты вроде брандмауэра и IPS, перекрывая все пути возможного заражения и снижая риски. Именно так устроен Symantec Endpoint Protection 12.

Возможности Symantec Endpoint Protection 12

Компания Symanteс издавна славилась своими продуктами обеспечивающими защиту от всевозможных современных угроз, которыми богат интернет, среди них место особое место занимают антивирусы. Многие наверное еще помнят Norton Antivirus стоявший на большинстве ПК вначале века и успешно отбивавший атаки вирусов, он и сегодня выпускается Symantec не прекратил развитие. Правда называется уже Norton Internet Security и предназначен для защиты отдельных ПК, а возможности на порядок больше. Корпоративный сектор защищает серия Symantec Endpoint Protection состоящая из трех решений:

— Endpoint Protection Small Business Edition — для небольших компаний (не более 100 пользователей), простая установка и настройка, все данные хранятся на локальных системах;
— Endpoint Protection.cloud — реализация в виде SaaS, когда нет необходимости развертывании собственной инфраструктуры управления, обеспечивает защиту Win систем в организациях до 250 ПК;
— Endpoint Protection — наиболее оснащенное решение, обеспечивающее защиту рабочих станций и серверов работающих под управление разных ОС и виртуальных сред, предназначен для организаций с 100+ пользователями.

Решение построено по классической для корпоративных антивирусов клиент-серверной архитектуре. Сервер Endpoint Protection Manager используется для централизованного управления настройками, обновления агентов и баз, сбора данных о состоянии и построении отчетов, управлениям лицензиями. В терминологии Symantec создаваемая при помощи SEPM структура называется сайт. В сети может быть несколько серверов, сайтов и доменов, для равномерного распределения нагрузки с репликацией данных, быстрого восстановления и организации иерархической структуры для удобства управления и делегирования полномочий.
Все настройки производится при помощи локальной или веб-консоли Web Access (9090 порт) построенных с использование Java. Их внешний вид и функциональные возможности схожи.
Консоль может интегрироваться с другими продуктами Symantec, в частности с Protection Center обеспечивая единую среду управления безопасностью, позволяя узнавать данные о новых угрозах и быстрее реагировать. Компонент IT Analytics расширяет функции отчетности Endpoint Protection за счет дополнительных функций анализа и графического представления данных.
Для хранения настроек и информации о клиентах используется СУБД. Для сетей до 5000 систем с одним сервером управления можно использовать встроенную базу данных, которая устанавливается автоматически и не требует дополнительного конфигурирования. Если клиентов больше, или планируется развернуть несколько EP Manager с репликацией данных или балансировкой нагрузки следует установить MS SQL Server.
В агент устанавливаемый на конечные системы, интегрировано нескольких механизмов защиты:

• антивирус, обеспечивающих защиту от вирусов, программ-шпионов, троянцев, ботов и руткитов
• брандмауэр на основе правил и IDS — защищают от сетевых атак и загрузки вредоносных программ, оснащен функцией блокирования общих точек уязвимости (GE) и защитой браузера от направленных атак;
• модуль Application and Device Control – контроль приложений и устройств которые может запускать пользователь или компьютер.

Агент умеет проверять почту приходящую по POP3/SMTP, интегрируется с MS Outlook и IBM Lotus Notes. Кроме этого клиент адаптирован для применения в виртуальной среде, упрощая создания политик, уменьшая нагрузку на VM и количество операций I/O, в том числе, исключая файлы стандартного образа из проверки (Virtual Image Exception). При помощи специального сервера Shared Insight Cache агенты обмениваются результатами сканирования и одинаковые файлы проверяются только один раз, что сокращает нагрузку на систему и уменьшает время сканирования. Также блокируется одновременный запуск проверки на нескольких VM. Поддерживаются продукты от VMWare, MS Virtual Server и Hyper-V, Novell Xen.
Клиент (как это и принято в подобных продуктах) управляется с сервера SEP, но если система работает автономно редко подключаясь к корпоративной сети может использоваться так называемый «неуправляемый клиент». В последнем варианте пользователь самостоятельно управляет настройками антивируса. Обновление программных модулей и антивирусных баз производится при помощи дополнительного компонента LiveUpdate, сам процесс может запускаться во время бездействия клиентов.
Доступны версии агента под разные ОС (Win, Linux и Mac OS X), что позволяет защитить все компьютеры в гетерогенной среде. Интерфейс клиентской части для Windows полностью русифицирован, для остальных ОС — только английская версия. Лицензируется SEP по количеству клиентов, консоль SEPM дополнительной лицензии не требует. После установки дается весьма продолжительный 60-ти дневный тестовый период позволяющий оценить SEP в действии, полностью развернуть и настроить агенты.

Полностью список поддерживаемых клиентских ОС можно найти в документе «Symantec Endpoint Protection 12.1. Спецификация: Защита конечных систем».
Для установки агента потребуется компьютер с процессором класса Intel Pentium III 1 ГГц и выше, 512 МБ ОЗУ (рекомендуется 1 ГБ ОЗУ) и 700 МБ места на харде.
Клиент Symantec Endpoint Protection для Win поддерживает версии 2k, XP, Vista, 7 и серверные 2k3/2k8. Включая Small/Essential Business Server. Клиент для Linux поддерживает установку на: Debian 4/5/6, Ubuntu 8.04-11.04, Fedora 10/12/13/15, SLES/SLED 9/10/11, RHEL, Novell Linux Desktop 9 и Open Enterprise Server.
Клиент Symantec Endpoint Protection для Mac
— Mac на базе PowerPC с Mac OS X 10.4-10.5x;
— Mac на базе Intel с Mac OS X 10.4-10.7 (i86 и x64 редакции).
Сервер управления Endpoint Protection Manager требует компьютер не ниже Pentium III 1 ГГц, с 1 Гб ОЗУ (4 Гб рекомендуется) с 4+4 Гб свободного места (сервер+БД), работающий под управлением Win XP-2k8. В качестве сервера базы данных можно использовать встроенную БД или MS SQL Server 2kSP4/2k5SP2/2k8.

Еще один необязательный компонент — Центральный карантин получает подозрительные файлы от клиентов и передает образец для анализа в службу Symantec Security Response. Если обнаруживается новый вирус, генерируется обновление.
Документация всегда была сильной стороной Symantec, для закачки доступен отдельный пакет с документацией и дополнительными утилитами размером 411 Мб. Часть из руководств переведена на русский язык, что упрощает знакомство с SEP. Для сисадминов предназначено «Руководство по внедрению Symantec Endpoint Protection и Symantec Network Access Control» на 1167 страницах которого можно найти ответы практически на все вопросы.

Установка SEP Manager

Сервер управления SEP Manager можно установить только на ОС Windows. Сам процесс не очень сложен, но требует некоторой внимательности. После запуска setup.exe появится окно приветствия, которое кроме собственно установки SEPM предлагает ссылки позволяющие ознакомиться с предварительной информацией и установить другие инструменты администрирования (LiveUpdate Администратор, сервер или консоль Центрального карантина). Под меню «Установить Symantec Endpoint Protection» скрывается два пункта позволяющие установить собственно Manager или «неуправляемый» клиент. Запускаем мастер установки SEPM, который по началу выведет список всех дальнейших этапов.

Начинаем приема лицензионного соглашения, затем выбираем каталог, в который будет инсталлирован SEPM, и жмем «Установить». По окончанию процесса установки появится мастер настройки сервера управления, на первом экране которого предстоит определиться с конфигурацией. На выбор предлагается три варианта: Default (простая установка с одним SEPM для сети менее чем 100 ПК), Custom (выборочная настройка параметров, сети более 100 ПК) и восстановление настроек при помощи recovery файла.

В продуктах от Symanteс используется ряд механизмов позволяющих обнаруживать и блокировать 0-day вредоносный код: Insight, SONAR и Bloodhound. Технология Insight базируется на “датчиках” расположенных на миллионах компьютеров, сопоставляя обмен данными между системами, производится анализ возраста файла и источника распространения, на основании чего делается вывод о безопасности файла. Ее применение позволяет, в том числе использовать меньше системных ресурсов во время сканирования, за счет проверки только файлов подверженных угрозам. Чтобы уменьшить нагрузку, интеллектуальный сканер проверяет файлы во время простоя системы, поэтому пользователь не замечает работы антивируса. Технология SONAR использует поведенческо-репутационный подход – блокирует 0-day уязвимости и узконаправленные угрозы по результатам анализа и сопоставлением с профилем.
Проактивная технология Bloodhound технологией изолирует некоторые области файлов и в случае попыток проникновения других программ за этот периметр их действия анализируется и и принимается решение о степени опасности.

Выбираем вариант Custom и вводим количество ПК в сети, которыми будет управлять SEPM. Так как сервер у нас пока единственный на следующем шаге создаем новый сайт. Среди альтернативных вариантов — установка дополнительного сервера, подключение к существующему сайту или установка дополнительного сайта. Далее задаем имя сайта и сервера, и проверяем номера портов используемых компонентами SEPM, чтобы не было конфликтов с другими приложениями. На следующем экране необходимо выбрать между встроенной базой данных (по умолчанию) или внешней. Во втором случае далее понадобится либо создать новую базу данных, либо указать параметры подключения к существующей. После этого создаем учетную запись администратора (логин фиксированный admin) указав пароль и email. Для связи клиентов с сервером управления используется пароль, который задаем вручную или генерируем автоматически. Этот же пароль используется при восстановлении работы антивирусной сети. Чтобы SEPM мог отправлять уведомления от имени администратора, на следующем шаге указываем параметры SMTP сервера и адрес админа. Правильность параметров можно проверить, нажав кнопку «Send Test Email». Определяем, будет ли сервер SEPM отправлять информацию о работе антивируса в Symantec, после чего некоторое время ждем пока произойдет инициализация базы данных. На этом установка закончена. Отметив в последнем окне флажки можно сразу запускать консоль управления и/или запустить мастер миграции с Symantec Antivirus.

Консоль SEPM

После регистрации в консоли управления увидим отдельное окно в котором будет выведен список первоначальных задач, ссылки для их выполнения и небольшой гид по продукту. Отсюда можно: проверить статус лицензий, настроить автоматическое обновления LiveUpdate, развернуть агентов и настроить параметры сервера SEPM. Если закрыть окно быстро перейти к названным задачам можно выбрав ее в списке Common Task, который находится в правом верхнем углу.
Консоль визуально разделена на два поля. Элементы основного меню администратора (Номе, Monitors, Reports, Policies, Clients и Admin) расположены слева на вертикальной панели, в большом поле справа производятся все настройки. После выбора определенных пунктов будут также доступны подменю, некоторая их часть находится внизу экрана и не сразу бросается в глаза.
В первом окне (Home) выводится основная информация о глобальном уровне угроз, статусе защиты антивирусной сети и доступ к основным отчетам, что позволяет администратору оценить ситуацию сразу же после регистрации.
Настройки сервера и учетной записи администратора, находятся в меню Admin. Выбрав этот пункт, можно установить новый сертификат сайта (при установки SEPM генерируется самоподписанный сертификат), изменить настройки серверов SEPM подключенных к консоли, добавить/изменить домен (после установки имеем один домен Default), подключить LDAP/Active Directory или сервер репликации, аутентификацию Secure ID и многое другое.

По умолчанию через 1 час администратору необходимо будет перелогиниться, при первых настройках это очень мешает. Поэтому переходим в Admin — Servers — Local Site нажимаем Edit Site Properties и устанавливаем большее значение в General — Console timeout. В остальных подкладках производится настройка подключения к LiveUpdate, оптимизация работы веб-сервера, разрешается сброс пароля администратора (если забыл) и прочие настройки.

Чтобы просмотреть сводки об угрозах, событиях произошедших в антивирусной сети, различные уведомления и информацию о командах которые выполнял администратор, доступны в меню Monitors. В Reports найдем несколько видов отчетов наглядно представляющих информацию, как в графическом, так и текстовом виде.

Развертывание клиентов

Теперь, когда сервер настроен, можно приступать к подключению клиентских ПК, но в начале следует установить агента на удаленных системах. Для этого в консоли SEPM при помощи мастера развертывания клиентов создаем пакет. Этот пакет в дальнейшем можно распространить среди ПК любым удобным способом — встроить в образ, через групповые политики AD или просто запустить вручную на удаленной системе.

Неуправляемый клиент устанавливается из меню развертывания SEPM, на этапе «Тип клиента» можно указать и вариант «Управляемый клиент», но выбор этого пункта приведет лишь к выходу из мастера.

Компоненты SEPM использует несколько портов, которые должны быть открыты правилами файервола — 8014 (подключение клиентов), 8443 (удаленное управление сервером), 9090 (веб-консоль), 8444 (веб-сервис), 8765 (управление сервером), 8445 (отчеты). При развертывании клиентов понадобится открыть еще: 137 — 139, 445, 2967.

Запускаем Client Deployment Wizard и в первом окне выбираем New Package Deployment. Далее основное окно настроек в котором следует выбрать тип установочного пакета (Win 32/64 или Mac), группу к которой будет применена установка, набор компонентов (полная защита для сервера или клиентов, базовая защита сервера), содержимое (все или выборочно) и режим работы (компьютер или пользователь). Определяемся со способом установки клиентов: веб-ссылка и электронная почта, удаленная рассылка (Remote Push) и просто сохранить пакет, для установки/распространения любым другим способом. В первом варианте генерируется ссылка, перейдя по которой пользователь самостоятельно скачивает и устанавливает пакет (при наличии прав локального админа). Во втором — весь процесс происходит автоматически, для этого производится поиск компьютеров в сети, затем администратор отбирает нужные и приступает к установке (будут запрошены данные пользователя с правами админа). После установки агента потребуется перезапуск компьютеров.
Далее всеми настройками можно управлять из консоли SEPM при помощи политик. Для упрощения распространения однотипных установок используется концепция групп, по которым распределяются компьютеры или пользователи.

Выбрав в списке нужную группу в поле, справа получаем возможность редактирования политик и прочих установок. После установки в консоли Clients присутствует группа верхнего уровня My Company с одной группой по умолчанию Default Group. Далее администратор самостоятельно создает группы (поддерживается несколько уровней вложенности), возможно наследование политик групп и копирование групп.

Настройка политик

Общие настройки работы различных компонентов антивируса производятся в разделе Policies . Политики разделены на несколько типов которые соответствуют компонентами антивируса — Virus And Spyware Protection, Firewall, Intrusion Prevension, Application and Device Control, LiveUpdate и Exception. Выбрав любой из пунктов получим доступ к более подробным настройкам. Например, перейдя в настройки политик защиты от вирусов и программ-шпионов найдем три предустановки — рекомендуемая, повышенная и высокая безопасность. При создании новой или редактировании имеющейся политики откроется окно содержащее себя две группы настроек (отдельно для Win и Mac). В них определяются параметры сканирования файлов, использование дополнительных технологий (Insight, SONAR), действия при обнаружении вредоносных файлов, приоритет использования ресурсов, карантин, проверка email и многое другое. Большинство параметров должно быть знакомо тем, кто хоть раз сталкивался с настройками обычного антивируса и файервола. Администратор может разрешить пользователю самостоятельно изменять некоторые установки. Они отмечены значком в форме замка. Если замок закрыт, то локальное изменение блокировано.

Вывод

В целом SEP12 очень простой в работе и надежный продукт, использование которого не должно вызвать каких-либо сложностей у администратора даже с небольшим уровнем подготовки. Наличие качественной документации только упрощает процесс знакомства.

В конце 2016 года компания Symantec выпустила новую версию продукта - Symantec Endpoint Protection 14. За прошедшие пять лет в продукте появилось множество новых защитных функций, изменился интерфейс программы конфигурирования, упростился механизм развертывания и увеличилось число поддерживаемых операционных систем.

Тренд последних лет - изменение концепции защиты конечных точек, выражающийся в усилении комплексности продукта, наращивании числа защитных механизмов, объединенных общим управлением, и фокусировке на безсигнатурной защите от неизвестных угроз и уязвимостей нулевого дня. Для формализации классификации средств защиты конечных точек аналитики и журналисты ввели термин Next Generation Endpoint Protection (NGEP) - средства защиты конечных точек следующего поколения. Аналогичный процесс мы наблюдали в области сетевой защиты и переход от UTM-решений к NGFW. Основные мировые вендоры стремятся идти в ногу со временем и обновлять свои продукты для решения актуальных задач по обеспечению безопасности. Целью выхода 14 версии Symantec Endpoint Protection стал переход к классу NGEP. Также за прошедшее время компания Symantec приобрела активы компании Blue Coat, одного из лидеров на рынке сетевых устройств для кеширования данных и DPI, что позволило внедрить новые технологии во всю линейку Symantec, например прозрачный анализ зашифрованного SSL-трафика, а также увеличило общий объем репутационных баз по сетевым ресурсам и приложениям.

В 14 версии Symantec Endpoint Protection реализованы новые защитные механизмы от эксплуатации уязвимостей нулевого дня и неизвестных угроз. К ним относятся технология по защите от эксплоитов Generic Exploit Mitigation, обновленная версия модуля анализа поведения приложений в реальном времени SONAR и технология машинного обучения Advanced Machine Learning для статического анализа исполняемых файлов.

Системные требования

Системные требования Symantec Endpoint Protection Manager (включает в себя сервер управления и программу конфигурирования):

• Процессор Intel Pentium Dual-Core или эквивалент, от 8 ядер.
• Минимум 2 Гб оперативной памяти, рекомендуется от 8 Гб.
• Минимум 40 Гб свободного места на жестком диске.

Требования к программному обеспечению Symantec Endpoint Protection Manager:

• Операционные системы:
  • Windows Server 2008 (64-bit)
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
• Поддерживаемые браузеры (для веб-версии интерфейса управления):
  • Microsoft Edge (64-bit)
  • Microsoft Internet Explorer 11
  • Mozilla Firefox 5.x и позднее
  • Google Chrome 54.0.x и позднее
• Внешняя база данных (опционально, не требуется для развертывания до 5000 защищаемых компьютеров):
  • Microsoft SQL Server 2008, SP4
  • Microsoft SQL Server 2008 R2, SP3
  • Microsoft SQL Server 2012, RTM - SP3
  • Microsoft SQL Server 2014, RTM - SP2
  • Microsoft SQL Server 2016

Системные требования защитного клиента под Windows:

• Процессор Intel Pentium III (для 32-битных систем) или Intel Pentium 4 и выше.
• Минимум 512 Мб оперативной памяти, рекомендуется от 1 Гб.
• От 250 до 500 Мб свободного места на жестком диске, в зависимости от типа клиента.
• Windows Vista
• Windows 7
• Windows 8/8.1
• Windows 10
• Windows Server 2008 SP1/SP2/2008 R2
• Windows Server 2012/2012R2
• Windows Server 2012 R2
• Windows Server 2016

Системные требования защитного клиента под macOS:

• Процессор Intel Core 2 Duo и выше.
• Минимум 2 Гб оперативной памяти.
• 500 Мб свободного места на жестком диске.
• Поддерживаемые операционные системы:
• macOS X 10.9
• macOS X 10.10
• macOS X 10.11
• macOS 10.12

Системные требования защитного клиента под Linux:

• Процессор Intel Pentium 4 (2 ГГц) и выше.
• Минимум 1 Гб оперативной памяти.
• 7 Гб свободного места на жестком диске.
• Поддерживаемые дистрибутивы:
• CentOS 6U4/6U5
• Debian 6.0.5/8
• Fedora 16/17
• Oracle Linux 6U2/6U4/6U5/7
• Red Hat Enterprise Linux Server 6U2 - 6U8/7/7.1/7.2
• SUSE Linux Enterprise Server 11 SP1 - 11 SP3/12
• SUSE Linux Enterprise Desktop 11 SP1 - 11 SP3
• Ubuntu 12.04/14.04/16.04

Поддерживаемые среды виртуализации для защиты гостевой операционной системы:

• Windows Azure, Amazon WorkSpaces
• VMware WS версии 5.0 и позднее
• VMware GSX версии 3.2 и позднее
• VMware ESX версии 2.5 и позднее
• VMware ESXi 4.1 - 5.5/6.0
• Microsoft Virtual Server 2005
• Windows Server Hyper-V 2008/2012/2012 R2
• Citrix XenServer версии 5.6 и позднее
• Virtual Box

Функциональные возможности Symantec Endpoint Protection 14

Функциональные возможности можно разделить на две основные категории - защитные механизмы и возможности по централизованному управлению.

Защитные функции:

• Сетевой брандмауэр (межсетевой экран) - классический персональный сетевой фильтр с настраиваемыми правилами прохождения трафика. Правила брандмауэра включают в себя следующие параметры:
  • Название и описание
  • Действие (разрешить, запретить, выдать запрос пользователю)
  • Приложение
  • Хост отправителя и получателя
  • Служба/порт (протоколы TCP, UDP, ICMP, IP, Ethernet)
  • Аудит (запись в журнал, уведомление по e-mail)
  • Флаг серьезности срабатывания правила для ранжирования угроз
  • Сетевой адаптер (по типу или конкретной плате)
  • Время действия

Дополнительно в системе присутствуют встроенные интеллектуальные правила для протоколов DHCP, DNS, WINS и Token Ring. Также в сетевой брандмауэр входят функции по аутентификации сетевых соединений «точка-точка» с возможностью настройки списка исключений.

• Предотвращение сетевых атак - статический и эвристический анализатор сетевого трафика. Поддерживает детектирование и блокировку сканирования портов и атак типа «отказ в обслуживании», защиту от ARP-атак, маскировку типа и версии операционной системы. Сигнатурные и эвристические анализаторы позволяют защитить узел от различных сетевых атак на систему и веб-браузер, а также детектируют сетевые действия вредоносных приложений.
• Контроль приложений - возможность создания различных правил по гранулярному контролю доступа приложений к файлам и элементам реестра, а также запуску и завершению процессов и загрузки библиотек. Каждое запрещающее правило можно снабдить описанием, которое отображается пользователю при запрете доступа. При вводе путей к файлам и объектам реестра поддерживаются регулярные выражения и гибкие настройки выбора путей. Функционирует только на клиентах Windows.
• Контроль устройств - белый и черный списки устройств, настройка которых позволяет ограничить подключения устройств к компьютеру. Для клиентов Windows поддерживается возможность указать только тип устройства (например, все принтеры или все USB-устройства), для macOS дополнительно может задаваться поставщик устройства, модель и серийный номер. Контроль устройств в macOS появился только в этой версии продукта, ранее данная функция была доступна только под Windows. Контроль устройств для Linux находится в разработке и пока не реализован в продукте.
• Защита от эксплуатации уязвимостей Generic Exploit Mitigation - механизм контроля памяти Windows, позволяющий обеспечить защиту от эксплуатации уязвимостей нулевого дня в различном программном обеспечении и в операционной системе. Данный механизм работает до начала анализа исполняемых файлов системой SONAR и другими защитными компонентами, что повышает общий уровень защищенности системы и позволяет защититься от атак на само средство защиты.
• Репутационный анализ - часть механизма SONAR, который учитывает репутацию запускаемых в системе процессов, используя глобальное облако Symantec или частное облако, развернутое у заказчика. Применяется для блокировки неизвестных вредоносных программ, которые не обнаруживаются с помощью антивирусных механизмов. Функционирует только на клиентах Windows. Также репутационный анализ используется в технологии Download Insight, которая обеспечивает проверку репутации скачиваемых из сети файлов и предотвращает угрозы еще на этапе загрузки.
• Машинное обучение - расширенный механизм обнаружения вредоносных файлов статическими методами путем анализа содержимого исполняемых файлов и скриптов. База для машинного обучения насчитывает миллиарды образцов «хорошего» и «плохого» микрокода, который сравнивается с кодом анализируемых файлов. Данный механизм по принципу функционирования похож на сигнатурный анализатор, но обеспечивает защиту от еще неизвестных угроз. Функционирует только на клиентах Windows.
• Эмулятор - обновленный и оптимизированный механизм анализа исполняемых файлов в легковесной песочнице для распознавания полиморфных и запакованных вирусов. Внесенные изменения в данном модуле позволили увеличить скорость и производительность его работы, а также повысили процент успешного детектирования вредоносных исполняемых файлов. Функционирует только на клиентах Windows.
• Антивирус - классическое антивирусное решение с сигнатурными и эвристическими анализаторами. Дополнительную защиту обеспечивает драйвер раннего запуска, запуск которого производится первым в системе, что позволяет обнаружить и обезвредить вредоносы, выполненные в виде драйвера. Антивирус обладает всеми стандартными функциями - постоянная защита, сканирование по требованию, контекстное сканирование, карантин, защита электронной почты и так далее.
• Проверка целостности (контроль наличия защиты) - механизм проверки и исправления нарушений политик безопасности в корпоративной безопасности, позволяет определять наличие антивируса, брандмауэра, установки обновлений программ и операционной системы. В случае детектирования несоответствий позволяет выполнить установку необходимых средств защиты или выполнение определенных настроек. Функционирует только на клиентах Windows.
• LiveUpdate - механизм проверки обновлений продукта, сигнатурных баз и других элементов системы защиты. В версии 14 данный механизм был дополнен функциями установки исправлений ошибок в бинарных модулях продукта.
• Интеграция с Symantec Advanced Threat Protection – в клиентские приложения Symantec Endpoint Protection 14 интегрированы функции агента для Symantec Advanced Threat Protection, которые позволяют передавать метрики сетевого трафика и данные о работе приложений в облако Anti-APT для корреляции событий и выявления направленных атак.

Функции управления:

• Централизованное управление продуктом с помощью программы-клиента под Windows или веб-интерфейса (Java-апплет).
• Централизованное развертывание - подготовка пакетов установки для автоматического подключения устанавливаемого клиента к серверу. Поддерживается подготовка пакета для самостоятельной установки, создание ссылки на пакет на веб-сервере или удаленное развертывание с предоставлением данных учетной записи администратора на удаленных компьютерах.
• Централизованный мониторинг с панелью состояния защищенности, мониторами событий, журналами безопасности, уведомлениями по e-mail и другими функциями.
• Система генерации отчетов по состоянию защищенности сетевых узлов и событиям информационной безопасности.
• Централизованное управление политиками безопасности с возможностью создания различных политик и их назначения на группы защищаемых компьютеров.
• Поддержка интеграции с Active Directory и LDAP-каталогами.
• Наличие REST API, специального набора служебных функций для интеграции и взаимодействия с другими продуктами Symantec, сторонними средствами защиты, разрабатываемыми на заказ модулями и системами управления.

В клиенте Symantec Endpoint Protection 14 под Windows поддерживается три типа развертывания - стандартный, dark network и embedded/VDI. Стандартный клиент под Windows обеспечивает все функции продукта и предназначен для работы на защищаемых компьютерах внутри локальный сети организации. Dark network - версия клиента для удаленных компьютеров, не имеющих постоянного соединения с частным или глобальным облаком Symantec и сервером управления. В данном типе клиента отключены проверки, связанные с анализом потенциально небезопасных файлов в облаке, при этом остальные функции работают аналогично стандартному клиенту, включая репутационные базы. Embedded/VDI является уменьшенным в размере дистрибутивом, использующим больше возможностей облака, чем остальные клиенты, и предназначается для эксплуатации во встраиваемых системах и в инфраструктуре виртуальных рабочих столов.

Установка Symantec Endpoint Protection 14

Установка продукта не претерпела больших изменений по сравнению с версией 12. Поддерживается развертывание защитного клиента в пользовательском режиме работы без централизованного управления и сетевая структура с общим сервером. Как и раньше, для защиты компьютеров до 5000 единиц используется встроенная база данных, в крупных инфраструктурах для хранения информации используется СУБД Microsoft SQL.

Рисунок 1. Выбор конфигурации сервера управления Symantec Endpoint Protection 14

В процессе установки сервера управления выбирается схема развертывания, указываются настройки электронной почты, создается учетная запись администратора и настраиваются другие параметры. Завершающим этапом установки является загрузка обновлений через утилиту LiveUpdate.

Рисунок 2. Обновление продукта Symantec Endpoint Protection 14 во время установки

Работа с Symantec Endpoint Protection 14

В версии 14 изменился внешний вид Symantec Endpoint Protection Manager - программы управления продуктом. Программа получила новый современный дизайн, при этом сохранив общее расположение интерфейсов. Доступ к консоли управления может быть получен через Windows-приложение или в веб-браузере, при этом внешний вид интерфейса неизменен, так как для его реализации применяется общий Java-апплет.

Навигация по интерфейсу менеджера Symantec Endpoint Protection 14 осуществляется с помощью бокового меню, в котором представлены следующие разделы:

• «Главная» - панель мониторинга общего состояния системы защиты, на которой присутствует блок отображения необходимости предпринять какие-либо действия для исправления уровня защищенности инфраструктуры.
• «Мониторы» - панель дашбордов, отображающая графики возникновения событий, статистику работы системы и журналы аудита.
• «Отчеты» - система построения отчетов по статистике работы и событиям аудита.
• «Политики» - интерфейс управления политиками безопасности продукта.
• «Клиенты» - управление перечнем защищаемых компьютеров включая систему развертывания и назначения политик безопасности.
• «Админ» - административный раздел для управления учетными записями привилегированных пользователей и настройками сервера управления Symantec Endpoint Protection 14.

Рисунок 4. Главный экран системы управления Symantec Endpoint Protection 14 при доступе через веб-браузер

Мониторинг состояния системы защиты и событий информационной безопасности осуществляется из раздела «Мониторы». В данном разделе представлены четыре вкладки - «Обзор», «Журналы», «Состояние команды» и «Уведомления». На экране обзора расположены графики, отражающие состояние различных аспектов работы системы, с помощью переключателя «Тип сводки» набор выводимых данных может быть изменен. Вся статистика отражает ситуацию на момент загрузки экрана, обновить текущие данные можно с помощью ссылки «Обновление» в верхнем правом углу интерфейса.

Рисунок 5. Панель мониторов в Symantec Endpoint Protection 14

В разделе «Журналы» отображаются последние события аудита. Присутствует система фильтрации по различным полям - типу журнала, интервалу времени, версии продукта и политик, домену, группам компьютеров, IP-адресам и многим другим. Настроенные фильтры можно сохранить для дальнейшего использования. Журнал выводится постранично, для каждого события доступно детальное описание. Поддерживается экспорт событий в формате CSV.

Рисунок 6. Журналы аудита в Symantec Endpoint Protection 14

Вкладка «Состояние команды» отображает состояние и результат выполнения различных команд, в первую очередь - заданий на антивирусное сканирование и команд на включение и выключение отдельных защитных функций.

В разделе «Уведомления» настраиваются параметры и условия отправки e-mail-сообщений при возникновении в системе различных событий.

Рисунок 7. Настройка уведомлений по e-mail в Symantec Endpoint Protection 14

Система отчетов Symantec Endpoint Protection 14 в целом похожа по функциям на журналы - в продукте можно указать тип аудита для отображения в отчетах и присутствует фильтрация событий по различным параметрам. Отчет представляет собой выписку из журнала аудита в готовой к печати и экспорту (в формате HTML) форме. Присутствует возможность построения отчетов по расписанию, отправка сформированных плановых отчетов осуществляется по электронной почте.

Раздел «Политики» разбит на семь основных групп по функциональности:

• Защита от вирусов и программ-шпионов - политики и настройки антивируса, включают в себя параметры сканирования по требованию, настройки автоматической защиты, управление защитой загрузки операционной системы, подсистемы SONAR для эвристического и репутационного детектирования, а также политики сканирования электронной почты. Отдельные группы настроек позволяют управлять политиками работы антивируса в macOS и Linux.

Рисунок 8. Политики защиты от вирусов и программ-шпионов в Symantec Endpoint Protection 14

• Брандмауэр - управление правилами персонального межсетевого экрана. Отображение правил выполнено в виде плоской таблицы с перечислением всех доступных параметров. Дополнительно поддерживается настройка уведомлений, управление встроенными правилами, настройка защиты от сетевых атак, параметры маскировки и сокрытия данных об узле, а также опции интеграции с Windows и параметры аутентификации между компьютерами.

Рисунок 9. Политики брандмауэра в Symantec Endpoint Protection 14

• Предотвращение вторжений - настройки защиты от эксплойтов для популярных офисных и прикладных приложений, управление защитой от сетевых атак и настройка исключений для упрощения реагирования на ложные срабатывания.
• Управление приложениями и устройствами - политики управления доступом приложений к устройствам и объектам компьютера, а также настройка политик разрешения и запрета работы с устройствами.

Рисунок 10. Настройки политики управления приложениями в Symantec Endpoint Protection 14

• Целостность хоста - управление требованиями к проверке целостности и защиты защищаемых компьютеров.
• LiveUpdate - параметры доступа к серверам LiveUpdate, включая выбор локального или глобального сервера и настройки прокси-серверов, а также управление расписанием обновлений. Дополнительно настраивается содержимое LiveUpdate для загрузки.
• Исключения - глобальная политика исключений, в которую можно добавить разнообразные объекты для исключения из всех действующих политик безопасности. В качестве объектов поддерживаются файлы, директории, устройства, сетевые узлы, приложения и многое другое.

Для каждой группы поддерживается множество политик, их можно добавлять, удалять, заменять, копировать, экспортировать и импортировать из файла. Политики применяются к отдельным защищаемым компьютерам или к группам компьютеров.

Рисунок 11. Управление политиками безопасности в Symantec Endpoint Protection 14

В разделе «Клиенты» осуществляется управление защищаемыми компьютерами, их добавление, удаление и отправка оперативных команд. В дополнительных вкладках осуществляется назначение политик безопасности на узлы сети и управление установочными пакетами.

Рисунок 12. Управление защищаемыми компьютерами в Symantec Endpoint Protection 14

В разделе «Админ» присутствует пять разделов:

• Администраторы - управление учетными записями администраторов.
• Домены - синхронизация с Active Directory и работа с сетевыми доменами.
• Серверы - управление серверами Symantec Endpoint Protection, настройка серверов управления, баз данных и других параметров.
• Установочные пакеты - управление клиентскими дистрибутивами и их распространением на целевые системы.
• Лицензии - настройка лицензий продукта.

Рисунок 13. Управление учетными записями администраторов в Symantec Endpoint Protection 14

Интерфейсы клиентских приложений под операционные системы Windows, Linux и macOS в целом практически не изменились - стиль оформления, расположение меню и функциональные возможности, доступные обычным пользователям, практически не изменились по сравнению с версией 12.

Рисунок 14. Интерфейс агента защиты Symantec Endpoint Protection 14 под Windows

Выводы

Разработчики Symantec Endpoint Protection 14 проделали большую работу по усилению способов и средств защиты от неизвестных вредоносных программ и уязвимостей по сравнению с 12-й версией продукта. Добавление модулей защиты Generic Exploit Mitigation, обновление технологии SONAR и внедрение технологии машинного обучения Advanced Machine Learning значительно усилило позиции Symantec на рынке средств защиты конечных точек и позволило решению Endpoint Protection сохранить лидерство в своем сегменте.

Приобретение компании Blue Coat и использование их технологий в продукте также значительно повлияло на качество детектирования сетевых атак и общий уровень защищенности конечных точек с Symantec Endpoint Protection. Значительное наращивание защитных возможностей и качества функциональности продукта фактически переводит продукт Symantec Endpoint Protection на новый уровень. Новую версию данного решения можно считать полноценным продуктом класса Next Generation Endpoint Protection. Дополнительным плюсом является интеграция с Symantec Advanced Threat Protection, позволяющая интегрировать NGEP-продукт в инфраструктуру защиты от направленных атак.

Несмотря на то что компания Symantec сконцентрировала свои силы на улучшении и доработках функций защиты, дизайн и интерфейс продукта не остались забытыми. Новый внешний вид консоли Symantec Endpoint Protection Manager положительно сказался на удобстве управления и настройки продукта. Интерфейс менеджера выглядит современно, юзабилити продукта значительно улучшилось, и в целом пользовательский интерфейс оставляет приятные впечатления.

Достоинства:

• Широкий набор функций по защите от вредоносных программ и уязвимостей - машинное обучение, эмулятор исполняемых файлов, объемные репутационные базы, ранняя загрузка, анализ загружаемых по сети файлов и множество других. Гибкость и легкость управления политиками безопасности.
• Поддержка различных типов клиентских приложений под Windows для защиты различных устройств - компьютеров в локальной сети, удаленных рабочих мест, виртуальных сред и виртуальных рабочих столов (VDI).
• Встроенная система работы с журналами, отчетами и возможность настройки гибких фильтров для оперативного уведомления об угрозах по электронной почте.
• Система автоматической загрузки и применения обновлений, полностью решающая все вопросы по актуализации баз данных и исполняемых модулей продукта.
• Отсутствие необходимости развертывания базы данных для компаний с небольшим числом защищаемых компьютеров.
• Наличие интеграции с Active Directory и LDAP-каталогами, поддержка REST API для сторонней интеграции с продуктом.

Недостатки:

• Общая медлительность интерфейса управления и недостатки в его локализации - использование неуместных сокращений, несогласованные фразы, использование англоязычных терминов.
• Сокращенный функционал в клиентах под macOS и Linux, поддержка защиты Windows XP с помощью агента предыдущей версии 12.1.
• Отсутствие сертификата ФСТЭК России (ожидается в 2017 году).

Symantec Endpoint Protection - корпоративный продукт, обеспечивающий антивирусную защиту, защиту от программ-шпионов, защиту от сетевых атак, а также включает в себя систему по предотвращению вторжений и межсетевой экран.

Решение представляет собой управляющий сервер () и клиенты. Клиентами выступают не только сервера и рабочие станции Windows (32-х и 64-х битные), так и рабочие станции на базе Mac OS.

Рассмотрим развертывание защиты на рабочие станции Windows.

1. Открываем консоль Symantec Endpoint Protection Manager . Переходим на вкладку "Clients" и на панели задач нажимаем "Add a client" (Рис.1):

2. Откроется окно "Client Deployment Wizard" . Выбираем "New Package Deployment" и нажимаем "Next" (Рис.2):

3. В поле "Install Packages" выбираем клиент для Windows. В поле "Group" выбираем нужную нам группу (Рис.3):

4. В поле "Install Feature Sets" выбираем один из трех вариантов установки: "Full Protection for Clients" (вариант установки всех модулей защиты на клиентские ПК), "Full Protection for Servers" (вариант установки всех модулей защиты на сервера) и "Basic Protection for Servers" (Базовая защита для файловых серверов). При развертывании клиентской защиты доступны два вида установки: Computer Mode и User Mode . Этим параметром мы определяем, к какой сущности применяются политики защиты, к пользователям или к компьютерам. Выбираем нужный нам вариант и нажимаем Next (Рис.4):

5. На следующей странице нам необходимо выбрать метод установки клиента защиты. Имеем три варианта: "Web Link and Email" - создание пакета установки и отправка ссылки на этот клиент с инструкциями для пользователя по электронной почте; "Remote Push" - передача установочных файлов по сети и дальнейшая установка; "Save Package" - сохранения пакету установки для дальнейшей ручной установки. Выбираем "Remote Push" и нажимаем Next (Рис.5):

6. В окне "Computer Selection" переходим на вкладку "Search Network" и нажимаем кнопку "Find Computers" . Выбираем диапазон IP адресов и жмем Ок. Находим нужный нам компьютер и добавляем его в колонку "Install Protection Client on" и нажимаем Next (Рис.6):

7. В следующем окне нажимаем Next и отправляем пакет установки на клиент (Рис.7).

Роль антивируса в жизни корпорации или любой другой коллективной сети сложно переоценить. По мере прогресса технологий растёт и количество недобросовестных программистов, которые предпочитают украсть какие-либо данные для своей наживы, вместо честного заработка.

Даже, если ваша фирма не работает с электронными деньгами, защита все равно нужна, так как любую похищенную информацию смогут использовать против вас сливая её конкурентам или шантажируя. Существует и другой тип угроз, который наоборот вносит определённую информацию в систему с целью вывода её из строя. От всех этих атак и не только, способен защитить Symantec Endpoint Protection.

Этот корпоративный антивирус обладает самым высоким уровнем защиты и позволяет не только бороться с угрозами, но результативно действует в превентивном варианте, благодаря функции проверки, анализа репутации Insight. Она способна побороть хакерские атаки, которые ещё явно даже не развернулись в вашей системе.

Технология защиты Insight

Insight – это технология, которая отслеживает миллиарды файлов на компьютерах клиентов и в момент возникновения какой-либо угрозы, об этом сообщается в сеть. Сегодня вирусы работают на основании технологии быстрой мутации, таким образом блокируя возможность антивирусов удалять их и обнаруживать в целом. Основа работы функции заключается в том, чтобы отслеживать видоизменяющиеся, зашифрованные программы, то есть обернуть преимущество вредоносного кода против него самого. По мере мутаций определённых файлов система Insight повышает уровень риска для этого элемента, пока не дойдёт до критического, тогда во всей сети Symantec будут знать о некачественном происхождении файла. Технология Insight повышает частоту обнаружения вредоносных файлов, увеличивает производительность и точность всего антивируса.

Insight представляет собой современную функцию обнаружения угроз, которая строится на основании собранной информации с миллиардов файлов. Все полученные данные позволяют наносить точные и сокрушительные удары в отношении угроз.

К преимуществам Symantec Endpoint Protection для Windows можно отнести:

• Активное обнаружение угроз, то есть в реальном времени;
• Блокировка спама в сети, что приводит к увеличению производительности;

• Используется контекстная информация о файле, чтобы снизить сложность управления антивирусом и повысить точность блокировок;
• В сети Symantec более 100млн. компьютеров, что гарантирует своевременное обнаружение.

Так как Insight выступает превентивной защитой, то SONAR – это защита в реальном времени.

Технология защиты SONAR

Если стоит вопрос, антивирус какой лучше выбрать, то больших споров о качестве продукта не будет, если вы обратитесь к Symantec. Встроенная технология SONAR обеспечивает защиту уже не на основании контекстных данных, таких как обновление, частота изменений, производитель и т.д., а основываясь на характере работы процесса. Проще говоря SONAR – это поведенческая защита.

Особенность функции заключается в том, что даже, если вирус смог пройти через превентивный анализ, он будет заблокирован в реальном времени. Очень важно, что благодаря этой технологи происходит защита от атак нулевого дня, а это те вирусы, которые ещё не были обнаружены и побеждены на мировом уровне. Таким образом, на защиту от какого-либо вредоносного кода в стандартных программах уходят дни/недели/месяцы, здесь же вы получите поддержку своевременно благодаря Symantec Endpoint Protection для Windows 10 или ниже.

Уровни защиты от Symantec

Если вопрос, какой антивирус выбрать для Windows 7 или другой версии, ещё открыт, то вот 5 причин, выраженных в уровнях защиты, почему следует выбрать данное предложение.

• Первый уровень – это файловая защита. Данный вид основывается на статической информации о файле, которую считывает, записывает и при необходимости элемент блокируется антивирусом;
• Всевозможные сетевые уязвимости – служит фаерволом и блокирует любое подключение с целью захвата прав администратора или воровства персональных данных;

• Функция Sonar, о которой уже упоминалось, это защита в реальном времени на основании поведения кода;
• Репутационный сервис – определяет общие сведения о файле, полученные на основании сетевой защиты, то есть из общего хранилища;

• Функция восстановления оказывает помощь в устранении обнаруженных угроз.

Теперь, какой антивирус выбрать Windows, становится совершенно очевидно, ведь проходя 5 уровней защиты, соединенных воедино бесшовным методом, у врага не остаётся шансов навредить вашей сети.

Как установить антивирус на компьютер?

Symantec не требует каких-то особенных действий по установке антивируса, всё, что вам необходимо сделать - это преодолеть несколько простых шагов руководства.

• Убедитесь, что ваши компьютеры соответствуют требованиям программы. Подробные сведения о минимальных параметрах, указанных здесь: Ссылка .
• Загрузите приложение с оф сайта по ссылке https://www.symantec.com/security_response/definitions/download/detail.jsp?gid=sep ;
• Следуйте инструкции и установите необходимые вам уровни защиты, так как некоторые необязательны.

Стандартная установка завершена, но если вам необходимо выполнить какие-то дополнительные настройки антивируса, то воспользуйтесь документацией.

Вот мы и разобрались с вопросом, какой антивирус выбрать на основании Symantec Endpoint Protection, как лучшего из предложенных на сегодня вариантов защиты. Symantec стал лучшим благодаря функциональности, невероятно высокому уровню защиты и профессиональному подходу к проблеме.

Если у Вас остались вопросы по теме «Корпоративный комплексный антивирус Symantec Endpoint Protection», то можете задать их в комментариях

if(function_exists("the_ratings")) { the_ratings(); } ?>