关于sep11使用的问题自我总结以及对相关的问题的一些看法（以及一些相关设置）

zlx42

原帖由 sioux0507 于 2008-7-31 10:42 发表
有mp1的下载地址么？

论坛里有mp1下载的，自己搜搜，只是置顶很久没更新了

ygc123

原帖由 sioux0507 于 2008-7-31 10:42 发表
有mp1的下载地址么？

http://bbs.kafan.cn/thread-274969-1-7.html

zlx42

原帖由 alvinjx 于 2008-7-31 10:14 发表
楼主，我觉得SEP还有一个不完善的地方就是没有缓冲区溢出保护，我个人认为他是一个很重要的功能，而且现在很多企业版的杀软都有这个功能，铁壳却没能把SYGATE所具有的这项功能集成进去，这倒是很奇怪的。呵呵

关于您的 Symantec 产品
您的 Symantec 产品可能包括 Symantec Endpoint Protection 和 Symantec Network
Access Control。这两个产品都包含 Symantec Endpoint Protection Manager，它
提供用于安装和管理 Symantec Endpoint Protection 及 Symantec Network Access
Control 的基础结构。Symantec Endpoint Protection 和 Symantec Network Access
Control 是两项协同工作的不同端点防护技术。本书说明这两项需要单独购买的端
点防护技术。


关于 Symantec Endpoint Protection
Symantec Endpoint Protection 可保护端点计算设备不受病毒、威胁和风险入侵，
并为端点计算设备提供三层防护。这三层是指网络威胁防护、主动型威胁防护，以
及防病毒和防间谍软件防护。

网络威胁防护通过使用规则和特征，可禁止威胁访问您的计算机。主动型威胁防护
可根据威胁的行为，标识并降低威胁。防病毒和防间谍软件防护使用 Symantec 创
建的特征，标识并降低尝试访问或已访问您的计算机的威胁。

1、关于网络威胁防护
网络威胁防护包括防火墙和入侵防护软件，可保护您的端点计算设备。防火墙支持
为特定端口和特定应用程序写入的规则，并对所有网络通信使用状态检查。因此，
对于由客户端发起的所有网络通信，您只需要创建出站规则即可支持该通信。状态
检查会自动允许响应出站通信的返回通信。
防火墙完全支持 TCP、UDP、ICMP 和所有 IP 协议（如 ICMP 和 RSVP）。防火墙
也支持以太网协议（如令牌环），并可以禁止协议驱动程序（如 VMWare 和
WinPcap）。防火墙可自动识别合法的 DNS、DHCP 和 WINS 通信，因此您可以选
中复选框以允许此通信，而不写入规则。
注意：Symantec 假设您已建构防火墙规则库，从而拒绝所有不允许的通信。防火
墙不支持 IPv6。
入侵防护引擎支持检查端口扫描和拒绝服务攻击，并可阻挡缓冲区溢出攻击。此引
擎也支持自动禁止来自受感染计算机的恶意通信。入侵检测引擎支持深度数据包检
查、正则表达式，并且可让您创建使用类似 SNORT 格式的自定义特征。

2、关于主动型威胁防护
主动型威胁防护包含基于行为的安全，可标识联机威胁，如蠕虫、病毒、特洛伊木
马及击键记录程序。TruScan? 主动型威胁扫描根据这些威胁的操作和特性（而不
是使用传统的安全特征）标识威胁。主动型威胁扫描会针对数百种的检测模块分析
威胁的行为，以确定活动的进程是安全的还是具有恶意。此项技术可以在不使用传
统的特征或补丁程序的情况下，通过威胁的行为立即检测和降低未知的威胁。
在支持的 32 位操作系统上，通过主动型威胁防护，还可控制对硬件设备、文件和
注册表键的读取、写入和执行访问。如有必要，您可以改善对特定支持的操作系统
的控制。您也可以通过类 ID 禁用外围设备（例如 USB、蓝牙、红外线、FireWire、
串口、并口、SCSI 和 PCMCIA）。


3、关于防病毒和防间谍软件威胁防护
防病毒和防间谍软件威胁防护通过扫描引导扇区、内存与文件，看其中是否有病
毒、间谍软件和安全风险，防止计算机受感染。防病毒和防间谍软件威胁防护使用
病毒和安全风险特征，可在病毒定义中找到这些特征。此防护通过在不造成计算机
不稳定的情况下，在安全风险安装前先予以禁止，也可保护您的计算机。
防病毒和防间谍威胁防护包括自动防护，可检测尝试访问内存或自行安装的病毒和
安全风险。自动防护也会扫描安全风险，如广告软件和间谍软件。当它发现安全风
险时，会将受感染文件隔离，或者消除和弥补安全风险的负面影响。也可以在自动
防护中禁用安全风险扫描。自动防护可修复复杂的风险，例如屏蔽的用户模式风险
(Rootkit)，以及难以删除或会重新自行安装的永久性安全风险。
防病毒和防间谍软件威胁防护也包括自动防护，通过监控所有 POP3 和 SMTP 通
信，扫描 Internet 电子邮件程序。您可以配置防病毒和防间谍软件威胁防护，使其
扫描传入消息是否有威胁和安全风险，以及扫描传出消息是否进行已知启发式扫
描。扫描传出电子邮件有助于阻止威胁（如蠕虫）的传播，它们可以使用电子邮件
客户端在网络上进行复制。

显然是有这个保护的

[ 本帖最后由 zlx42 于 2008-7-31 21:25 编辑 ]

alvinjx

额。。。。。“入侵防护引擎支持检查端口扫描和拒绝服务攻击，并可阻挡缓冲区溢出攻击”就是代表有缓冲区溢出保护吗？这个我貌似也不太清楚了，但是一个企业端点防护的评测是说SEP没有缓冲区溢出保护。原文是这样的，如图所示，并附上原文
file:///D:/111.jpg

zlx42

扼，这个怎么说呢，那个是2007年的了吧，再说那个评测。。。
还有你难道不认为阻止溢出攻击不就是防护了吗

有可能我对溢出防护的理解不够吧，但我想铁壳不会做那么傻的事情，在自己最新的赚钱利器理舍弃一个原来就有的功能，没有的话也是因为从其它角度进行防范，我不知道那个评测是怎么测的，也许是没有sygate的这个模块，可是sep是一个整体，原来的sygate的其它功能因为跟应用程序与设备控制像重合所以取消掉的吧，所以没有sygate的部分功能不代表sep没有相关功能吧

[ 本帖最后由 zlx42 于 2008-7-31 21:54 编辑 ]

alvinjx

呵呵，我也不清楚，我只是看了评测就事论事而已，呵呵，另外请问下在SEP中哪里可以看见它阻止了缓冲溢出保护的？

zlx42

客户端管理的安全日志，里面有入侵防护的相关日志，有具体记载的
而且好像大部分缓冲溢出都是蠕虫吧

[ 本帖最后由 zlx42 于 2008-7-31 22:13 编辑 ]

zlx42

有人问我要具体设置，其实sep要设置的地方真的不多，我稍微整理了一下。（截图累死我了，没截图软件，用的画图 ）

zlx42

发现还是有很多人误解很多，其实sep真的没有所谓的那么多问题。

final_poseidon

谢谢LZ共享！