Symantec Endpoint Protection Manager测试报告.docx

1、Symantec Endpoint Protection Manager测试报告Symantec Endpoint Protection Manager测试报告一、主页：在对病毒木马包进行检测测试时，一共3546个危险文件，Symantec用时3分10秒，检测结果处理为3545隔离，1个记录，奇虎360用时2分5秒，检测结果3548待处理项功能模块测试与否测试结果安全状态通过端点状态通过Symantec安全响应中心通过病毒和风险活动摘要未显示信息，未通过Symantec每日状态未显示信息，未通过Symantec每周状态未显示信息，未通过首要遭攻击目标未显示信息，未通过测试结果说明：功能模板的后

2、三项均和“病毒和风险活动摘要”关联，所以其显示信息与否直接决定后三项的测试结果。不足之处：Symantec 安全响应中心需要连接Internet才可看到，而且由于升级病毒库也需要连接互联网，然而鉴于信息安全考虑，需专人定期从外网下载最新病毒库，然后更新到服务器。饼状图含义：测试结果：经测试，功能完全实现，优点在于：可详细看到所有分组的客户端的详细情况。包括：计算机名、操作系统、组、用户名、上次更改状态的时间、上次扫描时间、IP地址、自动防护状态、防火墙状态、SONAR状态、下载智能扫描状态、网络入侵防护状态、Firefox浏览器入侵防护状态、SNAC状态、防病毒内容、IPS特征、下载防护内容。

3、这些功能可有助实现对所有客户端安全状态进行检查。病毒和风险活动摘要：测试结果：经测试，功能完全实现，优点在于可详细看出病毒感染情况和由下载智能扫描所得到的文件风险分布和敏感度级别。不足之处：由于均处于内网之中，下载所引起的病毒感染不会出现，功能冗余。二、监视器：测试结果：由于测试客户端只有2个，且均安全，故没有检测到风险点。在“摘要”中可检测病毒和间谍软件防护、网络威胁防护、遵从性和站点状态4种功能状态。在“日志”中可查看上述4种功能状态的详细日志记录。在“命令状态”中查看过去某段时间以后的所有客户端接收系统管理有发出命令的状态。在“通知”中可通知某个组或者单独一个客户端安全提示。不足之处：“

4、通知”不能通知系统管理员自定义的消息，发给客户端的命令响应较慢。三、报告测试结果：经测试，报告部分功能可完全实现，其优点在于报告类型全面，可根据实际需求自定义过滤器，创建任意时间段的信息安全报告，具体报告测试如下：快速报告：功能模块测试与否测试结果风险报告测试通过审核报告测试通过应用程序和设备控制报告测试通过遵从性报告均为为空白报告计算机状态报告测试通过网络威胁防护由于没有来自网络的攻击，所以创建的报告为空白报告过滤器设置测试通过目标设置测试通过调度报告：功能模块测试与否测试结果添加调度报告测试通过编辑调度报告测试通过删除调度报告测试通过编辑过滤器测试通过显示报告类型测试通过四、策略该部分为该

5、软件的核心，策略具体可分为：病毒和间谍软件防护、防火墙、入侵防护、应用程序与设备控制、主机完整性、LiveUpdate和例外七大部分，策略组件包括调度扫描模块、管理服务器列表、文件指纹列表、主机组、网络服务、网络适配器和硬件设备七个部分，其任务根据组件的不同而设置，基本功能为：添加、删除、查询和编辑。下面是其主要功能的测试结果：4.1病毒和间谍软件防护：其主界面为主界面显示了策略名称、相关说明及最近更改策略的管理员，在“任务”中可导入现成策略（.dat文件）或是添加自定义策略，导入策略相对容易，测试通过，现就自定义策略的测试结果进行详细说明，其主页面如下图所示：主页定义了策略的名称和说明。（1

6、）在调度扫描中，管理员可在“扫描”中定义简单的扫描，如每天何时扫描以及扫描模块，在“高级”中可选择调度扫描、启动和触发扫描以及扫描进度显示与否选项，经过测试，功能完全实现。（2）防护技术中，含自动防护、下载防护和SONAR，在自动防护中可实现远程计算机扫描和自定义扫描文件，在遇到检测的风险后所采取的操作和补救措施，并可设置是否通知受感染计算机显示消息，指定启动和关机选项和自动防护加载选项和附加项，该部分的“操作”模块中的检测“广告软件、玩笑程序”没有测试，其余测试通过。（3）下载防护部分由于没有联网，没有进行测试。（4）SONAR部分的检测用了欧洲病毒防控协会的一段测试代码，可以检测到，同时3

7、60也可检测到。（5）电子邮件扫描部分没有测试。（6）高级选项包括：全局扫描选项、隔离和其他，该部分的智能扫描设置和Bloodhound（TM）检测设置没有测试，扫描网络驱动器和共享智能扫描高速缓存测试通过。4.2防火墙主页定义名称和说明。4.2.1防火墙规则上述为防火墙针对网络通信默认的一些设置，可自定义添加和删除，除此之外可以添加空白规则此功能即是设定特定应用程序的网络访问权限，再通知中显示客户端程序受限后系统管理员设置的消息提示，经测试，功能安全实现。4.2.2内置规则：该功能是自定义允许的通信协议：启用智能DHCP、启用智能DNS、启用智能WINS和允许令牌环通信，在其他中包括启用Ne

8、tBIOS防护和启用反向DNS查找，该模块没有检测。4.2.3防护与隐藏：防护设置包括启用端口扫描检测、启用拒绝服务检测、启用防MAC欺骗和自动禁止攻击者的IP地址；隐藏设置包括：启用隐藏式模式网页浏览、TCP重新排序和操作系统指纹伪装，该模块没有检测。4.2.4windows集成和对等验证设置没有检测4.3入侵防护没有检测4.4应用程序与设备控制：4.4.1应用程序控制：功能模块测试与否测试结果禁止运行应用程序通过禁止运行可移动驱动器中的程序通过使所有可移动驱动器处于只读状态禁止写入USB驱动器通过记录写到USB驱动器的文件禁止修改主机文件禁止访问脚本停止软件安装程序通过禁止访问Autoru

9、n.inf禁止密码重设工具禁止文件共享通过防止更改windows Shell加载点（HIPS）防止使用Internet explorer或Firefox更改系统防止修改系统文件防止注册新的浏览器帮助程序对象（HIPS）防止注册新的工具栏4.4.2设备控制功能说明：禁止客户端计算机进行访问的设备包括USB驱动器、蓝牙设备、打印机以及串行和并行接口等，其中测试了USB驱动器、CD/DVD光驱，功能完全满足。摄像头、打印机、蓝牙、硬盘驱动没有测试，但其原理相同。在例外中，特设U盘也可满足。4.5主机完整性没有测试4.6 LiveUpdate主要功能包括：服务器设置、调度、高级设置服务器设置功能模块测

10、试与否测试结果管理内容更新通过配置下载更新的站点配置LiveUpdate下载调度通过将LiveUpdate内容手动下载到服务器通过客户端组更新提供者选择客户端既是接受者又是分配者，不足说明情况第三方管理为勾选项，客户端未见代理服务器设置不会HTTP和FTP端口设置测试内部LiveUpdate服务器服务器仅一台，不足说明情况调度：模块功能测试与否测试结果启用LiveUpdate调度通过频率设置通过空闲检测通过用于跳过LiveUpdate的选项通过高级设置模块功能测试与否测试结果用户设置通过产品更新设置通过HTTP标头不会测试4.7例外主要包括应用程序、要监视的应用程序、应用程序控制、扩展名、文件

11、、文件夹、已知风险、可信web域、防篡改例外，也可自定义添加.exe文件功能模块测试与否测试结果与说明应用程序例外例外用qq.exe进行测试，通过要监视的应用程序例外用notepad.exe进行测试，通过应用程序控制例外不懂前缀变量含义扩展名例外自定义的文件扩展名本就安全，故扫描也安全，不足以说明情况文件例外不懂前缀变量含义文件夹例外不懂前缀变量含义已知安全风险例外可将一测试病毒进行例外，通过可信web域例外此功能须下载智能扫描防篡改例外不懂前缀变量含义客户端限制即是选择用户可添加的例外类型，既是上面所测功能的自定义选择组合五、客户端共分为客户端、策略、详细信息和安装软件包四大模块5.1客户端

12、功能模块测试与否测试结果与说明管理客户端组通过添加客户端通过编辑客户端属性通过删除客户端通过移动客户端通过对计算机运行命令通过搜索客户端通过对组运行命令通过远程配置客户端测试失败导入组织单位需要添加LDAP服务器导入Active Directory和LDAP用户需要添加LDAP服务器5.2策略自定义入侵防护处于关闭状态系统锁定处于关闭状态网络应用程序监控处于关闭状态为分组和客户端分配策略通过LiveUpdate内容策略设置没有设置选项，未通过客户端日志设置由于不知怎样查看系统日志、数据包日志等日志大小，故通过与否未知通信设置通过外部通信设置文件信誉、代理服务器等未知常规设置除防止Symante

13、c安全软件被篡改没有测试外，其余均测试通过5.3详细信息：为介绍类文字5.4安装软件包：可选安装包就一个，故不足以证实该功能六、管理员可分为管理员、域、服务器、安装软件包和许可证五个部分6.1管理员功能模块测试与否测试结果与说明重命名管理员通过更改密码通过编辑管理员通过删除管理员通过添加管理员通过6.2域功能模块测试与否测试结果与说明重命名域通过编辑域属性通过添加域通过6.3服务器功能模块测试与否测试结果与说明编辑服务器属性通过删除所选服务器通过管理服务器证书通过配置SecurID验证上载RSA文件测试失败导入服务器属性通过导出服务器属性通过6.4安装软件包功能模块测试与否测试结果与说明导出客户端安装软件包通过删除客户端软件安装包通过编辑客户端安装软件包属性通过使用软件包升级客户端通过添加客户端安装软件包通过设置用户信息收集测试，但不知在哪里进行查看用户信息