Symantec Endpoint Protection Manager测试报告.docx
《Symantec Endpoint Protection Manager测试报告.docx》由会员分享,可在线阅读,更多相关《Symantec Endpoint Protection Manager测试报告.docx(19页珍藏版)》请在冰点文库上搜索。
SymantecEndpointProtectionManager测试报告
SymantecEndpointProtectionManager测试报告
一、主页:
在对病毒木马包进行检测测试时,一共3546个危险文件,Symantec用时3分10秒,检测结果处理为3545隔离,1个记录,奇虎360用时2分5秒,检测结果3548待处理项
功能模块
测试与否
测试结果
安全状态
√
通过
端点状态
√
通过
Symantec安全响应中心
√
通过
病毒和风险活动摘要
√
未显示信息,未通过
Symantec每日状态
√
未显示信息,未通过
Symantec每周状态
√
未显示信息,未通过
首要遭攻击目标
√
未显示信息,未通过
测试结果说明:
功能模板的后三项均和“病毒和风险活动摘要”关联,所以其显示信息与否直接决定后三项的测试结果。
不足之处:
Symantec安全响应中心需要连接Internet才可看到,而且由于升级病毒库也需要连接互联网,然而鉴于信息安全考虑,需专人定期从外网下载最新病毒库,然后更新到服务器。
饼状图含义:
测试结果:
经测试,功能完全实现,优点在于:
可详细看到所有分组的客户端的详细情况。
包括:
计算机名、操作系统、组、用户名、上次更改状态的时间、上次扫描时间、IP地址、自动防护状态、防火墙状态、SONAR状态、下载智能扫描状态、网络入侵防护状态、Firefox浏览器入侵防护状态、SNAC状态、防病毒内容、IPS特征、下载防护内容。
这些功能可有助实现对所有客户端安全状态进行检查。
病毒和风险活动摘要:
测试结果:
经测试,功能完全实现,优点在于可详细看出病毒感染情况和由下载智能扫描所得到的文件风险分布和敏感度级别。
不足之处:
由于均处于内网之中,下载所引起的病毒感染不会出现,功能冗余。
二、监视器:
测试结果:
由于测试客户端只有2个,且均安全,故没有检测到风险点。
在“摘要”中可检测病毒和间谍软件防护、网络威胁防护、遵从性和站点状态4种功能状态。
在“日志”中可查看上述4种功能状态的详细日志记录。
在“命令状态”中查看过去某段时间以后的所有客户端接收系统管理有发出命令的状态。
在“通知”中可通知某个组或者单独一个客户端安全提示。
不足之处:
“通知”不能通知系统管理员自定义的消息,发给客户端的命令响应较慢。
三、报告
测试结果:
经测试,报告部分功能可完全实现,其优点在于报告类型全面,可根据实际需求自定义过滤器,创建任意时间段的信息安全报告,具体报告测试如下:
快速报告:
功能模块
测试与否
测试结果
风险报告
√
测试通过
审核报告
√
测试通过
应用程序和设备控制报告
√
测试通过
遵从性报告
√
均为为空白报告
计算机状态报告
√
测试通过
网络威胁防护
√
由于没有来自网络的攻击,所以创建的报告为空白报告
过滤器设置
√
测试通过
目标设置
√
测试通过
调度报告:
功能模块
测试与否
测试结果
添加调度报告
√
测试通过
编辑调度报告
√
测试通过
删除调度报告
√
测试通过
编辑过滤器
√
测试通过
显示报告类型
√
测试通过
四、策略
该部分为该软件的核心,策略具体可分为:
病毒和间谍软件防护、防火墙、入侵防护、应用程序与设备控制、主机完整性、LiveUpdate和例外七大部分,策略组件包括调度扫描模块、管理服务器列表、文件指纹列表、主机组、网络服务、网络适配器和硬件设备七个部分,其任务根据组件的不同而设置,基本功能为:
添加、删除、查询和编辑。
下面是其主要功能的测试结果:
4.1病毒和间谍软件防护:
其主界面为
主界面显示了策略名称、相关说明及最近更改策略的管理员,在“任务”中可导入现成策略(.dat文件)或是添加自定义策略,导入策略相对容易,测试通过,现就自定义策略的测试结果进行详细说明,其主页面如下图所示:
主页定义了策略的名称和说明。
(1)在调度扫描中,管理员可在“扫描”中定义简单的扫描,如每天何时扫描以及扫描模块,在“高级”中可选择调度扫描、启动和触发扫描以及扫描进度显示与否选项,经过测试,功能完全实现。
(2)防护技术中,含自动防护、下载防护和SONAR,在自动防护中可实现远程计算机扫描和自定义扫描文件,在遇到检测的风险后所采取的操作和补救措施,并可设置是否通知受感染计算机显示消息,指定启动和关机选项和自动防护加载选项和附加项,该部分的“操作”模块中的检测“广告软件、玩笑程序…”没有测试,其余测试通过。
(3)下载防护部分由于没有联网,没有进行测试。
(4)SONAR部分的检测用了欧洲病毒防控协会的一段测试代码,可以检测到,同时360也可检测到。
(5)电子邮件扫描部分没有测试。
(6)高级选项包括:
全局扫描选项、隔离和其他,该部分的智能扫描设置和Bloodhound(TM)检测设置没有测试,扫描网络驱动器和共享智能扫描高速缓存测试通过。
4.2防火墙
主页定义名称和说明。
4.2.1防火墙规则
上述为防火墙针对网络通信默认的一些设置,可自定义添加和删除,除此之外可以添加空白规则
此功能即是设定特定应用程序的网络访问权限,再通知中显示客户端程序受限后系统管理员设置的消息提示,经测试,功能安全实现。
4.2.2内置规则:
该功能是自定义允许的通信协议:
启用智能DHCP、启用智能DNS、启用智能WINS和允许令牌环通信,在其他中包括启用NetBIOS防护和启用反向DNS查找,该模块没有检测。
4.2.3防护与隐藏:
防护设置包括启用端口扫描检测、启用拒绝服务检测、启用防MAC欺骗和自动禁止攻击者的IP地址;隐藏设置包括:
启用隐藏式模式网页浏览、TCP重新排序和操作系统指纹伪装,该模块没有检测。
4.2.4windows集成和对等验证设置没有检测
4.3入侵防护没有检测
4.4应用程序与设备控制:
4.4.1应用程序控制:
功能模块
测试与否
测试结果
禁止运行应用程序
√
通过
禁止运行可移动驱动器中的程序
√
通过
使所有可移动驱动器处于只读状态
×
禁止写入USB驱动器
√
通过
记录写到USB驱动器的文件
×
禁止修改主机文件
×
禁止访问脚本
×
停止软件安装程序
√
通过
禁止访问Autorun.inf
×
禁止密码重设工具
×
禁止文件共享
√
通过
防止更改windowsShell加载点(HIPS)
×
防止使用Internetexplorer或Firefox更改系统
×
防止修改系统文件
×
防止注册新的浏览器帮助程序对象(HIPS)
×
防止注册新的工具栏
×
4.4.2设备控制
功能说明:
禁止客户端计算机进行访问的设备包括USB驱动器、蓝牙设备、打印机以及串行和并行接口等,其中测试了USB驱动器、CD/DVD光驱,功能完全满足。
摄像头、打印机、蓝牙、硬盘驱动没有测试,但其原理相同。
在例外中,特设U盘也可满足。
4.5主机完整性
没有测试
4.6LiveUpdate
主要功能包括:
服务器设置、调度、高级设置
服务器设置
功能模块
测试与否
测试结果
管理内容更新
√
通过
配置下载更新的站点
×
配置LiveUpdate下载调度
√
通过
将LiveUpdate内容手动下载到服务器
√
通过
客户端组更新提供者选择
√
客户端既是接受者又是分配者,不足说明情况
第三方管理
×
为勾选项,客户端未见
代理服务器设置
×
不会HTTP和FTP端口设置测试
内部LiveUpdate服务器
√
服务器仅一台,不足说明情况
调度:
模块功能
测试与否
测试结果
启用LiveUpdate调度
√
通过
频率设置
√
通过
空闲检测
√
通过
用于跳过LiveUpdate的选项
√
通过
高级设置
模块功能
测试与否
测试结果
用户设置
√
通过
产品更新设置
√
通过
HTTP标头
×
不会测试
4.7例外
主要包括应用程序、要监视的应用程序、应用程序控制、扩展名、文件、文件夹、已知风险、可信web域、防篡改例外,也可自定义添加.exe文件
功能模块
测试与否
测试结果与说明
应用程序例外例外
√
用qq.exe进行测试,通过
要监视的应用程序例外
√
用notepad.exe进行测试,通过
应用程序控制例外
×
不懂前缀变量含义
扩展名例外
√
自定义的文件扩展名本就安全,故扫描也安全,不足以说明情况
文件例外
×
不懂前缀变量含义
文件夹例外
×
不懂前缀变量含义
已知安全风险例外
√
可将一测试病毒进行例外,通过
可信web域例外
×
此功能须下载智能扫描
防篡改例外
×
不懂前缀变量含义
客户端限制即是选择用户可添加的例外类型,既是上面所测功能的自定义选择组合
五、客户端
共分为客户端、策略、详细信息和安装软件包四大模块
5.1客户端
功能模块
测试与否
测试结果与说明
管理客户端组
√
通过
添加客户端
√
通过
编辑客户端属性
√
通过
删除客户端
√
通过
移动客户端
√
通过
对计算机运行命令
√
通过
搜索客户端
√
通过
对组运行命令
√
通过
远程配置客户端
×
测试失败
导入组织单位
×
需要添加LDAP服务器
导入ActiveDirectory和LDAP用户
×
需要添加LDAP服务器
5.2策略
自定义入侵防护
×
处于关闭状态
系统锁定
×
处于关闭状态
网络应用程序监控
×
处于关闭状态
为分组和客户端分配策略
√
通过
LiveUpdate内容策略设置
√
没有设置选项,未通过
客户端日志设置
√
由于不知怎样查看系统日志、数据包日志等日志大小,故通过与否未知
通信设置
√
通过
外部通信设置
×
文件信誉、代理服务器等未知
常规设置
√
除防止Symantec安全软件被篡改没有测试外,其余均测试通过
5.3详细信息:
为介绍类文字
5.4安装软件包:
可选安装包就一个,故不足以证实该功能
六、管理员
可分为管理员、域、服务器、安装软件包和许可证五个部分
6.1管理员
功能模块
测试与否
测试结果与说明
重命名管理员
√
通过
更改密码
√
通过
编辑管理员
√
通过
删除管理员
√
通过
添加管理员
√
通过
6.2域
功能模块
测试与否
测试结果与说明
重命名域
√
通过
编辑域属性
√
通过
添加域
√
通过
6.3服务器
功能模块
测试与否
测试结果与说明
编辑服务器属性
√
通过
删除所选服务器
√
通过
管理服务器证书
√
通过
配置SecurID验证
√
上载RSA文件测试失败
导入服务器属性
√
通过
导出服务器属性
√
通过
6.4安装软件包
功能模块
测试与否
测试结果与说明
导出客户端安装软件包
√
通过
删除客户端软件安装包
√
通过
编辑客户端安装软件包属性
√
通过
使用软件包升级客户端
√
通过
添加客户端安装软件包
√
通过
设置用户信息收集
√
测试,但不知在哪里进行查看用户信息