谐和 2008-6-26 18:58
SEP(Symantec Endpoint Protection)禁止USB设备和特定应用程序
一、Symantec Endpoint Protection介绍
Symantec Endpoint Protection是取代以下Symantec产品的新一代产品:Symantec AntiVirus Corporate Edition、Symantec Client Security、Symantec Sygate Enterprise Protection、Sygate Secure Enterprise等。Symantec Endpoint Protection提供了高级威胁防护功能,可以保护端点([url=http://mobilecomputing.ctocio.com.cn/mobilesecurity/tt-mobile-msds/]笔记本[/url]电脑、台式计算机和[url=http://server.ctocio.com.cn/]服务器[/url])有受已知威胁和未知威胁的[url=http://whatis.ctocio.com.cn/searchwhatis/308/7333808.shtml]攻击[/url]。Symantec Endpoint Protection可防范恶意软件,如病毒、蠕虫、特洛伊木马、间谍软件和广告软件。它甚至可以防范能避开传统[url=http://security.ctocio.com.cn/]安全[/url]措施的最复杂的攻击。
Symantec Endpoint Protection包含的组件:·Symantec Endpoint Protection客户端,安装在要保护的端点上,还包含Symantec Network Access Control,只有在激活后,才可使用。·Symantec Endpoint Protection Manager安装在管理服务器上。
二、Symantec Endpoint Protection安装布署
1、服务器端安装:
安装系统需求:安装IIS5以上。IE6,如果服务器是Windows 2000 [url=http://whatis.ctocio.com.cn/searchwhatis/497/5948997.shtml]server[/url],需要打sp3以上补丁。
把安装光盘插入的光驱内,自动运行,选择Symantec Endpoint Protection Manager安装,在安装向导提示下进行安装。
·选择安装路径,按默认路径即可:
[img=502,378]http://hiphotos.baidu.[url=http://whatis.ctocio.com.cn/searchwhatis/307/5947307.shtml]com[/url]/senya/pic/item/441f6cf01fb2f2a2a40f52ae.jpg[/img]
·选择站点:选择第一个,服务器上的其它Web站点,可以继续使用:
[img=504,375]http://hiphotos.baidu.com/senya/pic/item/59b37381d9bbb1d5bc3e1eaf.jpg[/img]
·安装向导拷贝程序和文件:
[img=500,378]http://hiphotos.baidu.com/senya/pic/item/a1971c3b5f0761e715cecba8.jpg[/img]
很快就安装完成。
·安装完成后的配置:
·安装一个站点:
[img=479,492]http://hiphotos.baidu.com/senya/pic/item/9fdd7dd92661ff2111df9ba9.jpg[/img]
·配置管理服务器
[img=479,492]http://hiphotos.baidu.com/senya/pic/item/3312b7d39cace939970a16a9.jpg[/img]
·命名新建的站点:
[img=477,489]http://hiphotos.baidu.com/senya/pic/item/f03413d789973fd0a144dfaa.jpg[/img]
·设置加密密码
[img=480,493]http://hiphotos.baidu.com/senya/pic/item/5ee36909688304a22eddd4ab.jpg[/img]
·选择使用[url=http://database.ctocio.com.cn/]数据库[/url]类型
[img=482,491]http://hiphotos.baidu.com/senya/pic/item/fb0a0295c5ceaa057bf480b4.jpg[/img]
·设置管理员密码
[img=482,490]http://hiphotos.baidu.com/senya/pic/item/41339894db74d513d21b70b4.jpg[/img]
·创建并初始化数据:
[img=370,151]http://hiphotos.baidu.com/senya/pic/item/721d8fef4f710fe2ce1b3eb5.jpg[/img]
·配置完成。
[img=484,493]http://hiphotos.baidu.com/senya/pic/item/2c0d559045b4db80a977a4b6.jpg[/img]
2、客户端安装:
·在服务器端生成客户端安装包:
·登录Symantec Endpoint Protection Manager:
[img=740,559]http://hiphotos.baidu.com/senya/pic/item/eec7154600a716046b63e5b7.jpg[/img]
·在“管理员”选项卡”生成客户端安装包:
[img=740,555]http://hiphotos.baidu.com/senya/pic/item/181c1ee913bb8932b80e2db0.jpg[/img]
[img=459,370]http://hiphotos.baidu.com/senya/pic/item/098ece589b04c48c800a18b1.jpg[/img]
·把安装包拷贝到客户端安装。也可以通过[url=http://networking.ctocio.com.cn/]网络[/url]进行安装。
至此,Symantec Endpoint Protection服务器和客户端安装完毕。
Symantec Endpoint Protection(SEP,以下称SEP)通过服务器端的管理器,可以集中管理每个SEP客户端,在SEP服务器管理器上设置“应用程序与设备控制”策略,可以禁用客户端[url=http://whatis.ctocio.com.cn/searchwhatis/461/6025961.shtml]PC[/url]的USB[url=http://storage.ctocio.com.cn/]存储[/url]设备及客户端上的某一个应用程序,这一功能对于单位来说,是非常有用,单位内某些部门有一些敏感性的数据文件,是不能拷贝的,所以某些计算机是不允许随随便便插入移动存储器,当前[url=http://whatis.ctocio.com.cn/searchwhatis/136/5949136.shtml]USB[/url]接口的移动存储器非常多,,如果从[url=http://whatis.ctocio.com.cn/searchwhatis/318/5946818.shtml]BIOS[/url]里硬件禁止,USB接口的鼠标、打印机又不能用。使用SEP就会很好地解决这个问题。
单位中的员工可能会从网上下些程序,这个程序,很可以有病毒或有木马,网络管理人员不能逐个检查每个员工的电脑。SEP服务器可以很方便地扫描SEP客户机,获取安装的(像被称为绿色软件,无须安装即可使用)可执行程序,并且禁止这些程序运行。
一、建立禁止USB设备策略:
登录到SEP管理器,点击“策略”选择项卡,点选“应用程序与设备控制”选项:
[img=640,406]http://hiphotos.baidu.com/senya/pic/item/1314297a6cb8e4e02e73b343.jpg[/img]
在右栏内,右键单击,弹出快捷式菜单:
[img=642,403]http://hiphotos.baidu.com/senya/pic/item/4405acded38c7f55ccbf1a4c.jpg[/img]
单击"添加..."菜单,弹出添加“应用程序与设备控制策略”,在“概述”里输入策略名称:
[img=663,472]http://hiphotos.baidu.com/senya/pic/item/4cf5c82a98568b20d42af14e.jpg[/img]
单击“设备控制”:
单击“添加...”按钮,弹出添加硬件设备对话框:
[img=757,389]http://hiphotos.baidu.com/senya/pic/item/5c1b603e0218673070cf6c4f.jpg[/img]
单击,选择"USB",点击“确定”按钮,在“设备名”下,可以看到USB:
[img=434,409]http://hiphotos.baidu.com/senya/pic/item/1f8ea601e682580e738da549.jpg[/img]
[img=758,385]http://hiphotos.baidu.com/senya/pic/item/9c2fc2541d563c55d1090656.jpg[/img]
二、建立禁止某个应用程序的策略,比如禁止QQ和QQ下载工具(超级旋风):
接着上面,单击“应用程序控制”,并选中“禁止应用程序运行”,右键单击,然后单击快捷菜单的的“编辑...”,或者直接单击,下方的“编辑..”按钮:
[img=760,384]http://hiphotos.baidu.com/senya/pic/item/081ae2fa97485dd3b48f3157.jpg[/img]
弹出“编辑应用程序控制规则集”,单击“禁止这些应用程序”,然后单击“添加...”按钮:
[img=746,754]http://hiphotos.baidu.com/senya/pic/item/3a5decde8e95225994ee3750.jpg[/img]
在弹出的“添加进行定义”对话框中,输入要禁止运行的程序名,然后单击“确定”:
[img=570,369]http://hiphotos.baidu.com/senya/pic/item/348798d69964302207088b52.jpg[/img]
添加了后:
[img=607,481]http://hiphotos.baidu.com/senya/pic/item/8b1b9582121de49df603a653.jpg[/img]
三、分配建立好的策略:
单击“确定”按钮,关闭刚才打开的一些对话,之后会弹出一个对话框:
[img=636,403]http://hiphotos.baidu.com/senya/pic/item/ceb9d6ea15d098ded539c95c.jpg[/img]
单击“确定”,弹出“分配应用程序与设备控制策略”对话框:
[img=445,340]http://hiphotos.baidu.com/senya/pic/item/a4a1d4ef6a16e53bacafd55d.jpg[/img]
选中,要分配的组,在组名前打对勾。
在“客户端”选择项卡的“策略”项内可以看到上面建好并分配到组的禁止策略:
[img=633,404]http://hiphotos.baidu.com/senya/pic/item/6d159918835b74b94aedbc58.jpg[/img]
四、在客户机上试试效果:
选行QQ,时出现如下状况:
[img=159,135]http://hiphotos.baidu.com/senya/pic/item/f62b7dd022213f82a0ec9c59.jpg[/img]
在“我的电脑”或“资源管理器”找不到移动存储。
SEP管理器,可以搜索客户机的可执行程序:
[img=491,669]http://hiphotos.baidu.com/senya/pic/item/bd3400302a011694a9018e24.jpg[/img]
看看,客户端上的可执行程序一览无遗。怎么样?是系统或安全管理员的好帮手吧。
taozifafa 2008-9-3 17:25
什么也没有.有没有好的禁USB的方法.但不禁止使用USB键盘
swordman1006 2008-10-17 14:51
看不到图片啊
shuai21c 2008-11-27 13:56
图片过期了。。楼主过来看看