赛门铁克 技术信息 第一期.docx
《赛门铁克 技术信息 第一期.docx》由会员分享,可在线阅读,更多相关《赛门铁克 技术信息 第一期.docx(17页珍藏版)》请在冰豆网上搜索。
赛门铁克技术信息第一期
赛门铁克技术支持信息第一期
SEP产品、BE产品
SEP热点问题解答
⏹LANEnforcer:
如何配置以便处理尚未连接到SEPM管理器的新安装客户端?
⏹LANEnforcer:
理解基本模式和透明模式
⏹LANEnforcer设备工作原理
⏹SEP客户端绿点时现时隐
⏹我在哪里可以查询到我们的通用漏洞阻截(GenericExploitBlocker)特征库?
⏹GUP在设置时,可不可以设置一个单GUP点和一个GUPList的混合策略?
⏹如何把SEP11整合到标准操作系统镜像文件中以便统一部署?
⏹SEPM可以对Exchange2010进行例外排除设置吗?
⏹我们支持那种版本的Xpe?
⏹Symantec对病毒的命名基于什么标准?
BE热点问题解答
⏹如何创建源端重复数据删除的备份作业?
⏹如何备份重复数据删除存储文件夹存储?
1.LANEnforcer:
如何配置以便处理尚未连接到SEPM管理器的新安装客户端?
配置其中含有SymantecLANEnforcer设备的SymantecNetworkAccessControl(SNAC)环境时,遇到有关尚未连接到策略管理器服务器(SEPM)的新安装SymantecEndpointProtection(SEP)客户端的问题。
这些计算机怎样才算获得网络的访问权限呢?
它们如何从SEPM下载策略?
在SEPM服务器将这些计算机识别为已知计算机之前,LANEnforcer如何验证它们?
请参照下面的描述进行操作。
配置默认的LANEnforcer操作
在SEPM中,为LANEnforcer配置了一系列操作-通常有:
通过主机完整性检查时打开端口/分配到默认VLAN;主机完整性检查失败时分配到隔离VLAN。
SEPM中的LANEnforcer交换机配置位于“管理”-“服务器”下的Enforcer组属性下。
典型示例配置:
操作1
主机身份验证:
通过用户身份验证:
忽略结果策略检查:
忽略结果操作:
打开端口
操作2主机身份验证:
失败用户身份验证:
忽略结果
策略检查:
忽略结果操作:
分配到隔离VLAN在此示例中,如果“主机完整性”状态不是“通过”或“失败”,会关闭端口。
如果新安装的客户端
还未有“主机完整性”策略,则状态为“不可用”。
为了解决这个问题以及上面的操作1和操作2没有涵盖的情形,需要在SEPM中配置一项默认操作。
将以下操作添加到列表的最底部:
操作3主机身份验证:
忽略结果用户身份验证:
忽略结果
策略检查:
忽略结果操作:
分配到隔离VLAN
这会将所有非“主机完整性”通过案例分配到隔离VLAN。
假如从隔离VLAN和默认VLAN都可以访问SEPM服务器,则这样应该允许新安装的客户端在SEPM中注册并下载新的策略。
配置VLAN间路由
必须在隔离VLAN和默认VLAN间配置路由,以便允许流向SPEM服务器IP地址的流量也可来自隔离VLAN。
在较新的交换机型号上,通常可在交换机本身上进行此项配置。
在较旧的交换机上,可能需要配置单独的双宿主(两个网卡)计算机以充当路由器,并将该计算机连接到这两个VLAN。
验证客户端上的802.1x请求方设置
验证用于新客户端的安装软件包是否配置为启用802.1x身份验证。
在SEPM管理器的GUI中,此项设置位于“客户端”-“策略”下的“常规设置”-“安全设置”下。
导出软件包前,应为组选中“启用802.1x身份验证”选项。
如果使用透明模式(没有radius用户级别验证),应选中“将客户端用作802.1x请求方”选项;如果使用基本模式(使用radius服务器进行用户身份验证),则不要选中此选项(但仍要选中“启用802.1x身份验证”主选项)。
2.LANEnforcer:
理解基本模式和透明模式
在SymantecNetworkAccessControl(SNAC)解决方案中使用SymantecLANEnforcer时,基本模式和透明模式间的区别是什么?
SymantecLANEnforcer与兼容802.1x的交换机以及无线接入点一起在网络上执行端点遵从。
这表示,它只允许与可在管理服务器(SymantecEndpointProtection11.0中的SymantecEndpointProtectionManager(SEPM)或SymantecSygateEnterpriseProtection5.1中的SymantecPolicyManager(SPM))中进行全部配置的一组标准(“主机完整性”策略)匹配的计算机进行完全网络访问。
根据是否同时在网络上使用RADIUS用户级别验证,LANEnforcer有两种操作模式:
透明模式和基本模式。
在这两种模式中,交换机被配置为使用LANEnforcer的IP地址作为其RADIUS服务器IP地址。
LANEnforcer可以指示交换机打开和关闭端口,以及动态地将端口分配给特定的VLAN。
基于以下三个标准,可以在管理服务器中配置要采取的操作:
⏹主机身份验证通过还是失败(根据计算机是否通过“主机完整性”检查);如果没有配置主机完整性设置,则不可用。
⏹用户身份验证:
RADIUS用户级别身份验证通过还是失败(基于来自RADIUS服务器的回复);如果未使用RADIUS服务器,则不可用。
⏹策略序列号检查:
客户端是否有来自SEPM管理器的最新策略配置?
Ø透明模式
如果网络上没有RADIUS服务器,并且当前的交换机配置中没必要使用用户级别身份验证,则使用透明模式。
在透明模式中,LANEnforcer充当伪RADIUS服务器。
客户端将充当802.1x请求方,并使用“主机完整性”检查结果回复来自交换机的EAP数据包。
然后,交换机将该信息转发给LANEnforcer。
LANEnforcer验证该信息,然后相应地指示交换机打开/关闭端口或者分配特定的VLAN。
在透明模式中,用户身份验证始终为“不可用”。
客户端配置:
选中管理控制台中的“将客户端用作802.1x请求方”选项。
Ø基本模式
如果网络上有提供用户级别身份验证的RADIUS服务器,则使用基本模式。
在基本模式中,LANEnforcer将充当RADIUS代理。
对于交换机配置,仍然将LANEnforcerIP地址作为其RADIUS服务器,并且LANEnforer反过来会将请求转发给RADIUS服务器以进行用户身份验证。
在基本模式中,客户端不可以用作802.1x请求方,而是使用Windows请求方或第三方请求方。
将LANEnforcer配置为与无线接入点一起使用时,基本模式是唯一可能的选项。
客户端配置:
保留管理控制台中的“将客户端用作802.1x请求方”选项未选中。
更改客户端请求方设置的位置:
在SEPM管理器的GUI中,此项设置位于“客户端”-“策略”下的“常规设置”-“安全设置”下。
应为组选中“启用802.1x身份验证”选项。
如果使用透明模式,应选中“将客户端用作802.1x请求方”选项;如果使用基本模式,则不要选中此选项(但仍要选中“启用802.1x身份验证”主选项)。
3.LANEnforcer设备工作原理
LANEnforcer设备行使远程身份验证拨号用户服务(RADIUS)代理的职责。
可以使用LANEnforcer设备与RADIUS服务器来执行以下操作:
■执行传统的802.1x/EAP用户身份验证。
■验证客户端计算机是否符合管理服务器上设置的安全策略(主机身份验证)。
在不使用RADIUS服务器的网络中,LANEnforcer设备仅执行主机身份验证。
安装LANEnforcer设备与RADIUS服务器后,可以为安全网络提供以下优势:
■拒绝恶意计算机访问网络。
所有尝试连接至网络的用户均必须先通过RADIUS进行身份验证。
■可以强制实施安全策略,例如确保计算机安装正确的防病毒软件、修补程序或其他软件。
可以验证客户端计算机是否运行Symantec客户端,并验证其是否已通过主机完整性检查。
LANEnforcer设备与支持EAP/802.1x身份验证的交换机或无线接入点进行通信。
交换机或无线接入点通常配置到两个或多个虚拟局域网(VLAN)。
客户端计算机上的Symantec客户端使用EAPOL(局域网上的EAP)协议将EAP信息或主机完整性检查信息传递给交换机。
交换机将这些信息转发给LANEnforcer设备进行身份验证。
可以为LANEnforcer设备配置身份验证失败时的各种可能响应。
响应取决于身份验证失败类型:
主机身份验证或EAP用户身份验证。
如果使用交换机或无线接入点,可以设置LANEnforcer设备将经过身份验证的客户端定向至不同VLAN。
交换机或无线接入点必须提供动态VLAN能力。
VLAN可能包括补救VLAN。
如果使用LANEnforcer和RADIUS服务器,则可以为Enforcer配置多个RADIUS服务器连接。
如果一个RADIUS服务器连接失败,LANEnforcer设备可以切换至另一个服务器连接。
此外,可以设置多个LANEnforcer设备连接至交换机。
如果一个LANEnforcer设备无法响应,另一个LANEnforcer设备可以处理该身份验证。
LANEnforcer基本配置工作原理
如果熟悉802.1x身份验证,可以使用基本配置查看尝试访问网络的客户端的详细信息。
该信息对排除网络连接故障非常有用。
⏹请求方(如客户端计算机)尝试通过身份验证方(如802.1x交换机)访问网络。
⏹交换机看到计算机并请求进行身份识别。
⏹计算机上的802.1x请求方会提示用户输入用户名和密码,并使用其身份信息进行响应。
⏹交换机将此信息转发给LANEnforcer,LANEnforcer再将该信息转发给RADIUS服务器。
⏹RADIUS服务器通过选择基于其配置的EAP类型生成EAP质询。
⏹LANEnforcer收到该质询,添加主机完整性质询,然后将其转发给交换机。
⏹交换机将EAP和主机完整性质询转发给客户端。
⏹客户端收到质询并发送响应。
⏹交换机收到该响应并将其转发给LANEnforcer。
⏹LANEnforcer检查主机完整性检查结果和客户端状态信息,并将其转发给RADIUS服务器。
⏹RADIUS服务器执行EAP身份验证并将验证结果发回给LANEnforcer。
⏹LANEnforcer收到身份验证结果,然后转发该结果以及要采取的操作。
⏹交换机选择相应操作,并根据验证结果允许正常网络访问、阻止访问或允许访问备用VLAN。
LANEnforcer透明模式工作原理
LANEnforcer透明模式工作原理如下:
⏹请求方(如客户端计算机)尝试通过身份验证方(如802.1x交换机)访问网络。
⏹身份验证方看到该计算机并发送EAP身份验证数据包(仅允许EAP通信)。
⏹充当EAP请求方的客户端看到该身份验证数据包并用主机完整性身份验证进行响应。
⏹交换机将主机完整性身份验证结果发送给作为RADIUS代理服务器运行的LANEnforcer设备。
⏹LANEnforcer设备回复交换机有关基于验证结果所进行的VLAN分配的信息。
关于802.1x身份验证
IEEE802.1X-2001是一项定义无线或有线LAN访问控制的标准。
该标准提供一个框架,以便对受保护网络上的用户通信进行身份验证和控制。
该标准指定可扩展身份验证协议(EAP)的使用,而EAP使用集中式身份验证服务器,如远程身份验证拨号用户服务(RADIUS)。
该服务器对尝试访问网络的每个用户进行身份验证。
802.1x标准包括EAP-over-LAN(EAPOL)规范。
EAPOL用于封装链路层帧(如以太网)中的EAP消息,并且还提供控制功能。
802.1x架构包括以下关键组件:
⏹身份验证方-通过其进行身份验证的实体,如兼容802.1x的LAN交换机或无线接入点
⏹身份验证服务器-通过验证作为质询的响应而提供的凭据来提供实际身份验证的实体,如RADIUS服务器
⏹请求方-尝试访问网络并尝试成功进行身份验证的实体,如计算机当请求方设备连接至启用802.1x的网络交换机身份验证方时,会执行以下过程:
⏹交换机发出EAP身份请求。
⏹EAP请求方软件用EAP身份响应进行响应,该响应由交换机转发给身份验证服务器(如
⏹RADIUS)。
⏹身份验证服务器发出EAP质询,该质询由交换机转发给请求方。
⏹用户输入身份验证凭据(用户名和密码、令牌等)。
⏹请求方将EAP质询响应(包括用户提供的凭据)发送至交换机,交换机将其转发给身份验证服务器。
⏹验证服务器验证凭据,并用EAP或用户身份验证结果进行回复,该结果会指明身份验证是成功还是失败。
⏹如果身份验证成功,交换机允许访问进行正常通信。
如果身份验证失败,会阻止客户端设备访问。
无论哪种情况均会通知请求方结果。
身份验证过程中仅允许EAP通信
有关EAP的详细信息,请参考以下URL中的IETF的RFC2284:
http:
//www.ietf.org/rfc/rfc2284.txt有关IEEE标准802.1x的其他详细信息,请访问以下URL参考该标准的文本:
http:
//standards.ieee.org/getieee802/download/802.1x-2001.pdf
对第三方供应商强制产品的支持
Symantec以多种方式对其他供应商开发的强制解决方案提供支持:
⏹通用强制API-Symantec开发了通用API,允许具有相关技术的其他供应商将其解决方案与Symantec软件相集成。
⏹CiscoNetworkAdmissionsControl-Symantec客户端可支持CiscoNetworkAdmissionsControl强制解决方案。
4.SEP客户端绿点时现时隐
问题
SEP绿点时现时隐。
在SEPM中此客户端为正常状态。
SEP客户端的注册表中SMC项目下面没有生成SYLINK等信息;SEP客户端还能从SEPM获取定义,但其组信息等策略不能更新,也不能接受来自SEPM的命令。
从SEPM中将此SEP客户端删除后,并重启SEP客户端的SMC服务后,此客户端会出现在SEPM的Defaultgroup中,但SEP客户端的troubleshooing里显示的还是原来的组。
用Sylinkmonitor能看到log中有如下错误信息:
SignatureverificationFAILEDforIndexFileContent
解决方案
⏹创建一个新组并禁用SignatureVerification:
Ø进入SEPM。
Ø选择Clients,创建一个新组,并点击此新组。
Ø在右边窗口中选择Policies。
Ø点击GeneralSettings。
Ø选择Security标签。
Ø不要选中"Enablesecurecommunicationsbetweenthemanagementserverandclientsbyusingdigitalcertificatesforauthentication."
Ø点“确定”退出。
⏹导出此新组的通讯文件并替换SEP客户端的Sylink文件
⏹从SEPM中将此客户端删除
⏹待客户端SMC重启以后,些客户端会加入到此新组。
5.我在哪里可以查询到我们的通用漏洞阻截(GenericExploitBlocker)
特征库?
您可以在安全响应中心网站上找到特征列表:
向下切入可以看到每个安全更新的详细信息。
网站上还有一个综合的特征列表,只是它是针对所有产
品的,其中有些特征对SEP并不适用,其网址是:
SEPM也可以根据您具有的策略显示可用的特征。
6.GUP在设置时,可不可以设置一个单GUP点和一个GUPList的混合策略?
可以。
SEP11有此功能。
在添加GUPList时打开的对话框的底部,有一个选项,可以添加单个GUP。
这样,就可以同时设置单个GUP和GUPList。
注意:
客户端总是先使用GUPlist,因为GUPlist只能用于本地子网。
而单个GUP选项则可以跨路由器(或WAN链接)使用。
我们总是先使用本地GUP,然后才会使用其他子网中的GUP;因此我们总是先使用GUPlist,然后再列表中没有合适的GUP时才会使用单个GUP。
7.如何把SEP11整合到标准操作系统镜像文件中以便统一部署?
问题在于新建的映像可能与原有系统具有系统的名称(IP地址/MAC地址及其他),但它将具有一个新的硬件ID。
如果您使用的是MR4或更早的版本,那么很不幸,硬件ID生成存在很大的风险。
在Ru5中,硬件ID存储在一个XML文件中。
在重映像系统之前抓取这个文件,把它放在新映像中,以在其连接SEPM之前强制它使用所需的硬件ID。
有关此过程的详细信息,请参考以下知识库文章:
PreparingaSymantecEndpointProtectionReleaseUpdate5ClientforImageredistribution
DuplicatehardwareIDresultsinonlyoneclientshowingupintheEndpointProtectionManagerfortwosystems
8.SEPM可以对Exchange2010进行例外排除设置吗?
不能。
我们计划在RU6中添加此功能。
但由于微软还没有此方面的知识库文章,添加此功能并非易事。
9.我们支持那种版本的Xpe?
SEPforXPEmbedded产品支持基于WindowsXP的任何版本的Xpe。
对微软网站上下面这些Xpe的支持如下:
⏹WindowsEmbeddedCE(6.0)
⏹SEPforXPEmbedded5.1尚不支持不过MobileSecurity解决方案支持。
⏹WindowsEmbeddedStandard支持
⏹WindowsEmbeddedPOSready支持
⏹WindowsEmbeddedEnterprice(including
⏹-Windows7ProfessionalforEmbeddedSystems尚未推出。
⏹-Windows7UltimateforEmbeddedSystems尚未推出。
⏹-WindowsXPProfessionalforEmbeddedSystems支持
⏹-WindowsVistaBusinessforEmbeddedSystems不确定是否已推出
⏹-WindowsVistaUltimateforEmbeddedSystems不确定是否已推出
⏹WindowsEmbeddedNavReady基于WindowsCE,请看上文
⏹WindowsEmbeddedServer基于WindowsServer2003和2008。
SEPforXPEmbedded5.1不支持。
我建议使用SEP11。
⏹MicrosoftAuto基于WindowsCE,请看上文
10.Symantec对病毒的命名基于什么标准?
病毒的命名标准是由安全社区在多年前制定的。
很多经销商使用自己的命名标准。
Symantec还在沿用很多以前的命名标准,例如W32代表为32位操作系统编写的恶意软件。
MM代表邮件群发工具
(一般通过恶意软件中附带的SMTP程序散播)。
GEN并非标准的一部分。
但大家常会看到GEN或GEN的变体,它代表的是泛类。
在这种情况下,GEN代表的是启发式特征。
有一种特征W32.Ackantta@mm是用来检测Ackantta的特定变体的。
还有一种特征signatureW32.Ackantta!
gen是启发式特征,用来捕捉未知的威胁变体。
有关更多命名标准,请参见以下网址:
BE热点问题解答
⏹如何创建源端重复数据删除的备份作业?
⏹如何备份重复数据删除存储文件夹存储?
如何创建源端重复数据删除的备份作业?
若要创建源端重复数据删除的备份作业,请遵循以下步骤:
1确认在BackupExec2010介质服务器上已经安装了DeduplicationOption
2点击BE菜单上的“工具”>“配置设备”>“配置设备助理”,在BE服务器上创建“重复数据删除存储”文件夹
3在远程计算机上安装远程代理RemoteAgentforWindowsServer
4在BE服务器上,通过“工具”>“配置设备”>“配置设备助理”,单击“具有直接访问的RemoteAgent”
5添加含直接访问的远程代理,即添加要进行源端重复数据删除的计算机
成功添加后如下图所示:
6创建备份作业,选择源端计算机所需备份数据后,在“设备和介质”处,确认设备已选择“重复数据删除存储”文