2024年1月3日发(作者:)

SEP(Symantec Endpoint Protection)禁止USB设备和特定应用程序

一、Symantec Endpoint Protection介绍

Symantec Endpoint Protection是取代以下Symantec产品的新一代产品:Symantec AntiVirus

Corporate Edition、Symantec Client Security、Symantec Sygate Enterprise Protection、Sygate

Secure Enterprise等。Symantec Endpoint Protection提供了高级威胁防护功能,可以保护端点(笔记本电脑、台式计算机和服务器)有受已知威胁和未知威胁的攻击。Symantec Endpoint

Protection可防范恶意软件,如病毒、蠕虫、特洛伊木马、间谍软件和广告软件。它甚至可以防范能避开传统安全措施的最复杂的攻击。

Symantec Endpoint Protection包含的组件:·Symantec Endpoint Protection客户端,安装在要保护的端点上,还包含Symantec Network Access Control,只有在激活后,才可使用。·Symantec Endpoint Protection Manager安装在管理服务器上。

二、Symantec Endpoint Protection安装布署

1、服务器端安装:

安装系统需求:安装IIS5以上。IE6,如果服务器是Windows 2000 server,需要打sp3以上补丁。

把安装光盘插入的光驱内,自动运行,选择Symantec Endpoint Protection Manager安装,在安装向导提示下进行安装。

·选择安装路径,按默认路径即可:

·选择站点:选择第一个,服务器上的其它Web站点,可以继续使用:

·安装向导拷贝程序和文件:

很快就安装完成。

·安装完成后的配置:

·安装一个站点:

·配置管理服务器

·命名新建的站点:

·设置加密密码

·选择使用数据库类型

·设置管理员密码

·创建并初始化数据:

·配置完成。

2、客户端安装:

·在服务器端生成客户端安装包:

·登录Symantec Endpoint Protection Manager:

·在“管理员”选项卡”生成客户端安装包:

·把安装包拷贝到客户端安装。也可以通过网络进行安装。

至此,Symantec Endpoint Protection服务器和客户端安装完毕。

Symantec Endpoint Protection(SEP,以下称SEP)通过服务器端的管理器,可以集中管理每个SEP客户端,在SEP服务器管理器上设置“应用程序与设备控制”策略,可以禁用客户端PC的USB存储设备及客户端上的某一个应用程序,这一功能对于单位来说,是非常有用,单位内某些部门有一些敏感性的数据文件,是不能拷贝的,所以某些计算机是不允许随随便便插入移动存储器,当前USB接口的移动存储器非常多,,如果从BIOS里硬件禁止,USB接口的鼠标、打印机又不能用。使用SEP就会很好地解决这个问题。

单位中的员工可能会从网上下些程序,这个程序,很可以有病毒或有木马,网络管理人员不能逐个检查每个员工的电脑。SEP服务器可以很方便地扫描SEP客户机,获取安装的(像被称为绿色软件,无须安装即可使用)可执行程序,并且禁止这些程序运行。

一、建立禁止USB设备策略:

登录到SEP管理器,点击“策略”选择项卡,点选“应用程序与设备控制”选项:

在右栏内,右键单击,弹出快捷式菜单:

单击"添加..."菜单,弹出添加“应用程序与设备控制策略”,在“概述”里输入策略名称:

单击“设备控制”:

单击“添加...”按钮,弹出添加硬件设备对话框:

单击,选择"USB",点击“确定”按钮,在“设备名”下,可以看到USB:

二、建立禁止某个应用程序的策略,比如禁止QQ和QQ下载工具(超级旋风):

接着上面,单击“应用程序控制”,并选中“禁止应用程序运行”,右键单击,然后单击快捷菜单的的“编辑...”,或者直接单击,下方的“编辑..”按钮:

弹出“编辑应用程序控制规则集”,单击“禁止这些应用程序”,然后单击“添加...”按钮:

在弹出的“添加进行定义”对话框中,输入要禁止运行的程序名,然后单击“确定”:

添加了后:

三、分配建立好的策略:

单击“确定”按钮,关闭刚才打开的一些对话,之后会弹出一个对话框:

单击“确定”,弹出“分配应用程序与设备控制策略”对话框:

选中,要分配的组,在组名前打对勾。

在“客户端”选择项卡的“策略”项内可以看到上面建好并分配到组的禁止策略:

四、在客户机上试试效果:

选行QQ,时出现如下状况:

在“我的电脑”或“资源管理器”找不到移动存储。

SEP管理器,可以搜索客户机的可执行程序:

看看,客户端上的可执行程序一览无遗。怎么样?是系统或安全管理员的好帮手吧。