关于sep11使用的问题自我总结以及对相关的问题的一些看法(以及一些相关设置)
最初由于以下下事件而在 绅博 发帖询问的([color=Red]那时在卡饭潜水了一段时间,就是无缘注册[/color][:05:] )[quote]前段时间在kafan下了个包包([color=Blue]是临时论坛理找到的,如今已经找不的到了[/color]),好像是什么网页病毒,我用sep扫描压缩包居然一个都没扫出,但是在解压的时候全部被干掉,就是觉得有点奇怪,这个主防到底是什么,按道理我解压的时候报也应该是特征码识别吧,我有没运行病毒啊,难道还跟主防的什么敏感度有关??这个主防不依靠特征码也不是行为分析([color=Blue]没运行[/color])那到底是什么啊?难不成是什么启发还是虚拟机,不过这连个在扫描的时候不是也应该有用的码?有或者这个不算是主防而是监控?但好像监控也是特征码识别吧。。。。。
还有那个什么truscan也真搞不懂到底是什么意思,好像只是过段时间扫描一下
可能我理解的有问题还望大家解惑。[/quote]
后来经过一段时间的使用和理解,终于明白了一些:
关于主防的:
[quote]sep的主防主要还是依赖于sonar的行为启发([color=Blue]可能是虚拟机沙盘之类吧[/color]),并不是现在主流的所谓行为分析,但防护效果还是很显著的(赛铁的防现在就是靠sonar吃饭的),估计应该跟卡巴的主防有的一比([color=Red]这个是个人感觉,如果不同意就无视吧^_^[/color]),有人说sep的主防不敏感,但实际上对危险行为还是蛮敏感的,可能跟23个ssdt也有关。。([color=Blue]这个也忒多了点[/color])[/quote]
有必要说下的是不单主防,sep的整体防护是很好的,虽说扫描区测试不太理想,单事实上自动防护与扫描之间还是有微妙的区别的,自动防护可能能识别的病毒比扫描少,因为有一次试过扫描比自动多扫出一些,但扫描出的个体还是有些差别,主要是因为自动防护的启发式可以调整,而默认右键扫描貌似不可以([color=Blue]只有定制的扫描才可以[/color]),就如之前的情况,有可能自动防护报而扫描不报,还有一个就是sonar,虽然有人说sonar就是一启发式,确实是,但它是行为启发,所以对付未知病毒还是蛮有效的,而且好像不仅仅是sonar,因为norton360也有sonar但sep的说明里明显有别于那个,说是结合的对bot删的防御([color=Blue]也就是说可能有antibots的部分功能[/color]),所以说sep但就主防来说要比360强。
所以如果你习惯好,先右键扫描,那么sep的防护就是扫描--自动防护([color=Blue]鉴于symantec的查杀率这两个结合能解决的要比单查杀多点[/color])--主防([color=Blue]你运行时触发[/color]),这是本地的流程,在此之前sep有sygate的防火墙和ips([color=Blue]入侵防护[/color]),入侵防护不但对网络攻击反应灵敏,对恶意脚本也有一定防御([color=Blue]使用中报过脚本[/color])。
所以这些结合起来防护能力确实还是比较强的。([color=Blue]之前在绅博有人分析sep改变了系统的一些策略,如果这样的话无疑防护会更高[/color])
[quote]还有自动防护跟主防的区别,自动防护依赖的是特征码加启发,而主防是在你运行时的sonar的前瞻性行为启发。[/quote]
关于防火墙:
[quote]sep的墙准确说来是很强大的,有人说并不能定义端口什么的,实际上是默认不开放端口的,可以自己定义规则来定制具体功能([color=Blue]其实大多数人并不需要[/color]),而且就入侵防护而言比卡巴灵敏得多,而且也很智能。([color=Blue]关于规则的导出和导入,我发现用英文规则名和英文文件名路径名就可以了,有人说中文可以,但肯定是三个的其中一个与中文不兼容,具体哪个懒得试了,有兴趣的自己试,还有规则只能一个一个地导出,不能多个一起到出,不然也出错[/color])[/quote]
这个墙也要具体说说,sygate的墙应该还算可以吧,也没有什么需要设置的地方,论坛理也有相关的设置说明,sep11mr2mp1加入了程序提示,就进一步完善了墙的易用性。建议大家在防火墙规则里还是要家一个“allow progam”([color=Blue]英文便于导入导出[/color]),然后在使用中可以先通过防火墙自带的提示记忆,然后在“allow progam”规则中勾选相关项,这样可以便于以后导入导出以及系统出问题后的恢复。
还有个人觉得sep11的墙必要的一个规则是icmp规则,就是设立这个规则,协议选icmp,内容全选,但允许程序栏必须为空,如果不为空会失效,也就是说空就是对所有程序有效,而你选择了特定程序就失效,这个不知道是为什么,但事实就是这样的。([color=Blue]用p2p的需要,有人说不需要,允许所有ip通讯就可以了,其实是不可以的,因为sygate的防火墙规则是这样的,只允许你的程序接受和发出通讯。但这个接受的基础是他能识别那个通信是针对于某个程序的,icmp协议的入站通信sygate无法识别对应的程序,它就默认block,同样的还有emule的kad协议,因为是对方单方面向你发出请求,sygate便认为是攻击[/color])
还有关于占cpu的说法,我的机器pm1.4的老u在开迅雷满速300+连接的情况下cpu在0~10%之间波动,应该说是个相当不错的cpu消耗了。([color=Blue]想说一下其实kis7的墙消耗更大,不知道有没有注意过,如果你没有信任下载程序,卡巴会同时消耗连接数来监控,也就是说你迅雷连接数是200的话你的系统总连接数就是400,卡巴会对应监控,不说别的就光对连接的消耗就很大,这是我一直使用cfospeed发现的,不知道kis8有没有改进这个监控模式[/color])
至于那个什么本地代理的BUG,我不太懂,但在使用代理过程中没有什么问题。
[b]关于部分使用中的问题,也许有些是个例,但我写出来大家参考参考:[/b]
1.关于集中例外的,你设定了某些例外,然后你使用过程中卸载的相应的程序,而你没有及时去编辑例外列表,那么等你重启后就会发现例外列表为空白切不能再添加例外,修复安装也不行,必须卸载再安装,个人觉得是相关的设定文件损坏或sep的有问题不能加载。([color=Blue]这个我在自己机器上折腾了3次。重新安装了3次,问题如故。没条件在虚拟机理试,所以不清楚是不是都有这个问题[/color])
2.emule的问题,这个没办法解决,按坛子里的教程设了tcp,udp的规则也开放了端口,但没效果,个人感觉是sep的入侵防护直接识别emule的连接,然后报攻击,有人说关掉KAD就可以了,其实这个对下载没有什么影响,只是空闲是不能上传,就是emule当bt用吧。
3.关于sep的主防自动关闭的问题:首先确定你是安装的最新的mp1版,因为旧版出这个问题的比较多。还有看看日志,到底是什么错误,常见的是9和11的错误,9的是coh32.exe的sonar的启发引擎加载失败。11是库加载失败,查看一下自己是不是装了其它hips或安软,阻止了某些东西,我就因为装TF用局长规则而把SEP的主防搞挂过。就现在的mp1而言还是蛮稳定的。错误11只要升级就可以恢复了,9的话靠RP,或者你可以加快truscan的扫描频率,会很快恢复,前提是你已经排除了干扰。
.[b]关于防御arp的,可以参考我的帖:[/b]
[b]关于sep11的防火墙防arp增强设置: [/b]
[url=http://bbs.kafan.cn/thread-299774-1-1.html]http://bbs.kafan.cn/thread-299774-1-1.html[/url]
关于不放心的想找个辅助的:
[quote]还有关于那个nab,之前试过tf之类的做辅助,后来因为tf卡机([color=Red]可能是个人原因,正常应该是不卡的[/color]),于是又从新看了nab的相关介绍,nab跟微点tf直流最大的区别在于它完全不含特征码,这东西只关注exe,相当专一。也就是说它跟大部分杀软没有功能上的重叠,这样就减少了资源上的浪费,而且nab很智能,而且误报也相对很少,作为杀软的补充很适合([color=Blue]前提你得忍受的了那个资源消耗以及开机速度[/color])。当然TF也不错,应该说更好,前提你不卡机([color=Blue]也就是说你的机器配置够这两个的折腾[/color])[/quote]
最近在考虑加个dw来仿kis8的结构([color=Blue]呵呵,其实感觉kis8的hips真的跟dw很想,风格上,效果上,至于原理偶就不是很懂了,kis的应该不是沙盘型但是确实跟dw很像[/color])
本来考虑装个kis来玩玩的,但实在是很喜欢也很习惯sep的防火,加之kis的hips用着恨不习惯,so,决定继续使用sep,在多体会体会[s:10]
最后还是要说一下,sep的防护能力其实是相当地弓虽大。
[size=5][color=Red]这个只是个人的看法与体会,可能有些问题使用中并没出现或者还有其它问题。就当是个例参考一下吧,理解不对的地方欢迎大家纠正拍砖[:03:]可能言语上有些混乱,大家将就着看吧[:15:]
其实些这帖只是想推广推广sep11哈。因为好像有些人对sep的误解还是蛮大的。还有sep的话用mp1最好,置顶的帖也该更新了,老有人在置顶里下mr2而不是mr2mp1,然后就来论坛上说这个那个有问题。其实mp1已经是一个相当好的版本了,比上个版本有明显改进。开机速度快了不少,防火墙可以提示应用程序访问,更智能。也更稳定。
[/color][/size]
[color=Lime][b]补个下载地址:[/b][/color][[url=http://bbs.kafan.cn/thread-274969-1-7.html]http://bbs.kafan.cn/thread-274969-1-7.html[/url]
[color=Blue]这是我在绅博的原帖,不全,但是其它人的回答具有一定参考意义[/color]
[url=http://bbs.hypost.cn/read.php?tid-267130.html]http://bbs.hypost.cn/read.php?tid-267130.html[/url]
有人问我具体设置,其实sep需要的设置也不多,论坛也有介绍,我就再稍微整理一下吧
1.自动防护的启发式调到到最高:
[attach]322248[/attach]
[attach]322249[/attach]
[attach]322250[/attach]
2.主动威胁防护敏感度:(这个敏感度个人喜好吧,我是设最大,也没见什么误报)
[attach]322251[/attach]
3.网络威胁防护:
具体设置看红框部分,取消允许所有ip通信,这样应用程序访问网络就会有提示。我没勾选的可以根据自己需要勾选,局域网够防MAC欺骗防ARP。还有觉得入侵防护通知烦的也可取消掉。
[attach]322252[/attach]
[attach]322253[/attach]
关于那个ICMP规则:应用程序出空白,全部不勾选。
[attach]322254[/attach][attach]322255[/attach][attach]322256[/attach][attach]322257[/attach]
[[i] 本帖最后由 zlx42 于 2008-8-9 05:46 编辑 [/i]] 顶lz
希望有人能研究一下sep的防火墙规则。是不是可以借鉴scs的规则 不知道LZ怎么设置的,我使用时什么框架都没见过 [quote]原帖由 [i]z200111[/i] 于 2008-7-31 07:42 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4294918&ptid=295768][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
不知道LZ怎么设置的,我使用时什么框架都没见过 [/quote]
什么框架?? 关于扫描--自动防护--主防这个流程的阐述还是很令人耳目一新的,顶一下SEP。 防火墙采用白名单规则是否更有效呢?
回复 1楼 zlx42 的帖子
楼主,我觉得SEP还有一个不完善的地方就是没有缓冲区溢出保护,我个人认为他是一个很重要的功能,而且现在很多企业版的杀软都有这个功能,铁壳却没能把SYGATE所具有的这项功能集成进去,这倒是很奇怪的。呵呵 就是主动防御的框框,我用Norton和sep 从来很少有我去按的提示出来,什么确定取消都没有 有mp1的下载地址么? [quote]原帖由 [i]z200111[/i] 于 2008-7-31 10:24 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4295881&ptid=295768][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]就是主动防御的框框,我用Norton和sep 从来很少有我去按的提示出来,什么确定取消都没有 [/quote]
你不玩毒基本见不到主动的[:15:] [quote]原帖由 [i]sioux0507[/i] 于 2008-7-31 10:42 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4296009&ptid=295768][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
有mp1的下载地址么? [/quote]
论坛里有mp1下载的,自己搜搜,只是置顶很久没更新了 [quote]原帖由 [i]sioux0507[/i] 于 2008-7-31 10:42 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4296009&ptid=295768][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
有mp1的下载地址么? [/quote][url=http://bbs.kafan.cn/thread-274969-1-7.html]http://bbs.kafan.cn/thread-274969-1-7.html[/url] [quote]原帖由 [i]alvinjx[/i] 于 2008-7-31 10:14 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4295811&ptid=295768][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
楼主,我觉得SEP还有一个不完善的地方就是没有缓冲区溢出保护,我个人认为他是一个很重要的功能,而且现在很多企业版的杀软都有这个功能,铁壳却没能把SYGATE所具有的这项功能集成进去,这倒是很奇怪的。呵呵 [/quote]
[quote]关于您的 Symantec 产品
您的 Symantec 产品可能包括 Symantec Endpoint Protection 和 Symantec Network
Access Control。这两个产品都包含 Symantec Endpoint Protection Manager,它
提供用于安装和管理 Symantec Endpoint Protection 及 Symantec Network Access
Control 的基础结构。Symantec Endpoint Protection 和 Symantec Network Access
Control 是两项协同工作的不同端点防护技术。本书说明这两项需要单独购买的端
点防护技术。
关于 Symantec Endpoint Protection
Symantec Endpoint Protection 可保护端点计算设备不受病毒、威胁和风险入侵,
并为端点计算设备提供三层防护。这三层是指网络威胁防护、主动型威胁防护,以
及防病毒和防间谍软件防护。
网络威胁防护通过使用规则和特征,可禁止威胁访问您的计算机。主动型威胁防护
可根据威胁的行为,标识并降低威胁。防病毒和防间谍软件防护使用 Symantec 创
建的特征,标识并降低尝试访问或已访问您的计算机的威胁。
1、关于网络威胁防护
网络威胁防护包括防火墙和入侵防护软件,可保护您的端点计算设备。防火墙支持
为特定端口和特定应用程序写入的规则,并对所有网络通信使用状态检查。因此,
对于由客户端发起的所有网络通信,您只需要创建出站规则即可支持该通信。状态
检查会自动允许响应出站通信的返回通信。
防火墙完全支持 TCP、UDP、ICMP 和所有 IP 协议(如 ICMP 和 RSVP)。防火墙
也支持以太网协议(如令牌环),并可以禁止协议驱动程序(如 VMWare 和
WinPcap)。防火墙可自动识别合法的 DNS、DHCP 和 WINS 通信,因此您可以选
中复选框以允许此通信,而不写入规则。
注意:Symantec 假设您已建构防火墙规则库,从而拒绝所有不允许的通信。防火
墙不支持 IPv6。
入侵防护引擎支持检查端口扫描和拒绝服务攻击,并可阻挡[b][color=Red]缓冲区溢出[/color][/b]攻击。此引
擎也支持自动禁止来自受感染计算机的恶意通信。入侵检测引擎支持深度数据包检
查、正则表达式,并且可让您创建使用类似 SNORT 格式的自定义特征。
2、关于主动型威胁防护
主动型威胁防护包含基于行为的安全,可标识联机威胁,如蠕虫、病毒、特洛伊木
马及击键记录程序。TruScan? 主动型威胁扫描根据这些威胁的操作和特性(而不
是使用传统的安全特征)标识威胁。主动型威胁扫描会针对数百种的检测模块分析
威胁的行为,以确定活动的进程是安全的还是具有恶意。此项技术可以在不使用传
统的特征或补丁程序的情况下,通过威胁的行为立即检测和降低未知的威胁。
在支持的 32 位操作系统上,通过主动型威胁防护,还可控制对硬件设备、文件和
注册表键的读取、写入和执行访问。如有必要,您可以改善对特定支持的操作系统
的控制。您也可以通过类 ID 禁用外围设备(例如 USB、蓝牙、红外线、FireWire、
串口、并口、SCSI 和 PCMCIA)。
3、关于防病毒和防间谍软件威胁防护
防病毒和防间谍软件威胁防护通过扫描引导扇区、内存与文件,看其中是否有病
毒、间谍软件和安全风险,防止计算机受感染。防病毒和防间谍软件威胁防护使用
病毒和安全风险特征,可在病毒定义中找到这些特征。此防护通过在不造成计算机
不稳定的情况下,在安全风险安装前先予以禁止,也可保护您的计算机。
防病毒和防间谍威胁防护包括自动防护,可检测尝试访问内存或自行安装的病毒和
安全风险。自动防护也会扫描安全风险,如广告软件和间谍软件。当它发现安全风
险时,会将受感染文件隔离,或者消除和弥补安全风险的负面影响。也可以在自动
防护中禁用安全风险扫描。自动防护可修复复杂的风险,例如屏蔽的用户模式风险
(Rootkit),以及难以删除或会重新自行安装的永久性安全风险。
防病毒和防间谍软件威胁防护也包括自动防护,通过监控所有 POP3 和 SMTP 通
信,扫描 Internet 电子邮件程序。您可以配置防病毒和防间谍软件威胁防护,使其
扫描传入消息是否有威胁和安全风险,以及扫描传出消息是否进行已知启发式扫
描。扫描传出电子邮件有助于阻止威胁(如蠕虫)的传播,它们可以使用电子邮件
客户端在网络上进行复制。[/quote]
显然是有这个保护的[:06:]
[[i] 本帖最后由 zlx42 于 2008-7-31 21:25 编辑 [/i]] 额。。。。。“入侵防护引擎支持检查端口扫描和拒绝服务攻击,并可阻挡缓冲区溢出攻击”就是代表有缓冲区溢出保护吗?这个我貌似也不太清楚了,但是一个企业端点防护的评测是说SEP没有缓冲区溢出保护。原文是这样的,如图所示,并附上原文
[img]file:///D:/111.jpg[/img]
回复 14楼 alvinjx 的帖子
扼,这个怎么说呢,那个是2007年的了吧,再说那个评测。。。还有你难道不认为阻止溢出攻击不就是防护了吗
有可能我对溢出防护的理解不够吧,但我想铁壳不会做那么傻的事情,在自己最新的赚钱利器理舍弃一个原来就有的功能,没有的话也是因为从其它角度进行防范,我不知道那个评测是怎么测的,也许是没有sygate的这个模块,可是sep是一个整体,原来的sygate的其它功能因为跟应用程序与设备控制像重合所以取消掉的吧,所以没有sygate的部分功能不代表sep没有相关功能吧
[[i] 本帖最后由 zlx42 于 2008-7-31 21:54 编辑 [/i]]
回复 15楼 zlx42 的帖子
呵呵,我也不清楚,我只是看了评测就事论事而已,呵呵,另外请问下在SEP中哪里可以看见它阻止了缓冲溢出保护的?回复 16楼 alvinjx 的帖子
客户端管理的安全日志,里面有入侵防护的相关日志,有具体记载的而且好像大部分缓冲溢出都是蠕虫吧
[[i] 本帖最后由 zlx42 于 2008-7-31 22:13 编辑 [/i]] 有人问我要具体设置,其实sep要设置的地方真的不多,我稍微整理了一下。(截图累死我了,没截图软件,用的画图[:15:] ) 发现还是有很多人误解很多,其实sep真的没有所谓的那么多问题。 谢谢LZ共享!
页:
[1]
2