SEP(Symantec Endpoint Protection)禁止USB设备和特定应用程序
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SEP(Symantec Endpoint Protection)禁止USB设备和特定应用程序
一、Symantec Endpoint Protection介绍
Symantec Endpoint Protection是取代以下Symantec产品的新一代产品:Symantec AntiVirus Corporate Edition、Symantec Client Security、Symantec Sygate Enterprise Protection、Sygate Secure Enterprise等。
Symantec Endpoint Protection提供了高级威胁防护功能,可以保护端点(笔记本电脑、台式计算机和服务器)有受已知威胁和未知威胁的攻击。
Symantec Endpoint Protection可防范恶意软件,如病毒、蠕虫、特洛伊木马、间谍软件和广告软件。
它甚至可以防范能避开传统安全措施的最复杂的攻击。
Symantec Endpoint Protection包含的组件:·Symantec Endpoint Protection客户端,安装在要保护的端点上,还包含Symantec Network Access Control,只有在激活后,才可使用。
·Symantec Endpoint Protection Manager安装在管理服务器上。
二、Symantec Endpoint Protection安装布署
1、服务器端安装:
安装系统需求:安装IIS5以上。
IE6,如果服务器是Windows 2000 server,需要打sp3以上补丁。
把安装光盘插入的光驱内,自动运行,选择Symantec Endpoint Protection Manager安装,在安装向导提示下进行安装。
·选择安装路径,按默认路径即可:
·选择站点:选择第一个,服务器上的其它Web站点,可以继续使用:
·安装向导拷贝程序和文件:
很快就安装完成。
·安装完成后的配置:
·安装一个站点:
·配置管理服务器
·命名新建的站点:
·设置加密密码
·选择使用数据库类型
·设置管理员密码
·创建并初始化数据:·配置完成。
2、客户端安装:
·在服务器端生成客户端安装包:
·登录Symantec Endpoint Protection Manager:
·在“管理员”选项卡”生成客户端安装包:
·把安装包拷贝到客户端安装。
也可以通过网络进行安装。
至此,Symantec Endpoint Protection服务器和客户端安装完毕。
Symantec Endpoint Protection(SEP,以下称SEP)通过服务器端的管理器,可以集中管理每个SEP 客户端,在SEP服务器管理器上设置“应用程序与设备控制”策略,可以禁用客户端PC的USB存储设备及客户端上的某一个应用程序,这一功能对于单位来说,是非常有用,单位内某些部门有一些敏感性的数据文件,是不能拷贝的,所以某些计算机是不允许随随便便插入移动存储器,当前USB接口的移动存储器非常多,,如果从BIOS里硬件禁止,USB接口的鼠标、打印机又不能用。
使用SEP就会很好地解决这个问题。
单位中的员工可能会从网上下些程序,这个程序,很可以有病毒或有木马,网络管理人员不能逐个检查每个员工的电脑。
SEP服务器可以很方便地扫描SEP客户机,获取安装的(像被称为绿色软件,无须安装即可使用)可执行程序,并且禁止这些程序运行。
一、建立禁止USB设备策略:
登录到SEP管理器,点击“策略”选择项卡,点选“应用程序与设备控制”选项:
在右栏内,右键单击,弹出快捷式菜单:
单击"添加..."菜单,弹出添加“应用程序与设备控制策略”,在“概述”里输入策略名称:
单击“设备控制”:
单击“添加...”按钮,弹出添加硬件设备对话框:
单击,选择"USB",点击“确定”按钮,在“设备名”下,可以看到USB:
二、建立禁止某个应用程序的策略,比如禁止QQ和QQ下载工具(超级旋风):
接着上面,单击“应用程序控制”,并选中“禁止应用程序运行”,右键单击,然后单击快捷菜单的的“编辑...”,或者直接单击,下方的“编辑..”按钮:
弹出“编辑应用程序控制规则集”,单击“禁止这些应用程序”,然后单击“添加...”按钮:在弹出的“添加进行定义”对话框中,输入要禁止运行的程序名,然后单击“确定”:
添加了后:
三、分配建立好的策略:
单击“确定”按钮,关闭刚才打开的一些对话,之后会弹出一个对话框:单击“确定”,弹出“分配应用程序与设备控制策略”对话框:
选中,要分配的组,在组名前打对勾。
在“客户端”选择项卡的“策略”项内可以看到上面建好并分配到组的禁止策略:
四、在客户机上试试效果:
选行QQ,时出现如下状况:
在“我的电脑”或“资源管理器”找不到移动存储。
SEP管理器,可以搜索客户机的可执行程序:
看看,客户端上的可执行程序一览无遗。
怎么样?是系统或安全管理员的好帮手吧。