Symantec Endpoint Protection 为 Microsoft Azure 提供防护

[ 赛门铁克symantec ] [ 8/6/2018 ]

Symantec™ 端点保护是一个端点安全解决方案，旨在提供一个分层的方法来防御。随着

单个客户端，它提供了先进的保护，包括政策锁定功能，在Azure上的虚拟机。利用

Symantec全球智能网络的强大功能，它会检测并删除比同类其他产品1.采用独特的智能安全技术有助于更加准确地检测和更快的扫描时间更多的恶意软件。用户可以通过开启保护富有层次充分利用Symantec ™端点保护。Symantec Endpoint Protection 为 Microsoft        Azure 上的虚拟机提供多层防护。 它可以防御目标性攻击和零时差威胁，同时不会拖慢虚拟环境的的性能

Antivirus(杀毒软件)

通过先进的扫描块可疑文件和根除恶意软件才能运行。

•抵御已知病毒，蠕虫，木马，间谍软件，僵尸网络和Rootkit。

•包括模拟和虚拟执行，增强检测能力。

•使用Bloodhound和MalHeur的启发式检测。

Reputation(声誉)

Symantec Insight™确定每个文件的安全等级，有效地阻止有针对性的攻击和恶意软件的变异。

•相关十亿联系的用户，文件和网站之间快速地检测变异威胁。

•准确地识别文件是否是好的，信誉分值分配给每个文件。

  •完全自动化的机器学习后端URL以下载保护。

Behavioral(行为)

Symantec SONAR™监视程序运行并识别/块可疑的行为。

•利用人工智能提供零天保护。

•监控近1400文件实时执行时的行为。

•行为签名引擎检测过程和威胁劫持。

System Lockdown(系统锁定)

•通过只允许白名单（已知是良好的）应用程序运行的关键业务系统增强保护。

•块黑名单（称为是坏的）应用程序的运行。

•防止未经批准的应用程序的运行。

 微软Azure是一个开放而灵活的云计算平台，使您能够迅速在微软数据中心的全球网络构建，部署，扩展和管理应用程序。您可使用多国语言，工具和框架的应用程序。

关键用例：

Web应用程序

从轻量级网站构建任何多层云服务,扩大你的流量增长。

云储存

依靠geo-redundant云存储备份、归档和灾难恢复

大数据与高性能计算

从你的数据利用得到可行的见解完全兼容的企业级Hadoop服务。

移动

加快您的移动应用开发利用后端在微软Azure托管。规模立即随着你的安装基础。

媒体

在云中创建、管理和分发媒体——从编码到内容保护流和分析支持。

灵活的应用模式

微软Azure提供了一组丰富的应用服务,包括sdk、缓存、消息和身份。您可以编写应用程序。净、PHP、Java节点。js、Python、Ruby或其他使用开放协议。这都是微软的承诺让你构建的一部分使用任何语言,工具,或框架。

时刻保持

构建弹性应用程序自动更新操作系统和服务,内置网络负载平衡和geo-redundant存储。微软Azure还自豪地提供一个99.95%每月的SLA。你可以依靠几十年的经验在数据中心操作和信任,微软Azure提供的一切都是由工业安全与合规认证。没有数据中心

数据中心没有界限

微软Azure使您易于整合您的本地it环境与公共云。你的虚拟机迁移到微软Azure而不需要将其转换成不同的格式。使用微软Azure中的健壮的消息和网络功能提供混合动力解决方案,然后从一个混合应用程序管理控制台与微软系统中心。

全球范围

随着全球各地的数据中心，数据中心创新庞大的投资，以及遍布全球的内容分发网络，您可以构建为用户提供最好的体验，无论他们在哪里申请。

赛门铁克™端点保护的Azure平台上概述

Symantec Endpoint Protection超越杀毒到微软Azure平台上提供多层防护的虚拟机。虽然我们的默认设置，包括病毒和间谍软件技术，我们强烈建议您也采取最大限度的安全保护的其他层的优势

•病毒和间谍软件防护：这是一个核心组件的赛门铁克端点保护和自动安装的一部分

默认设置。它包括基于签名的文件扫描,检测已知的威胁,威胁家庭。

•洞察™：Insight是一个基于云计算的信誉引擎，能够准确地在下载标识文件信誉。通过分析密钥文件的属性，洞察上的文件是否是好是坏，提供指导或有一个未知的声誉。如果你的虚拟机可以通过下载门户应用程序文件，如互联网浏览器，电子邮件和FTP客户端，我们建议您开启洞察引擎。

•SONAR™: SONAR监视可疑文件的行为来判断文件是否对您的系统带来危险。通过进行实时行为。

•入侵防御系统（IPS）：ips提供入站和出站网络包扫描恶意载荷和活动。它可以减少网络速度在某些服务器高可用性,所以对于Windows Azure VM角色运行Windows R2数据中心版,我们不推荐您安装IPS。

以上从赛门铁克技术需要更新。管理客户收到从赛门铁克™端点保护管理器自动更新。非托管客户端接收来自赛门铁克的更新服务器连接到互联网通过运行实时更新。洞察力™和声纳™都需要上网利用声誉来自赛门铁克全球情报网络的数据。

下面通过技术进行系统强化基于规则的策略为虚拟机提供额外的保护。他们并不需要从赛门铁克更新，但你需要启用和配置它们。

•应用程序控制：块自动运行。正、文件访问注册表访问,从发射过程,获得可移动驱动器,加载dll和许多额外的选项。赛门铁克建议你利用先进的基于规则的保护为vm模板微软Azure的环境。

•系统锁定：明确定义白名单和黑名单，并适用于文件指纹列表。启用系统锁定，以得到最好的保护。

•防火墙：如果你的虚拟机的Azure已经设置了使用Windows防火墙来限制网络流量，这是没有必要。

•设备控制: 阻止或允许通过设备或类ID的设备。例如，它会阻止USB设备枝除明确允许的车型。如果虚拟机的Azure使用移动设备时，才需要设备控制。

Best Practices for Running Symantec™ Endpoint Protection 12.1 on the Microsoft Azure Platform

赛门铁克™端点保护安全扩展是相同的代码作为客户端安装文件。有没有代码更改oralterations到客户端本身就支持Azure平台上进行安装。安全扩展是一个简单的包装，通过在Azure平台上安装使用的参数。然而，赛门铁克™端点保护安全扩展是客户端的60天免费试用版。你必须通过购买的Symantec™端点保护12.1的副本，或者通过安装现有enterpriseicense许可的软件。

默认的赛门铁克端点保护设置时™从安全扩展只含有病毒和间谍软件保护装。您需要启用和配置其他保护技术，如入侵防御，洞察™和声纳™通过控制面板程序图标下。

Managing Symantec™ Endpoint Protection clients running on Azure Virtual Machines

赛门铁克端点保护管理器（SEPM）是赛门铁克端点保护客户端管理控制台。你可以在你自己的硬件或一个蓝色的虚拟机上运行管理控制台。在这两种情况下，确保您的系统符合最低系统要求。

如果你打算Azure VM运行特定的应用程序,您可以使用应用程序控制和SystemLockdown限制未经批准的应用程序。你也应该使用应用程序控制和系统封锁了Azure vms,没有上网,因为缺乏互联网接入阻止洞察力™和声纳™保护这些vms。

限制与系统锁定的应用

系统锁定启用白名单黑名单或能力。白名单模式，可以控制允许哪些应用程序在Azure的虚拟机上运行。这些批准应用程序包含在包括该应用程序的校验和文件路径的文件的指纹的列表。

实施系统锁定是一个两步骤的过程。首先，创建文件指纹列表，然后导入列表导入Symantec™Endpoint Protection Manager中在系统锁定配置使用。

生成文件指纹列表,使用校验和工具包括在赛门铁克™端点保护客户端安装。赛门铁克建议您创建一个软件映像,其中包含所有的应用程序在Azure VM白名单,然后使用指纹图像创建一个文件列表。

Restricting applications with Application Control

除了签名或Symantec-defined基于规则的保护,您还可以限制应用程序端点上运行通过创建保护您定义的规则。这些规则可以阻止访问的范围从简单的任务自动运行。inf文件在所有移动设备,更复杂的任务,防止浏览器助手对象注册,或在非特异性的USB设备只读的位置。

配置应用程序控制应用程序只允许特定Azure VM以及所需的操作系统虚拟机在启动运行的应用程序。要做到这一点,你首先要监视的应用程序运行虚拟机,然后创建一个规则,使这些应用程序。

要使用应用控制在VM上运行的应用程序限制：

1.运行的工具，如进程监视器或进程资源管理器，来获取在Azure虚拟机上运行的所有应用程序的列表。保持在正常活动期间的工具运行找到启动过程和短寿命的任何应用程序。

2.所有的应用程序的列表，创建在最高优先级设置为允许这些应用程序运行一个应用程序的控制规则。包括每个应用程序的完整路径和名称。

3.如果您正在使用的软件管理工具，如Symantec Endpoint管理或Microsoft System Center中，创建第二个规则以较低的优先级设置为允许软件管理工具来运行任何应用程序。启用子流程继承conditionsoption此规则。

4.创建第三个规则设定在一个较低的优先级运行阻止任何应用程序。

这些规则集阻止其他应用程序运行,即使其他应用程序是有效的应用程序。这种阻塞的优点是,攻击者有时在Azure VM使用有效的应用程序,但这通常不是用来攻击系统。例如,攻击者可能会使用应用程序像cmd。exe,cscript。exe,甚至telnet.exe。

限制系统强化应用除了限制未经批准的应用程序，使用应用控制硬化的Azure的VM。赛门铁克提供预定义的规则集来阻止已知的恶意行为。作为最佳实践，启用以下规则集来阻止恶意应用程序行为。

要启用系统加固，检查默认应用程序控制策略，以使他们在以下规则集：

1.阻止从可移动驱动器上运行的程序

2.阻止修改hosts文件

3.阻止访问脚本

4.阻止访问到的Autorun.inf

5.块文件共享

6.防止更改Windows外壳程序加载点

7.避免在使用浏览器或办公产品更改系统

8.从编写代码阻止易受攻击的Windows进程

9.使用UNC路径阻止Windows服务

10.阻止访问LNK和PIF文件

已知问题当赛门铁克™端点保护在Azure平台上运行

在Azure上运行赛门铁克端点保护vm时,你应该注意以下问题。

删除重复的离线客户在赛门铁克™端点保护管理器

如果你关闭并释放Azure VM使用Azure管理门户或使用Azure Powershell,新的硬件ID分配给虚拟机重启。因此,重复出现在赛门铁克™端点保护客户经理。如果你使用正常关闭或重新启动的过程通过Windows VM,比如当你点击开始>关闭,不会产生重复的客户。

禁用“允许应用程序流量”选项

一个与赛门铁克端点保护客户端安装™Azure的虚拟机，确保在允许客户端组应用流量的选项被禁用的提示。这个选项默认是禁用的，但如果您启用了此选项，远程桌面协议（RDP）的Azure VM会立即断开无法重新连接。您可能会丢失所有现有的数据，并可能需要重新创建虚拟机。

你可以找到这个选项在赛门铁克端点保护管理器™点击客户>组>政策>特定位置设置>用户界面控制设置。将控制类型设置为混合控制。在“客户端/服务器控制设置”选项卡上，单击“配置”的“配置”选项。在客户端的用户界面设置”选项卡，通过unclicking提示前交通禁用该选项允许应用程序。

在Symantec™Endpoint Protection客户端中，单击状态>网络威胁防护>选项>更改设置>防火墙>无与伦比的IP流量Settings.Do不会阻止端口80与防火墙规则如果您阻止端口80与Symantec™端点保护防火墙规则用于访问的Azure虚拟机在电脑上，用于在Azure虚拟机的RDP会话立即断开连接，并且无法重新连接，除非你再次打开端口80。