2009年12月30日 星期三

部落格的年度總結(Summary of IT Blog in 2009)

10 則留言:
今年(2009)又快要過完了,不免俗的總是要在接近年底時,來個年度的部落格總結,老實說,如果用文章數量的方式來當作成績單的話!我應該是一整個不及格到了極點,每年幾乎都是以打對折的方式在退步,或許這也跟寫文章的感受與心態有所不同,我想每個部落客心中,都有一把屬於自己專用的尺,更何況寫文章原本也是件相當個人的事。

最早,我從每週試著逼自己一定得寫個三、四篇,去年變成週記之後,今年是覺得想寫的東西,得先在自己心裡有了個完整的雛型,才會真正開始下筆,畢竟要寫出一篇文章,有時也得自己花上不少時間進行測試、驗證,雖然寫文章是個人的事,但是帶給別人錯的觀念或做法,好像就不是自己好就好的一件事,所以,今年的文章數量也是真的銳減不少。(當然也有一些其它的個人因素,繼續往下看就會知道...)

不過,反觀今年的IT內容,老實說也真的沒有太多話題可說,除了「Windows 7」、「雲端」、「小筆電」、「微網誌」和「Facebook」之外,還有誰可以多列舉一些不同的東西嗎?老實說,先前我在寫特定平台或媒體的文章時,腦子裡的想法也很難繞出這些東西之外,或者是說,在金融海嘯之後,在IT中要能夠丟下一顆足以激起漣漪的石頭,不是形狀特別奇怪,就是得要夠大顆的石頭才能看見它的效果,因此,我也就簡短地說說,我在這一年之中看見的種種現象吧!(有些想法並沒有特別發文,或許都是一念之間,而且還得經過時間來證明)

2009年12月21日 星期一

賽門鐵克企業版SEP 11.0之使用心得

沒有留言:
Symantec」這個名字對於一般使用者來說,可能比較沒有印象,如果是改成「Norton」的話,或許很多消費者就能夠馬上反應過來是防毒軟體廠商,其實Norton只是Symantec公司中的一部分,但是換個角度切入的話,如果是企業端的用戶,或許對於Symantec的識別度也就高出許多,因為它們在企業端主推的系統防護軟體,是較為全面性的「端點防護(Symantec Endpoint Protection)」,簡稱為:「SEP」,從SEP 11.0(目前最新的版本序號為11.0.5002.333)推出到今年,已經歷經多次改版,比起以往的Symantec AntiVirus 10版,這次還加入了「主動式威脅」與「網路威脅」的防護功能。

其實對於SEP 11.0這套軟體的測試,比較不能夠以防毒軟體的角度來看待,因為它整合了許多周邊的管理功能,或許可以將它視為一種企業內的解決方案會比較恰當,至於是否適用於每個企業內部,就得視公司對於這部分的重視程度,以及想要管控的範圍到什麼程度而定,其它的就是如果調教這樣子的系統,融入企業內部,並且發揮它最大的效益,我想,這才是資訊(管理)人員所最在意的課題,畢竟這一類的套裝軟體功能頗多,在此我會針對較具特色的相關要點來介紹,如果有興趣的資訊(管理)人員,可以在它們的中文官網上找到相關的說明才是。



軟體名稱:Symantec Endpoint Protection(賽門鐵克端點防護)
軟體版本:11.0.5002.333(2009年9月21日)
適用平台:Microsoft Windows、Linux
軟體類型:商用軟體
官方網站:http://www.symantec.com/zh/tw/business/endpoint-protection
試用下載:http://www.symantec.com/offer?a_id=24829


特點介紹:

其實對於企業端的產品而言,絕大多數都會將管理機制設計在軟體之中,所以對於集中控管的功能來說,應該是這類軟體必備的功能之一,其實以SEP 11.0來說,這部分整合算相當不錯,幾乎所有使用端的設定都能夠在管理介面(主控台)中,透過網路來進行相關的設定與控制,只要再最初派送安裝前,做好相關功能的設定即可。


雖然這些功能或許在具備Windows AD的架構之下,也有相似的解決方案,但是軟體若本身就具備這樣子的功能,或許在企業內應用時,它能夠調整的彈性也比較大,這也是一般消費性產品所無法相提並論的部分。

除了這個中央控管的功能之外,它也利用了這個管理介面的支援性,提供了下面幾種由管理者介面,可以直接控管使用者電腦(被控端)中SEP 11.0的相關功能與設定,其中較具特色的功能如下:

1. 個人防火牆:

在打開主控台的操作介面之後,可以依「政策」、「防火牆」的路徑下,在右方的「防火牆政策」上,按右鍵點選「編輯」之後,就可以在「規則」選單中,看見它相當嚴密的防火牆設定,它能夠依管理者的需求來進行相關的細部設定,雖然剛看見這麼多設定時,會有點不知道該從那邊下手,不過,站在企業內資訊安全角度來看,寧願軟體本身有提供那些功能,也總比需要時卻無法支援來得好。


畢竟公司要選用一套資訊防護的軟體時,就是希望能夠貼近公司擬定的資訊政策,同時藉由這個防火牆的設置,避免使用者的個人習慣,造成公司平白無故的損失,所以這樣子的防火牆設定,的確有其必要之處。

除此之外,它在「流量與隱藏設定」中還提供了一些進階的功能,可以避免使用者受到流竄於區網之中,較難被查覺到的惡意攻擊,例如:MAC的欺騙。


2. 雙層IPS:

除了防火牆之外,SEP 11.0還提供了兩種形態的IPS(Intrusion Prevention System:入侵預防系統),簡單地說就是提供了「主機端」(主動)和「網路端」(被動)的入侵防禦,因為主機可能受到的入侵管道,除了來自網路上的惡意來源之外,就是存在於電腦主機中的惡意程式,我想這種雙層IPS的設計,主要是讓系統具備較為完整的防禦功能,避免過分關注來自外界的危險,進而輕忽了透過別的管道進入內部的惡意程式,甚至它能夠從內部竊取資料,再透過其它管道對外進行傳送(這也是防火牆最常忽略的部分)。

在主機端的IPS中,SEP 11.0採用了「TruScan」的技術(是一種行為分析的技術,據官方資料指出,誤報率僅為0.004 %),管理者只需要從主控台的「防毒與防間諜軟體政策」中,就可以針對「TruScan主動掃描威脅」這部分進行相關設定,設定完成之後,就能夠直接套用在使用者的SEP 11.0之中,不再需要管理者出馬,到每個使用者面前來幫他們進行這部分的設定。


至於網路端的入侵防禦,在SEP 11.0的主控台中,就是直接獨立於「入侵預防政策」的設定當中,預設的狀況下,所有在它管轄的主機,都會透用這裡的設定值,如果你想要排除特定主機在這部分的防禦時,就可以勾選「啟用排除的主機」,並在內部設定中寫入相關的主機資訊即可,當然也可以在主機的群組中先將有這類需求的主機,分類在不同的群組當中,在指派相關設定檔時,直接略過該群組也一樣可行。


3. 應用程式控制與裝置控管:

除了針對主機整體的安全性防護之外,其實SEP 11.0之中也具備應用程式控制的防護功能,讓管理者能夠設定應用程式對於系統資源存取的權限,以免應用程式被惡意程序劫持,進一步對系統造成傷害,舉例來說,先前造成大規模感染的隨身碟病毒來說,如果在應用程式控制的控管之下,我們就可以在這邊將應用程式對於USB設備連線磁碟機的寫入權限給關閉,它就無法進行感染的動作,接著再透過詳細的掃描與檢查,查殺位於系統或是隨身碟中的惡意程式。


甚至,可以採用更為極端的方式,直接從中控台裡進行輸入(出)裝置的控管,降低由實體裝置導至主機受到惡意程式侵襲的可能性,同時能避免內部的重要資料被使用者複製出公司,雖然這部分的裝置管制,可以透過主機的BIOS或是某些資產管理軟體(價格頗)的協助來達成,但是在SEP 11.0中,它也直接將這部分的功能放進了這個套裝軟體中,讓管理者不需耗時去處理這部分的危機發生,甚至有些管理者還會直接用熱融膠或是矽膠(Silicone)來把周邊設備封死或拆除,光是用想的就覺得累,現在只需透過SEP 11.0提供的裝置控管,就可以達到一定的成效。


為什麼我沒有特別題到主控台政策設定裡的其它功能,例:LiveUpdate集中式例外...等,並非是它們的功能不好,而是在實際操作上,這部分比較偏向防毒軟體的運作模式,再加入了中央控管的功能,因此,我在這部分就沒有多加著墨,一般的管理者通常看到這樣子的設定介面,應該也能夠立即上手,不需花費太多的時間來熟悉,我想這也是軟體操作上的一項重要指標。

更何況,在本文一開始我就提過這套軟體不應該用單純防毒軟體的角度來看待,所以,在介紹SEP 11.0的特點時,我比較著重在它周邊能夠提供的解決方案,如果需要瞭解SEP 11.0所使用的防毒或防間諜軟體的技術,應該可以在官網上找到不少資料才是。

總結:

在測試SEP 11.0的過程當中,安裝部分沒有遇到什麼問題,只要事先依照它提出的系統需求,準備好這樣子的安裝環境即可,以我的角度看來,最大的差異就是使用者的電腦是否要受中央伺服器(主控台)控管這一點,除此之外,它提供的端點防護功能,算是一套蠻完整的資訊安全的解決方案,畢竟它的確能夠為管理者帶來更多的附加效益(例:應用程式控制與裝置控管)。

其實以防毒軟體來說,最多人在討論的除了它的功能之外,就是它所佔用的資源多寡(記憶體使用量),以「SEP 11.0」來說,管理主控台(Smcsvc.exe)的部分,視實際的使用狀況,大約會佔去80至100 MB的記憶體,至於使用者所安裝的SEP 11.0套件,包含了五個程序(ccAPP.exe、ccSvcHst.exe、Smc.exe、SmcGui.exe和RtvScan.exe),這些程序在靜置時,佔用的記憶體總量約為 25 至 30 MB左右。


若是直接由使用者自行啟動「完整掃描」的時候,除了原有的「RtvScan.exe」會從 3 至 5 MB,增加到 40 MB之外,還會另外增加一個約8 MB的「SavUI.exe」(掃描介面),若是由管理主控端來指派使用者進行全系統掃描時,就不會多佔用這8 MB的記憶體,由此也能夠看出由中央控管的好處,不僅對於管理者有好處,甚至也能夠幫助使用者節省記憶體的資源。


以企業內部使用的角度來看SEP 11.0,它的確是一個十分具備優勢的資訊安全軟體,只是對於規模較小的公司或中、小企業,或許還是會採用消費端的安全防護軟體(例:Norton Internet Security),畢竟預算的成本對於公司來說可能仍是最大誘因。

不過,當公司內有考慮要導入類似資產管理的軟體時,就可以考慮看看是否能藉由SEP 11.0來替代,這麼做說不定能夠為公司省下一筆相當可觀的軟體授權費用,只是要先評估公司想要管制到什麼程度,如果SEP 11.0能夠符合需求的話,就算它的導入成本較一般消費端的產品高,仍然可以算是一套C/P值頗高的安全套裝軟體,如果有興趣的話,您不妨也可以下載試用版來進行測試,說不定你會發現到更多你所需要的功能,到時候再來進行導入的評估也還不算遲。

2009年12月18日 星期五

即時通訊傳檔的安全掃描(Security Scan for IM Transferring)

6 則留言:
現在的即時通訊(IM)相當的發達,無論是Windows Live Messanger(WLM)、Skype或Gtalk...等,都屬於是即時通訊的一種,先前一波透過即時通訊,來散布病毒與惡意連結的掘起之後,現在的防毒軟體,「基本上」都具備掃描即時通訊傳檔的功能(這邊以WLM為例,至於一般版本的Skype,似乎沒有辦法針對這部分來做手動掃描的設定),至於是由使用者手動設定,或是由防毒軟體本身,來修改即時通訊(WLM)中的檔案傳輸時的病毒掃描設定。


(例:C:\Program Files\...\navwnt.exe)

2009年12月3日 星期四

開機方式的選擇(Options for Starting Computer)

2 則留言:
如果你是經歷過純DOS(不是Windows裡的「命令提示字元」)的使用者,應該對於Windows的開機方式,有著不同的體驗,若是遇過PATA和SATA的驅動問題,我想對於系統開機的流程,應該會更深入的認識,雖然對於一般人來說,真的沒有太多用其它途徑開機的需求,但是對於IT人或是想要自己拯救電腦的人,或許這就成為另外一種不可或缺的技能之一,對於現在愈來愈多沒有配備光碟機的筆電來說,很有可能是救命的曙光。

在正常的狀況之下,電腦可以從硬碟開機進到系統是沒有問題的,一旦中毒或是開機區毀損無法進入系統時,就得要另外想辦法開機進去,拯救珍貴的資料或是修復系統,最常見的方式就是直接透過光碟開機,可惜的是...這種方式對於沒有配備光碟機的筆電,可能就得在費點心力才有辦法解決(甚至在採購時商用PC時,某個牌子連光碟機都是選購商品),不然就是直接在系統的Fuction鍵上,直接按下Fx的鍵就直接做全系統的還原(視各品牌而定,F2、F3或F11都有可能),但是這對於資料的救援而言,並非是最妥當的方法,這時候就得採用其它非正規的開機方式來解決問題。

其它的開機方式:

所謂非正規的開機方式,不外乎就是透過光碟軟碟機或是USB的周邊設備來進行開機,至於開機進去的作業系統則是DOS與Windows皆有,其實最為常見的開機方式應該就是光碟開機吧?(在BIOS中修改設定)至少在Windows的安裝步驟當中,就是要求使用者採用光碟開機的方式來進行安裝,畢竟在一台沒有作業系統的電腦當中,如果沒有採用光碟開機的方式安裝,連敲命令的機會都沒有吧!?(會顯示無系統的相關檔案而無法開機)

可是這個狀況,在沒有光碟機的前提之下(以筆電或是特定的品牌PC居多),通常也只有下述的解決方式:

1.自行透過USB外接光碟機:
直接透過USB轉PATA或SATA的外接設備,接上實體的光碟機來進行處理。

2.直接透過快捷功能鍵,進行系統還原(安裝):
品牌電腦在隱藏磁碟區中所內建的系統還原。(例:SRC一鍵還原)

3.透過USB開機碟處理:
在USB隨身碟中安裝開機的系統檔案,前提是主機板(BIOS)有支援USB-ZIP、FDD或HDD。(例:HPUSBFWWinToFlashXPE

如此一來,就算沒有光碟機的電腦,一樣可以透過上述這幾種方式來處理,不過...這些方法其實都有它適用的限制與條件,並非隨便抓一種來使用就沒有問題,更何況PC的BIOS能夠設定的部分遠比NB來得多出許多,有時候在設定開機程序時,如果是BIOS本身沒有提供相關支援時,或許可以透過修改開機選單來達成目的,但是,至少要先能夠認的出那些設備才行,不然一切也是白搭。

使用上的限制:

1.外接光碟機:
使用者必須先有USB轉PATA或SATA的轉接線,這對於一般使用者來說,使用率真的不高,除非你有習慣透過轉接線來外接儲存硬體,不然,很難想到一般人會買它來做些什麼事。

2.隱藏磁碟區的系統還原:
這個通常也只有在系統還在"乾淨"的狀態之下,才有進行備份或安裝的價值,通常在PC上比較有機會用到(商用PC通常會內建+系統還原光碟輔助),一般來說NB都會內建相關的功能,畢竟NB的可調用性較低,也沒聽過有誰的NB可以內建兩台硬碟的吧?(頂多是HDD+SSD的組合)

3.USB開機碟:
通常會有軟體安裝時的路徑疑慮,因為主機板通常僅支援USB-ZIP、FDD和HDD中的其中幾種,雖然「USB-HDD」最為常見,但是當它開機完成後,會將USB所連接的開機設備視為「C:」,這對於某些無法變更安裝路徑的軟體來說,就不太適用,因為你只能夠把軟體安裝在USB的隨身碟上。

至於USB-ZIP和FDD這兩種開機方式,USB所連接的開機設備視為「A:」,雖然在安裝軟體時較為方便,可是在主機板的BIOS設定中,這往往是較不常見的功能,所以,還是要有所取捨,不然就是在插入USB的連接設備之後,很有可能會面臨設備無法被電腦所辨識的囧境,如此一來,還是只能夠透過USB-HDD的模式,進行外接設備的開機操作。

總結:

這邊我並沒有提到太多實際的做法,因為在網路上的相關資源還算蠻多的,如果有針對那個部分要來討論的話,可以留言來互動一下,其實對於IT或網管來說,透過這種其它的開機方式,除了進行系統維護、安裝比較便利之外,甚至對於病毒的查殺或是資料救援也有不錯的功效,如果手邊有有大容量的USB隨身碟,的確可以製作一個USB的開機裝置來留存,就不用帶著一大堆軟體光碟跑來跑去。

但是...如果遇到較舊的電腦時,我想最方便的開機方式還是光碟機吧!?因為USB在舊式主機上的支援性並不好(公司裡的電腦使用通常較為保守,所以有多年前的主機也不奇怪),至於要採用何種方式,就只能夠依需求而有所不同,但是這方面的相關技術,老實說還有很多值得去研究與討論,例:怎麼在XPE中安裝軟體、製作可攜化(綠色)軟體...等,這些都是衍生出來相關應用。

或許,你可以說平時沒什麼機會可以派上用場,但是「工具」的最大意義,不就是準備以備不時之需嗎?所以,身為IT或網管還是認命一點,多學一些也絕對沒有壞處的,畢竟愈早把事情解決,自己的可支配打混的時間也就愈多,有句話說得好:「時間總是公平的」,所以,一起加油共勉之。