SEP12.1.5(RU5)的变化

Symantec Endpoint Protection12.1.5简称SEP12.1.5(RU5)，已经上市将近两个月。终于有时间好好测试一下(以上文字跟BE2014时基本一样)。版本号为12.1.5337.5000，最大的改变为SNAC的并入和接受管理的SEPLinux客户端。

“主机完整性”策略在SEPM安装完成后自动就会出现，不用再像以前一样安装SNAC组件。也就是说SNAC完全并入SEP，在没有硬件的增加的前提下可以实现“自我强制”和“点对点认证”。Mac系统的“自我强制”也加入其中。

SEPM12.1.5只是引进了“自我强制”的部分，如果有SNAC6100需要安装SNAC12.1.5的部分，否则无法注册硬件。Linux的bash漏洞在SNAC6100 12.1.5a上已经被修复，还提供了相应的测试脚本，比网络上传播的测试方法复制很多，但好像更严谨（请见文章尾部）。SEPM12.1.5对设备SNAC11.0下的11.0版本的客户端验证有问题！！SEP11.x连接SEPM 12.1.5验证失败的文档如下

http://www.symantec.com/docs/TECH224206

（以上内容鸣谢！F某某_广州_SE）

SNAC已经在报价表中消失，SNAC 610011月5日将停止销售。软件的SNAC将完全并入SEP，增强SEP的功能（这个功能很排他）。硬件的SNAC已经进入产品末期，业界的此类产品也将走入末路，其后期维护也将成为问题。。。

SEP的Linux客户端重要可以通过SEPM统一管理了。Linux有两种安装包，一种是RPM的，另一种是DPKG的。两种没有任何差别，DPKG包主要用在Ubuntu等源自“Debian”的“Linux”发行版中。如果是Redhat或SUSE用RPM就可以了。从“客户端安装设置”和“客户端安装功能集”后面的图标我们就应该知道，这两种设定只针对于Windows版本的SEP。

Linux的SEP导出的安装包是针对用户组的，其中没有病毒定义，38MB左右。

SEPM 12.1.5针对Linux有效的策略设置只用两项“病毒和间谍软件防护”和“LiveUpdate”。

SEPM中没有保存Linux下SEP的病毒库，所以Linux下SEP需要去外网（或本地LiveUpdateServer）升级病毒库。现在的病毒库大小应该为400MB，而且还没找到离线升级包。LiveUpdate策略针对Linux只有病毒库下载指向及调度（下载时间）两项设定。

“病毒和间谍软件防护”针对Linux下SEP有“管理员定义的扫描（定时扫描）”“自动防护”“其他（就是日志）”这几项设置。

SEPM 12.1.5之后病毒定义很多也升级为RU5的格式，同时还有很多针对Mac的库（“主机完整性内容”“客户端入侵检测系统特征”）

这是个坑，我非常郑重的建议不要选。

我选了，结果本来半个小时可以安装完成的SEPM，我安装了将近4个小时（俺是虚机）。800MB的数据量，缓慢的解压速度。。。。。。

我建议先使用离线包升级，然后在用LiveUpdate升级，这时也就30MB的下载量。请参考http://blog.sina.com.cn/s/blog_6965d96d0101vt0k.html

DPKG请参考http://baike.baidu.com/view/1314054.htm?fr=aladdin

SP：计划明天把SEP forLinux的文档贴出来。

SP：忘记了SEP12.1.5的一个很重要的变化，安装程序“严重瘦身”（【传说】童孝刚_北京_SE的原话，谢谢提醒）。SEP12.1.4中文版2.2GB，而SEP12.1.5中文版才953MB，换句话一张DVD现在可以吧中英文都刻录进去。SEPforMac还出现了中文版，但安装介质中没有文档文件夹了，就是说以后要自己去晚上找管理员手册，但我现在没有找到SEP12.1.5中文版的管理员手册。

SEP for Mac还出现了中文版，但安装介质中没有文档文件夹了，就是说以后要自己去晚上找管理员手册，我刚刚才找到SEP12.1.5中文版的管理员手册。

http://www.symantec.com/business/support/index?page=content&id=DOC7698&locale=zh_CN

http://kbdownload.symantec.com/resources/sites/BUSINESS/content/live/DOCUMENTATION/7000/DOC7698/zh_CN/Installation_and_Administration_Guide_SEP12.1.5.pdf?__gda__=1414646835_192c867688e8dc98e2d72aa2d99a7a20

SP：SEPM12.1.5修复了importpackage文件夹过大的问题。C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\data\outbox\ImportPackage

以上文件夹在SEPM12.1.0-12.1.4的版本下都容易出现过大的问题，有时甚至达到100GB，需要定时删除。SEPM12.1.5完美解决了这个问题，升级就可以了。（鸣谢！【传说】童孝刚_北京_SE，【潜水】MR.Guo）

关于日志过大的问题请参考：

http://blog.sina.com.cn/s/blog_6965d96d0101hohj.html

SEPM 12.1.5使用的是Sybase Anywhere16的库（鸣谢！【传说】童孝刚_北京_SE）

针对SEPMLiveUpdate 默认保留内容的数量，我这里看到的是12个。有些人说21个，还有些人说是恐怖的90个，我没见过。反正1个大概需要1GB的空间，Symantec一般一天出3个库，最少要保证3天的吧，12个差不多。实际上默认值的数量与你安装时选择的客户端数量有关。

通过上图可以知道，受管理的Mac上的SEP已经可以通过SEPM升级了，估计Linux也不太远了。如果你没有Mac系统就把这项去掉吧。

SP：官方给的SEP12.1.5的“NEW”

F某某（牛人，所以要求保护隐私），在SNAC 610012.1.5a上使用网络上的方法“echo this is atest”命令，结果如下

然后很气愤被800欺骗。SY说那种检查不准确，给了个脚本，检查结果如下：

SNAC 610012.1.5a果然已经修补了bash漏洞，没修补的效果如下：

Symantec 800给的bash漏洞检查脚本的内容如下：

#!/bin/bash

EXITCODE=0

#CVE-2014-6271

CVE20146271=$(env'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echovulnerable' bash -c "echo test" 2>&1 | grep 'vulnerable' |wc -l)

echo -n"CVE-2014-6271 (original shellshock): "

if [ $CVE20146271 -gt0 ]; then

echo -e "\033[91mVULNERABLE\033[39m"

EXITCODE=$((EXITCODE+1))

else

echo -e "\033[92mnot vulnerable\033[39m"

#CVE-2014-6277

# it is fullymitigated by the environment function prefix passingavoidance

CVE20146277=$((shellshocker="() {x() { _;}; x() { _;} <<a; }" bash -c date 2>/dev/null ||echo vulnerable) | grep 'vulnerable' | wc -l)

echo -n"CVE-2014-6277 (segfault): "

if [ $CVE20146277 -gt0 ]; then

echo -e "\033[91mVULNERABLE\033[39m"

EXITCODE=$((EXITCODE+2))

else

echo -e "\033[92mnot vulnerable\033[39m"

#CVE-2014-6278

CVE20146278=$(shellshocker='() {echo vulnerable; }' bash -c shellshocker 2>/dev/null | grep'vulnerable' | wc -l)

echo -n"CVE-2014-6278 (Florian's patch): "

if [ $CVE20146278 -gt0 ]; then

echo -e "\033[91mVULNERABLE\033[39m"

EXITCODE=$((EXITCODE+4))

else

echo -e "\033[92mnot vulnerable\033[39m"

#CVE-2014-7169

CVE20147169=$((cd/tmp; rm -f /tmp/echo; env X='() { (a)=>\' bash -c "echo echononvuln" 2>/dev/null; [[ "$(cat echo 2> /dev/null)" =="nonvuln" ]] && echo "vulnerable" 2> /dev/null) | grep'vulnerable' | wc -l)

echo -n"CVE-2014-7169 (taviso bug): "

if [ $CVE20147169 -gt0 ]; then

echo -e "\033[91mVULNERABLE\033[39m"

EXITCODE=$((EXITCODE+8))

else

echo -e "\033[92mnot vulnerable\033[39m"

#CVE-2014-7186

CVE20147186=$((bash-c 'true <<EOF <<EOF <<EOF <<EOF<<EOF <<EOF <<EOF <<EOF <<EOF<<EOF <<EOF <<EOF <<EOF <<EOF'2>/dev/null || echo "vulnerable") | grep 'vulnerable' | wc-l)

echo -n"CVE-2014-7186 (redir_stack bug): "

if [ $CVE20147186 -gt0 ]; then

echo -e "\033[91mVULNERABLE\033[39m"

EXITCODE=$((EXITCODE+16))

else

echo -e "\033[92mnot vulnerable\033[39m"

#CVE-2014-7187

CVE20147187=$(((for xin {1..200}; do echo "for x$x in ; do :"; done; for x in {1..200};do echo done; done) | bash || echo "vulnerable") | grep'vulnerable' | wc -l)

echo -n"CVE-2014-7187 (nested loops off by one): "

if [ $CVE20147187 -gt0 ]; then

echo -e "\033[91mVULNERABLE\033[39m"

EXITCODE=$((EXITCODE+32))

else

echo -e "\033[92mnot vulnerable\033[39m"

#CVE-2014-////

CVE2014=$(env X=' (){ }; echo vulnerable' bash -c 'date' | grep 'hello' | wc-l)

echo -n"CVE-2014-//// (exploit 3 on http://shellshocker.net/):"

if [ $CVE2014 -gt 0]; then

echo -e "\033[91mVULNERABLE\033[39m"

EXITCODE=$((EXITCODE+64))

else

echo -e "\033[92mnot vulnerable\033[39m"

exit$EXITCODE

SP：SEPM12.1.5中设置客户端密码的位置更加明显。以前这个设定在常规测试里面。

北京同力天合网络技术有限公司

TAPP（TechnicalAssistance Partner Program）

朱宗智

本期明星销售：徐国力

电话：13521877225

E-mail：xgl@it9173.com

如果电话敬请告知获得途径“新浪博客”

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。