Symantec Endpoint Protection 包含的工具

本文介绍
Symantec Endpoint Protection
中包含的工具以及工具的使用目的。
位于安装文件中的工具
您从 Broadcom 下载管理页面下载的
Symantec Endpoint Protection
安装文件的 \Tools 文件夹中包含的工具和文档如下所示。
ApacheReverseProxy(12.1.4 及更高版本)
此工具可在 Symantec Endpoint Protection Manager 中设置 Apache Web 服务器,从而允许 Mac 客户端和 Linux 客户端通过 Web 服务器下载 LiveUpdate 内容。当新内容发布后,Apache Web 服务器结合
Symantec Endpoint Protection Manager
将适用于 Mac 和 Linux 客户端的 LiveUpdate 内容下载和缓存到本地。
此工具适用于具有较少客户端的网络。
CentralQ(12.1.6 及更早版本)
Symantec Endpoint Protection
能自动将包括受感染文件及相关副作用的隔离软件包从本地隔离区转发到中央隔离区。使用中央隔离区可以更方便地收集证据信息。通过此工具,您可从受感染的计算机中检索示例,而无需直接访问该计算机。
在以下情况中,将隔离服务器用于
Symantec Endpoint Protection
环境:
  • Symantec Endpoint Protection
    客户端接收可疑威胁样本。
  • 将这些样本自动提交给安全响应。
  • 下载迅速发行的特定于可疑威胁(仅提交给了隔离服务器)的定义。不会将这些定义推送给威胁所在的
    Symantec Endpoint Protection
    客户端。
CleanWipe
CleanWipe 可卸载
Symantec Endpoint Protection
产品。仅在其他卸载方式(例如 Windows 控制面板)均失败时使用 CleanWipe。
您也可以在以下位置(64 位)中找到此工具:C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
ContentDistributionMonitor (SEPMMonitor)
ContentDistributionMonitor 工具可帮助你管理并监视环境中的多个组更新提供程序 (GUP)。该工具以图形方式显示 GUP 的运行状况和内容分发状态。
在 12.1.6 及更早版本中,
ContentDistributionMonitor
的名称为
SEPMMonitor
。在 12.1.5 及更早版本中,
ContentDistributionMonitor
位于
NoSupport
文件夹内。
Deception (14.0.1)
Deception 用于使用“欺骗程序”来检测端点处的对手活动。此方法的基本假设是攻击者已经破坏网络的主要防御功能,并在环境中进行侦察。攻击者寻找关键资产,如域控制器或数据库凭据。
DeviceInfo (14)、DevViewer
DeviceInfo(适用于 Mac,自版本 14 起)和 DevViewer(适用于 Windows)可获取特定设备的设备供应商、型号或序列号。您可将这些信息添加到“
硬件设备
”列表。然后将设备 ID 添加到设备控制策略,便于在客户端计算机上允许或禁止使用该设备。
Integration (WebServicesDocumentation)
自 14 版起,Integration 文件夹已重命名为
WebServicesDocumentation
ITAnalytics
IT Analytics 软件扩展了
Symantec Endpoint Protection
提供的内置报告功能,使您能够创建自定义报告和自定义查询。 它对
Symantec Endpoint Protection Manager
数据库中包含的数据进行多维分析并提供图形报告。通过此功能,您能够独立探索数据,而无需具备高级数据库知识或借助第三方报告工具。
JAWS
通过 JAWS 屏幕读取程序和脚本集,您能够更加方便地读取
Symantec Endpoint Protection
菜单和对话框。JAWS 是一种辅助技术,提供与 508 部分的产品辅助功能的遵从性。
LiveUpdate Administrator(12.1.4 及更早版本)
Symantec LiveUpdate Administrator 是独立于
Symantec Endpoint Protection
的一个独立 Web 应用程序。LiveUpdate Administrator 对公共 LiveUpdate 服务器的内容执行镜像操作,然后通过内置 Web 服务器将内容从内部提供给 Symantec 产品。
LiveUpdate Administrator 是
Symantec Endpoint Protection
的可选组件,不需要使用该组件来更新
Symantec Endpoint Protection
客户端。默认情况下,
Symantec Endpoint Protection Manager
使用 LiveUpdate 技术而非 LiveUpdate Administrator 从 Symantec 公共 LiveUpdate 服务器直接下载内容。
但在某些情况下,您也许需要使用 LiveUpdate Administrator。例如,您可能需要将内容下载到大量非 Windows 客户端,或您需将内容下载到客户端,而
Symantec Endpoint Protection Manager
无法下载内容。因此,您可以先安装 LiveUpdate Administrator 服务器,然后配置
Symantec Endpoint Protection Manager
从该服务器进行下载。
要下载 LiveUpdate Administrator 及其文档,请参见:下载 LiveUpdate Administrator (LUA)
不提供支持 > MoveClient
MoveClient
是一种 Visual Basic Script,可根据客户端的主机名、用户名、IP 地址或操作系统将客户端从一个
Symantec Endpoint Protection Manager
组移动到另一个组。它还可以将客户端从用户模式切换到计算机模式,反之亦然。
不提供支持 > Qextract
Qextract
可从客户端本地隔离区提取并还原文件。如果 客户端隔离了某个文件,而您认为其为误报,就可以使用此工具。
不提供支持 > SEPprep(12.1.6 及更早版本)
SEPprep 工具不受支持,它会自动卸载竞争对手的防病毒产品。如果您要从 Norton 迁移到
Symantec Endpoint Protection
,SEPprep 也会卸载 Symantec Norton
产品。
您可以将 SEPprep 打包在脚本中,该脚本将卸载竞争对手的产品,然后自动以静默方式启动
Symantec Endpoint Protection
安装程序。
您可以使用客户端部署向导代替 SEPprep 来卸载竞争对手的产品。在向导的“
客户端安装设置
”选项卡上,单击“
自动卸载现有第三方安全软件
”。
有关客户端部署向导卸载的产品列表,请参见:
SEPPrep 不会卸载任何 Symantec 产品。然而,自版本 14 起,客户端部署向导会内置 CleanWipe 以删除其他 Symantec 产品(包括
Symantec Endpoint Protection
客户端)。
OfflineImageScanner(12.1.6 及更早版本)
此工具扫描并检测脱机 VMware 虚拟磁盘(.vmdk 文件)中的威胁。
PushDeploymentWizard
使用推式部署向导可将
Symantec Endpoint Protection
客户端安装包部署到目标计算机。推式部署向导与
Symantec Endpoint Protection Manager
中的客户端部署向导相同。通常使用它部署到规模较小的计算机或远程计算机组。
SEPIntegrationComponent(12.1.5 及更早版本)
Symantec Endpoint 集成组件 (SEPIC) 使用基于 Web 的单个 Symantec Management Console 将
Symantec Endpoint Protection
与其他 Symantec Management Platform 解决方案组合在一起。您可以使用 SEPIC 清点计算机、更新补丁程序、发送软件和部署新计算机。您也可以备份和还原系统及数据、管理 DLP 代理,以及管理
Symantec Endpoint Protection
客户端。
SylinkDrop
Sylink.xml 文件包含 Windows 客户端或 Mac 客户端与 Symantec Endpoint Protection Manager 之间的通信设置。如果客户端丢失与
Symantec Endpoint Protection Manager
之间的通信,请在客户端计算机上使用 SylinkDrop 工具将现有 Sylink.xml 文件自动替换为新的 Sylink.xml 文件。
替换 Sylink.xml 文件会执行以下任务:
  • 将非受管客户端转换为受管客户端。
  • 将客户端迁移或移动至新的域或管理服务器。
  • 将不能在管理服务器上修复的通信损坏还原至客户端。
  • 将客户端从一台服务器移动至另一台不是复制伙伴的服务器。
  • 将客户端从一个域移动至另一个域。
您也可以将此工具仅用于 Windows 客户端,工具的位置如下(64 位):
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
SymDiag (SymHelp)
自 14 版起,SymHelp 工具已重命名为 Symantec Diagnostic (SymDiag)。
SymDiag
是一种多产品诊断工具,可识别常见问题、收集用于辅助疑难解答的数据并提供有关其他用户自助和支持资源的链接。此外,
SymDiag
还为一些 Symantec 产品以及威胁分析扫描提供授权许可和维护状态,用于帮助查找潜在的恶意软件。
虚拟化
虚拟化工具可以为虚拟桌面基础架构 (VDI) 环境中安装的客户端提高扫描性能。
  • SecurityVirtualAppliance(12.1.6 及更早版本)
    Symantec 安全虚拟设备包含已为 VMware vShield 基础架构启用了 vShield 的共享智能扫描高速缓存。
  • SharedInsightCache
    共享智能扫描高速缓存工具不扫描
    Symantec Endpoint Protection
    客户端已确定为未感染病毒的文件,因此它可以提高虚拟环境中的扫描性能。如果客户端扫描某个文件中是否存在威胁并确定其未感染病毒,则客户端会将该文件的相关信息提交到共享智能扫描高速缓存。
    此后,当其他客户端尝试扫描同一个文件时,该客户端可查询共享智能扫描高速缓存以确定该文件是否未感染病毒。如果该文件未感染病毒,则相应客户端将不扫描该特定文件。如果该文件感染了病毒,则客户端会扫描该文件中的病毒并将相应结果提交到共享智能扫描高速缓存。
    共享智能扫描高速缓存是一个独立于客户端运行的 Web 服务。但是,您必须配置
    Symantec Endpoint Protection
    以指定共享智能扫描高速缓存的位置,这样客户端才能与其通信。共享智能扫描高速缓存通过 HTTP 或 HTTPS 与客户端进行通信。在扫描完成之前,客户端的 HTTP 连接会保持不断开。
  • 虚拟图像例外
    为提高 VDI 环境中的性能和安全性,我们通常根据需要利用基本映像构建虚拟机会话。借助 Symantec 虚拟映像例外工具,
    Symantec Endpoint Protection
    客户端不会扫描基本映像文件中是否存在威胁,减少磁盘 I/O 上的资源负载,同时提高 VDI 环境中的 CPU 扫描进程性能。
WebServicesDocumentation (Integration)
在 12.1.6 和早期版本中,此工具位于 \Tools\Integration 文件夹中。
Symantec Endpoint Protection
包含以 Web 服务形式提供的公共 API 集,为远程监控和管理 (RMM) 应用程序提供支持。这些 Web 服务为客户端和管理服务器提供功能。对
Symantec Endpoint Protection
Web 服务的所有调用需使用
OAuth
验证且只有获得授权的
Symantec Endpoint Protection
管理员才能允许其访问。开发人员使用这些 API 将其公司的第三方网络安全解决方案与
Symantec Endpoint Protection
管理服务器和客户端集成。
为远程管理和远程监控提供支持。远程管理通过 Web 服务形式的公共 API 提供,允许您将第三方解决方案或自定义控制台与基础客户端和管理服务器功能相集成。远程监控通过公开支持的注册表项和 Windows 事件日志记录提供。
远程管理 Web 服务可以执行以下任务:
  • 通过调用 Web 服务,报告管理服务器的许可证状态和内容状态,并将许可证状态报告给 Windows 事件日志。
  • 将命令发送至客户端,例如更新、更新和扫描以及重新启动。
  • 管理已发送到客户端的策略。可从其他管理服务器导入策略,也可将策略分配到其他管理服务器的组或位置。
随 Symantec Endpoint Protection Manager 一起安装的工具
以下工具随
Symantec Endpoint Protection Manager
一起安装,其默认位置为:
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
CollectLog
CollectLog.cmd 将
Symantec Endpoint Protection Manager
日志放置在 .zip 压缩文件中。然后将该 .zip 文件发送给 Symantec 支持或其他管理员以供其解决问题。
您可以在以下位置(64 位)中找到此工具:C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
数据库验证程序
dbvalidator.bat 能帮助您诊断
Symantec Endpoint Protection Manager
运行的数据库问题。
您可以在以下位置(64 位)中找到此工具:C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
SetSQLServerTLSEncryption (14)
默认情况下,
Symantec Endpoint Protection Manager
通过加密通道与 Microsoft SQL Server 通信。通过此工具,您可以为管理服务器与 Microsoft SQL Server 之间的通信禁用或启用 TLS 加密。自版本 14 起,该工具可与配置为使用 Microsoft SQL Server 数据库的管理服务器安装配合使用。
此工具随 Symantec Endpoint Protection Manager 一起安装,其位于以下位置(64 位):C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
Symantec Endpoint Protection Manager
API 参考 (14)
Symantec Endpoint Protection Manager
包含一组 REST API,这些 API 与 Endpoint Detection and Response (EDR) 连接并通过其执行
Symantec Endpoint Protection Manager
操作。 如果无权访问
Symantec Endpoint Protection Manager
,则可以使用这些 API。文档位置如下:
  • 在以下地址的
    Symantec Endpoint Protection Manager
    服务器上,其中
    SEPM-IP
    Symantec Endpoint Protection Manager
    服务器的 IP 地址:
    https://
    SEPM-IP
    :8446/sepm/restapidocs.html
    IP 地址包括 IPv4 和 IPv6。必须将 IPv6 地址放入方括号中:
    http://[
    SEPMServer
    ]:
    端口号