將用戶端架構為偵測非受管裝置

未授權裝置能夠以多種方式連線至網路,例如,會議室的實體存取或非授權無線網路存取點。若要在各個端點強制執行政策,您必須能夠迅速偵測出網路中是否有新的裝置出現。您必須判斷這些裝置是否安全。您可以啟用任何用戶端作為非受管偵測程式,以偵測不明裝置。不明裝置是未執行
Symantec Endpoint Protection
用戶端軟體的非受管裝置。如果非受管裝置是電腦,您可以在該電腦上安裝
Symantec Endpoint Protection
用戶端軟體。
裝置啟動時,作業系統會將下列流量傳送至網路,以告知其他電腦有裝置出現:
  • 位址解析通訊協定 (ARP) 流量 (ICMPv4)
  • 芳鄰搜尋通訊協定 (NDP) 流量 (ICMPv6)
    自 14.2 起支援 ICMPv6。
啟用成為非受管偵測程式的用戶端會收集此封包資訊,然後傳送至管理伺服器。管理伺服器會在封包中搜尋裝置的 MAC 位址和 IP 位址。伺服器會將這些位址與伺服器資料庫中的現有 MAC 位址與 IP 位址清單相互比對。如果伺服器找不到相符的位址,伺服器會記錄該裝置為新裝置。然後您可以決定該裝置是否安全。由於用戶端只傳輸資訊,因此不會使用額外的資源。
您可以架構非受管偵測程式忽略某些裝置,例如印表機。您也可以設定電子郵件通知,以便在非受管偵測程式偵測出不明裝置時通知您。
若要架構用戶端成為非受管偵測程式,必須執行下列動作:
自 14.3 RU1 起,將 Linux 用戶端啟用為非受管偵測程式已棄用。
架構非受管偵測程式:
  1. 在主控台中,按一下「
    用戶端
    」。
  2. 在「
    用戶端
    」下,選取包含要啟用為非受管偵測程式的用戶端的群組。
  3. 在「
    用戶端
    」標籤上,在要啟用成為非受管偵測程式的用戶端上按下滑鼠右鍵,然後按下「
    啟用為非受管偵測程式
    」。
  4. 若要指定一個或多個裝置由非受管偵測程式排除在偵測之外,請按下「
    架構非受管偵測程式
    」。
  5. 在「
    用戶端名稱
    發生非受管偵測程式例外
    」對話方塊中,按一下「
    新增
    」。
  6. 在「
    新增非受管偵測程式例外
    」對話方塊中,按下下列其中一個選項:
    • 排除偵測 IP 位址範圍
      」,然後輸入多個裝置的 IP 位址範圍。
    • 排除偵測 MAC 位址
      」,然後輸入裝置的 MAC 位址。
  7. 按一下「
    確定
    」>「
    確定
    」。
  8. 若要顯示用戶端偵測到的未授權裝置清單,請按一下「
    首頁
    」。
  9. 在「
    首頁
    」頁面的「
    安全狀態
    」區段中,按下「
    更多詳細資料
    」。
  10. 在「
    安全狀態詳細資料
    」對話方塊中,捲動至「
    不明裝置失敗
    」表格。
  11. 關閉對話方塊。
查看是否正在偵測非受管用戶端:
  1. 移至「
    主頁
    」頁面,然後按一下「
    安全狀態
    」區域中的「
    檢視詳細資料
    」。
  2. 安全狀態詳細資料
    」視窗出現時,按一下「
    不明裝置失敗
    」。
    偵測到的不明裝置總數
    」顯示非受管裝置數目。除了電腦之外,這還包括存取點、路由器、交換器和其他裝置。
  3. 若要過濾無關裝置,請移至「
    用戶端
    」頁面,然後以滑鼠右鍵按一下非受管偵測程式。
  4. 按一下「
    架構非受管偵測程式
    」,然後新增要過濾的裝置的 IP 或 Mac 位址。