Anti-vírus - sorry, segurança endpoint - programas de chupar. Eu detesto-los e eles têm sido a maldição da minha existência profissional para a melhor parte de 20 anos. Apesar do esmagamento, esmagando tristeza que eles causam, veio o convite para baixo para rever produto de segurança endpoint mais recente da Intel de segurança, McAfee Endpoint Protection avançada para SMB e - contra o meu melhor julgamento - Eu não completamente odiá-lo.
Dado o tempo, eu poderia até mesmo crescer a gostar.
Estou ciente de que, a metade dos que estão lendo isso vai estourar uma artéria cerebral com a idéia. Como você poderia dizer nada de bom sobre eles? Senhoras e senhores, eu ouvir e entender. Eu poderia tentar escrever um artigo sobre as noites sem dormir, chamadas de suporte sem fim, atualizações quebrados, incompatibilidades de aplicativos e outras bizarrices todos eles têm atirado em mim ao longo dos anos.
No entanto, temo que, se eu tentasse, eu enrolar em uma bola, se esconder em um canto e balançar para trás e para a frente murmurando algo sobre Smurfs. Para ser claro upfront, na sua iteração nuvem, McAfee Endpoint Protection avançada para SMB é um só em Windows Protection Suite. Usuários de Mac são servidos com a versão on-instalações, mas para cloud Mac, Linux e usuários móveis não são obrigados a aplicar. Eu não vou ding Intel Segurança para que; é o que é, e esta revisão vai julgar isso no contexto de outras suítes de proteção do Windows.
Então, vamos nos concentrar no que queremos um produto de segurança de endpoint para fazer. Tenho quatro critérios pelos quais julgo produtos de segurança de endpoint:
1) Será que prevenir oogly booglies de ficar no meu sistema? Sim? Bom!
2) Será que ela me impedir de ir a sites ou execução de aplicativos que eu quero? Sim? Bad!
3) Será que ela fique no meu caminho e nag me o tempo todo? Sim? Deorbit os pêndulos de tungstênio!
4) Será que ela tem uma interface de usuário que faria corar desenvolvedores CA ou desenvolvedores da Microsoft animado? Nope.gif!
5) Será que cuidar de atualizações de aplicativos de terceiros? Sim? Dobram os desenvolvedores com Scotch bem!
Assim, os critérios estabelecidos, vamos destruir essa coisa.
Grande Oogly Boogly!
Ao testar as capacidades de prevenção de eu joguei uma barragem de testes padrão para a coisa e ele sobreviveu. Note-se que este é um teste separado de sua capacidade de limpar o material que conseguiu ou sneak após as defesas de prevenção, ou que já estava lá.
Segurança Endpoint da Intel Segurança vem com três sub-componentes primários. O primeiro é um widget de proteção scanner / ameaça anti-malware que varre para geral oogly booglyness. O segundo é um firewall. O terceiro é um widget de "controle da web", que toma a forma de plug-ins para impedi-lo de fazer qualquer coisa excessivamente estúpido.
A primeira coisa que noto é que a versão mais recente da Intel Security Platform Endpoint Protection (versão 10) não parece suportar o Windows XP 64-bit. Isso é lamentável, porque um dos meus maiores usos para a segurança de endpoints adequada é a de manter o material antigo que não pode ser atualizado cantarolando para o maior tempo possível. Ele também não suporta IE6, mas eu sou incapaz de sentir triste com isso.
As versões anteriores do Endpoint Security integrado no Outlook, desde que isso não era a variante Office 365. A versão atual não parece. Em vez disso, a documentação tem uma sinopse sobre o "acompanhamento das APIs" que eu estou um pouco nervoso.
Exploit Prevention pára estouros de buffer explorados de executar código arbitrário. Esse recurso monitora chamadas de API de modo de usuário e reconhece quando são chamados, como resultado de um estouro de buffer. Threat Prevenção usa o Exploit Prevention arquivo de conteúdo para proteger aplicativos, como o Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word, e MSN Messenger.
Se você cavar em torno do KBs o suficiente, você vai descobrir que a razão pela qual a magia McAfee complemento não está presente no Outlook é porque Outlook não é suportado na versão atual. Thunderbird nunca recebi qualquer amor, e continua a ser ignorado.
Espero que o seu filtro de voodoo API é bom. Para ser justo, enquanto eu podia brincar com as mensagens infectadas, eu não podia levá-los para acionar e fazer qualquer coisa horrível demais, e eu não poderia salvar os anexos. Por outro lado, já faz algum tempo desde que eu coloquei minha mão para tentar com alguma gravidade. Eu estou chamando suporte de correio indecisos, com um soupcon de irritante "por favor, não falha".
Intel Security também vende um e-mail serviço de varredura baseado em nuvem que é separado do conjunto de proteção Endpoint.
A proteção Web e proteção contra ameaças à porções da equação certamente impedir a média site mal-intencionado, ou tentando derrubar vários arquivos infectados por vírus para o meu sistema via sincronização , stick USB, DVD, rede, etc. Mesmo quando eu comecei a ficar em as grandes armas e indo para o código que eu manter nas unidades com a burocracia Intel Segurança me surpreendeu e manteve a maldade de conquistar a proteção.
Agora, a proteção do navegador é um item interessante. Chrome e IE foram detectados apenas multa. Os plugins do navegador foram injetados. Dito isto, o usuário final indivíduo precisa ativar os plugins antes de começar a ser protegida. Considerando-se que uma grande parte do ponto de venda é que esta é uma solução de proteção de endpoint, onde você pode empurrar para fora as políticas em toda a empresa, esta é uma pegadinha para estar ciente.
Outra pegadinha é que ele perdeu o Firefox. A documentação oficial (de setembro) diz que suporta Firefox 30. Tenho Firefox 36. Não tenho a certeza se esta é a razão pela qual meu Firefox não foi dado um relevante add-on, mas não somos. Não consigo encontrar um download no site da Intel de Segurança para obter o meu próprio plugin.
Eu tenho uma biblioteca de samples não inexpressivo de maldade digital e tudo isso foi impedido de fazer a sua coisa. Eu mesmo tomou um Xeon 2680 v3 sistema dual, com 256GB de RAM aumentada por duas placas Nvidia K2 GRID e jogou um difusor um firewall através de uma porta de 56Gbit / s Infiniband para a melhor parte de um dia e veio com nada.
Agora, é certo, um dia não é muito longa, mas eu, pelo menos, caiu firewalls de outros produtos de ponto final na metade do tempo. Para meu espanto, firewall da Intel Segurança apenas embebeu-se como um campeão e pediu mais.
Mudei para heurísticas teste e começou a programar algumas das minhas próprias coisas para ver se iria pegar cepas frescas. Eu tentei de codificação para qualquer número de vulnerabilidades conhecidas e até mesmo alguns que ainda não têm CVEs * e não teve problemas. Estou assumindo que este é porque as vulnerabilidades que eu tenho são bastante conhecido nos círculos adequados, apesar de não estar na lista.
Então estou satisfeito com a proteção oogly boogly geral? Eu dou a este um sim qualificado. Intel Security precisa de reforçar o seu apoio de grandes aplicativos e navegadores. Outlook, Thunderbird e Firefox precisa de amor.
Os falsos positivos
Uma das maiores questões que tradicionalmente tiveram com os produtos de segurança endpoint é que eles me impedir de entrar em sites que eu preciso ou o uso de aplicativos que são críticos. Um bom exemplo disto seria aplicações Java para o software específico da indústria. Produtos de segurança de endpoint adoro impedindo-os de falar com a rede.
Com certeza, se eu lançar IPMIView da Supermicro (uma aplicação Java) Endpoint Security é ter nada disso. Comunicação em rede bloqueado. Não passe adiante, não administrar remotamente o seu centro de dados. Parece que fazer isso para todos os aplicativos Java, e eu desisti de tentar encontrar uma maneira de criar exceções depois de uma hora.
Insira um suspiro dramático aqui. Ele estava indo tão bem! Eu percebo que quando se trata de usuários diários médios, eu provavelmente não quer aplicações Java (Nota: não Java no navegador; que deveria ser proibida em princípio geral), que comunica com o mundo exterior. Mas eu realmente gostaria que se houvesse um mecanismo conveniente e óbvio para dizer a coisa "não, cair fora, eu preciso usar isso!"
Dito isto, é, na verdade, não ficar no meu caminho quando visitar sites, ele deve saber perfeitamente aceitáveis. cliente web vSphere na sub-rede local com um gerada localmente (e inválido, na medida em que o navegador do cliente está em causa) certificado SSL? Vá para a direita sobre perto. Ele não vai impedi-lo.
Alguém percebeu que vSphere é uma coisa que endpoint empresas de proteção devem se preocupar, e eles merecem um cookie.
Da mesma forma, deixe-me gerir a minha ioSafe sem problema, entrar no Tintri, trabalhar em sites Webmin e até mesmo ir a um controlador de domínio / certsrv que não fazia parte da minha rede. Sem dor, sem confusões.
Portanto, esta rodada é um empate. Endpoint Security ainda tem um ódio irracional de aplicativos Java, mas parece ter twigged ao fato de que muitas coisas são geridas pelo browser, mesmo com "maus" certificados SSL.
Fator Annoyance
É a aplicação irritante, naggy, coberto de popups ou de outra forma constantemente tentando lembrá-lo que ele está lá? Esta seção é rápido e fácil: não. É perfeitamente discreto, e até mesmo os plugins do navegador são bastante calmo. Passe o espumante 'folks redondas, você ganhou este mãos arredondar para baixo.
UI
Eu gosto da interface do usuário. Sim, aquele som que você ouve é provavelmente o estrondo de cavaleiros que anunciam um apocalipse, mas eu sinceramente como a interface do usuário.
A interface é simples, limpo, e mesmo relativamente intuitiva. Não há ubericons berrantes e não há telhas hieroglíficas bizantino. A interface do aplicativo cliente é praticamente perfeito. Eu ponderei por um tempo e que não seja um "deixe-me usar meu aplicativo Java você git miserável" botão Eu não pode vir até com uma única mudança que eu faria. O console UI gestão SaaS é, provavelmente, a única e melhor tais UI que eu já vi. Eles têm um menu iniciar mais útil do que o Windows 10 por um país, e se o seu administrador de sistemas é ainda meio acordado que vai descobrir onde todos os bits são.
A parte mais difícil de todo o exercício para mim foi descobrir como definir políticas de firewall. O segredo é que o "catálogo política" é dividido pelo produto.
Faz todo o sentido que ir à procura no catálogo de políticas para as políticas de manipular. Ele ainda faz sentido ter a "duplicar" a política padrão antes que você pode fazer alterações, e depois atribuir essa nova política para os dispositivos ou grupos. Eu só não vejo nenhuma razão para quebrar as políticas pelo produto. Principalmente porque eu sou amargo que eu não vi o menu suspenso para o produto e desperdiçou 10 minutos tentando encontrar as regras de firewall.
Fora isso, é tudo muito simples. Não é simples o suficiente para eu colocar um MBA na frente dele e tê-los gerenciar um pequeno negócio 'frota computador, mas qualquer pessoa que realmente entende o que todas as peças deste pacote de software é suposto fazer encontrará o UI nenhum problema em tudo.
Intel Segurança não está usando qualquer terminologia proprietária. Tudo é jargão padrão da indústria, claramente marcado em um site corretamente projetado de forma lógica e racional. Limpar vitória aqui para Intel de Segurança, mas eu ainda estou tentando envolver minha cabeça em torno de uma UI McAfee - ou, na verdade, qualquer UI moderna - que não tem me inventando novos palavrões. É uma espécie de irritante.
Aplicativos de terceiros
Infelizmente, o único lugar onde a segurança endpoint da Intel Segurança cai é atualizar aplicativos de terceiros. Ele simplesmente não fazê-lo. Não há nem mesmo um widget para dizer-lhe que java de um sistema cliente está fora de data, e muito menos agir sobre ela.
Agora, há uma solução rápida para este. Intel Segurança poderia ir caçar o meu homem Sascha Kuzins cargo no Ninite para baixo e dar-lhe um grande saco de dinheiro. Integrando a funcionalidade do Ninite Pro em Endpoint Security iria fechar a lacuna bastante eficaz. Duplo karma bônus pontos se manteve o local livre ao redor, porque, bem, Ninite é incrível.
Julgamento!
Para recapitular: Eu dei da Intel Segurança McAfee Endpoint Protection avançada para SMB um sim qualificada, mantendo os oogly booglies fora. Intel Segurança precisa de intensificar o seu apoio de aplicativos e navegadores como o Outlook, Thunderbird e Firefox.
Falsos positivos são uma lavagem: website falsos positivos são mantidos a um mínimo, mas um "deixe-me usar meu aplicativo java" botão é necessária. Vitória completa sobre não ser chato e em um grande UI, mas nenhum amor para apoio app de terceiros.
Existem produtos com foco em empresas que são mais rico em recursos. Para ser perfeitamente sem corte eles também são uma dor no ASCII de usar, até o último um. Não é perfeito, mas a segurança endpoint da Intel Segurança destaca-se entre os seus pares como um dos poucos que eu use de boa vontade sobre os meus próprios sistemas.
Eu posso executar uma empresa de médio porte fora de isso sem ter que dedicar um especialista para o produto. É simples o suficiente para gerenciar milhares de pontos finais, mas ainda ser "apenas mais uma aplicação" que um administrador de sistema generalista tem de usar no dia a dia. Será maravilhas nunca cessam? ®
Nenhum comentário:
Postar um comentário