Symantec(赛门铁克)非受管检测
为了查找局域网内没有安装赛门铁克客户端的IP,采用Symantec Endpoint Protect Manager 的非受管检测机制进行网段扫描。
非受管检测机制的原理是:每台电脑开机时都会向同网段电脑发arp,当非受管检测器接到arp请求时,会写入本地的arp列表,包含对端的IP地址和MAC地址。非受管检测器每到心跳时间,就会将这个列表发送给SEPM,SEPM和自己数据库里的客户端做对比,将不属于自己数据库列表的IP地址列为非受管客户端。在两个心跳时间就应该会陆续有结果(默认是30分钟),但是有的电脑没有开机的情况下,这个list会持续更新。
出现的问题:
1、一次只能扫描同一网段的IP,如果想要扫描整个局域网,需要在每个网段都设置一台非受管检测器。
2、扫描的内容包括所有为安装SEP客户端的IP,其中包含了电话、打印机、交换机等IP。
作为非受管检测器的客户端,需要注意:
1.作为非受管检测器的电脑必须安装了SEP的网络模块(防火墙+入侵防护)
2.必须是计算机模式
3.必须长期开机
4.不可以安装SNAC模块
5.只能检测到本网段的,如果多个网段,需要每个网段设置一个
6.会将不受SEPM管理的,以及没有安装SEP的都检测出来,如果网络中有多个SEPM,数据会不准确
启用方法:SEPM---客户端---组---选中客户端---右键--设置为非受管检测器
查看结果:SEPM主页---安全状态---查看详细信息---未知设备
查找到结果后,也可以在Monitor 中设置监视报告,设定时间和邮件地址,会将报告发送到邮箱中。
参考地址:https://support.symantec.com/en_US/article.TECH105921.html