我们是怎么做到的

我们如何测试各种端点安全产品。

由于端点安全方面的产品在实现上的差异很大，所以我们必须创造性地对它们进行测试，以产生有意义的结果。

为此，我们首先将问题定义为需要对访问网络的计算机执行端点安全策略。然后，我们将目标定义为不允许网络上不遵守已定义策略的系统，并且能够在允许访问公司资源之前，自动或手动地采取行动使系统符合规定。

我们为每个产品创建了一个最低需求列表。在最基本的层次上，每个产品都必须能够识别出不符合策略的系统，并采取行动纠正这种情况。我们还需要集中的管理和报告能力。

为了创建更具体的需求，我们与安全经理进行了交谈，并使用我们自己作为安全专业人员的经验来创建一个我们希望看到解决问题的策略执行检查和产品功能的愿望列表。我们从这个过程的一开始就明白，要找到一个符合我们所有要求的产品是很困难的，但我们对公司提供的产品可以互操作来满足我们的需求是开放的。

我们将需求分为五个主要类别:策略管理、设置/部署、补救、弹性和报告/警报。

我们的政策管理评估集中在产品对我们所定义的政策执行合规检查的能力上。我们认为设置应该相当简单，有强大的文档。代理部署应该是一个简单的过程，总体来说，产品应该是直观的和易于使用的。

我们的补救测试侧重于如何处理不兼容的系统。它被隔离并且所有网络访问都被阻塞了吗?我们能否将用户重定向到安装丢失的软件或补丁的链接?补救行动能自动发生吗?

我们的弹性测试着眼于系统如何响应攻击(参见故事，页面XX)。绕过策略并获得对网络的完全访问是否容易?服务器容易受到攻击吗?你能简单地卸载客户端来绕过策略吗?

最后，我们的报告和警报评估查看了如何通知管理员违反法规的系统，以及如何随着时间跟踪遵从性状态和纠正历史。您能生成报告，让管理层了解我们目前的安全状况吗?

我们在Windows 2003上安装了所有服务器组件，完全打了补丁，如果被测试的产品支持的话。如果不支持2003服务器(在Cisco CSA管理服务器和TrendMicro OfficeScan管理服务器的情况下)，我们使用一个完全打了补丁的Windows 2000服务器。这些服务器安装在VMware镜像中，配置有1G字节RAM，运行在Pentium III 3GHz的穿梭服务器上。

客户端安装在Windows 2000 SP4 Professional和Windows XP SP2 Professional机器上。这些客户端不包含服务包之外的任何附加补丁，除非正在安装的客户端软件需要这些补丁。这些客户端也安装在VMware镜像中，配置为500M内存，运行在Pentium III, 3GHz的穿梭服务器上。

所有的客户端都配置了Sophos杀毒软件和eEye的Blink个人防火墙进行兼容性测试。

网络的核心运行在一个Cisco 3500交换机上，配置了两个虚拟lan (VLAN)。第一个VLAN是主要的生产网络。第二个VLAN充当网络上内联运行的设备产品的不受信任的网络。在需要时，第二个VLAN还充当修复VLAN。

在安装和客户端部署过程中，我们注意到我们在过程中遇到的任何困难，了解产品时的文档质量，以及为分发客户端软件所支持的方法。我们还记录了产品在所有测试阶段的总体易用性。

在测试策略管理时，我们在每个产品中设置策略，以识别Blink防火墙是否在运行，Sophos杀毒软件是否在运行，并更新了签名。我们安装了Dloader(由Sophos识别)木马/间谍程序，看看它是否被识别和停止/隔离。我们配置了一个策略来识别系统上是否安装了MS05-014 (Internet Explorer的安全补丁)，如果没有，则在产品支持的范围内进行补救，例如发送链接、上传用于手动安装的补丁文件或自动安装补丁。

对于应用程序控制，我们不允许通过应用程序访问或网络端口访问bittorrent，这取决于产品支持什么。我们试图阻止对u盘的访问。这可能是禁用端口或阻止文件写入，具体取决于产品。然后，我们寻找操作系统安全检查的默认支持，重点关注密码策略和注册表键控制空会话(如果在产品中可用)。

我们使用Cisco VPN集中器作为网关，测试了在远程VPN连接上实施策略的能力，以及在未连接到公司网络时实施策略的能力。

最后，我们寻找一种创建自定义策略检查的机制，并尝试创建默认情况下没有提供的任何检查。

在补救方面，我们测试了完全阻止或控制不合规范系统访问策略的能力，从而限制对内部服务器的访问。我们还测试了浏览器重定向(如果适用的话)和产品中可用的任何补救部署操作。

对于报告和警报，我们首先测试了在不兼容的系统上线时生成警报(如电子邮件或SNMP)的能力。然后我们介绍了报告，从查看基本系统日志的能力开始。然后，我们介绍了生成和导出报告的能力，最后介绍了为两个特定领域创建报告的能力:修复历史(系统或组)和显示系统不符合的详细报告。

为了测试弹性，我们在Linux (Centos 4)上使用交换机span端口、集线器和ethereal来检查和监控网络流量。我们使用OpenSSL手动练习找到的任何SSL连接。我们使用NMAP和NESSUS扫描服务器，以识别潜在的漏洞区域。我们使用基本的Windows文件操作工具来执行客户机删除测试，以模拟在利用有效负载中执行代码的约束条件下可能发生的情况。

回清选择测试:终端安全产品