Mcafee端点保护对于SMB审查和评级至关重要

McAfee Endpoint Protection Essential for SMB的起价为每用户每年30.16美元，在纸上打了很多功能框，绝对是其旧业务端点保护产品的重大更新。 所有流行的台式机平台都得到了很好的支持，尽管该公司目前选择忽略移动操作系统。 此外，一旦您超越了纸上的功能列表并开始使用该产品，许多人可能会发现它比竞争对手更复杂。 加上检测网络钓鱼攻击的弱点，使它落后于我们当前的编辑选择奖获得者Bitdefender GravityZone Elite和ESET Endpoint Protection Standard。

安装和用户界面

对于初次用户来说，登录到SMB的ePolicy Orchestrator（ePO）的McAfee Endpoint Protection Essential是一种压倒性的体验。 必须单击“入门”选项卡，否则您可能要花费数小时来尝试去哪里。 在该选项卡上，安装保护就是简单的下载和安装。 这是一种自动且无痛的锻炼。 添加所有端点后，下一个要前往的地方是仪表板。

仪表板不仅仅是一件事。 它是该产品各个方面的25个概述的集合。 这可能是威胁检测，许可，产品部署，Web控制活动等。 在花了几分钟点击之后，很容易找到一些收藏夹，但是它为其余的ePO奠定了基调。 综上所述：这太过分了。 仅在主菜单上，就可以访问30多个单独的部分，对于去哪里并不是总是一个直观的选择。 对于策略管理和分配尤其如此。

由于在主菜单下可以访问“策略目录”，您将在其中花费大部分时间来配置帐户上可用的各种模块和产品，这令人沮丧。 有默认配置，适用于大量用户。 但是，如果您敢于在这里冒险，那就准备好花些时间来耕种这片土地。 几乎所有东西都是可配置的。 如果可以设法找到，可以对威胁防护设置，防火墙规则，计划的扫描以及许多其他设置进行调整。

可以根据标签或组分配策略。 从理论上讲虽然方便，但在实践中往往比较麻烦。 可悲的是，这主要是由于重复钻取。 一旦知道了要去的地方，这是合乎逻辑的，但是我发现自己要去哪里做笔记，这对任何小型企业管理员来说都是不好的。

更有趣的功能之一是云威胁检测（CTD）选项。 通过“云线程工作区”页面进行管理，CTD允许客户将可执行文件和PDF文件发送到云沙箱以进行爆炸和分析。 然后，这些信息不仅可以用于保护您的本地环境，而且可以提高McAfee Endpoint Protection Essential for SMB的整体能力来防御整个组织中的类似威胁。

但是，“报告”模块是一口新鲜空气。 选件的广度和深度在这里对产品有利。 在撰写本文时，有148个查询可以执行以获取信息。 尽管稍微非正式些，但我发现这些内容比摘要报告有用得多。 从安全审核的角度来看，这是一个金矿，很容易使诸如F-Secure之类的产品黯然失色，这些产品往往会最大程度地减少报告

勒索软件防护

对于企业勒索软件保护，McAfee Endpoint Protection for SMB主要依靠恶意软件和漏洞检测来阻止勒索软件。 这里没有花哨的钟声和口哨声。 值得注意的是，适用于SMB的Endpoint Protection Essential并非处于真空状态，并且其产品阵容中还有其他产品可以添加其他保护，例如McAfee Host Intrusion Prevention和McAfee Advanced Threat Protection，它们可以复制许多功能。在得分较高的产品中找到。 综上所述，McAfee Endpoint Protection for SMB仅在基础方面相处得很好。

检测结果

我的初始测试涉及使用为研究目的收集的一组已知恶意软件。 每个文件都存储在受密码保护的ZIP文件中，并分别提取。 提取病毒样本后，立即对其进行检测。 在142个恶意软件变体中，所有项目均已标记并隔离。

为了测试对有害网站的保护，从开放的社区PhishTank中随机选择了最新的10个网站，该网站报告已知和可疑的钓鱼网站。 只有一个统一资源定位符（URL）尝试导致该网站被阻止，因为它是一个钓鱼网站，并且绝大多数都是伪造的PayPal网站。 即使已将McAfee Web Control与阻止网络钓鱼选项一起启用，但似乎注册得并不多。 考虑到网络钓鱼电子邮件可能是有针对性的勒索软件攻击的逻辑入口，因此Bitdefender GravityZone Elite和ESET Endpoint Protection Standard等产品在阻止此类尝试方面做得更好。

为了测试McAfee Endpoint Protection对SMB对勒索软件的响应，我使用了包括WannaCry在内的一组44个勒索软件样本。 没有任何样本经过ZIP文件提取。 这并不出乎意料，因为每个样品都有已知的特征。 所有威胁均被及时准确地标记为勒索软件，并已从磁盘中删除。 KnowBe4的勒索软件模拟器RanSim也被标记为勒索软件实例。 由于这些很可能是通过已知签名被拾取的，因此我通过模拟主动攻击者来采用更直接的方法。

所有Metasploit测试均使用产品的默认设置进行。 由于它们都不成功，因此我有信心跳过任何更具侵略性的设置。 首先，我使用Metasploit设置了旨在利用浏览器的AutoPwn2服务器。 这会发动一系列攻击，这些攻击在Firefox和Internet Explorer（IE）等通用浏览器上会成功。 McAfee Endpoint Protection for SMB可以正确检测到每种攻击，并取消了攻击。

下一个测试使用了启用宏的 Microsoft Word {/ ZIFFARTICLE}}文档。 文档内部包含一个编码的应用程序，Microsoft Visual Basic脚本（VBScript）随后将对该编码的应用程序进行解码并尝试启动。 检测何时使用各种屏蔽和加密技术通常可能是一个棘手的条件。 打开时文件产生错误，表明攻击失败。

最后，我测试了一种基于社会工程学的攻击。 在这种情况下，用户将使用Shellter下载受损的FileZilla安装程序。 在执行它之后，它将执行一个Meterpreter会话并回调到攻击系统。 它甚至在执行之前就已检测到并已从磁盘中删除。 此外，即使被编码，它也被认为是Meterpreter可执行文件。 考虑到签名当时被掩盖了，这实际上是非常令人印象深刻的。

独立的反病毒测试实验室AV-Test为McAfee Endpoint Protection for SMB提供了6.0的保护中的“ 6.0分”，针对性能的“ 6.0中的5.0分”和可用性的“ 6.0中的6.0分”。 另一方面，MRG-Effitas在McAfee Endpoint Protection Essential的2018年第二季度全频谱测试中对SMB的检测率存在一些小问题。 在使用的387个样本中，有1.6％被完全遗漏了。 就是说，有96.6％的文件被自动阻止，有0.3％的文件被阻止可疑行为，有1.6％的文件在系统运行24小时后被阻止。 好消息是，在测试的29个勒索软件样本中，所有样本均被自动阻止。 为了获得更好的检测性能，Sophos Intercept-X在MRF-Effitas的2018年测试中排名第一，并且界面比光年更好。

总体而言，对于SMB的保护，McAfee Endpoint Protection Essential很好，而且从用户的角度来看，它也不为过。 它还具有高度的灵活性，并且可以通过一流的报告功能进行配置。 感觉和功能就像企业产品一样。 另一方面，其ePO用户界面（UI）令人困惑和笨拙，并且可能会为小型企业客户简化。 考虑到它的价格低于平均水平，您确实获得了巨大的收益。 但是，最终，适用于SMB的McAfee Endpoint Protection Essential是一款不错的但有缺陷的产品。