【IT168 专稿】其实看到Symantec Endpoint Protection Small Business Edition 12（SEP12）正式版已经好多天了，但是因为之前试过SEP12 SBE prerelease，正式版的主动防御也没有解锁（可以使用，无法设置）。所以就没试。今天看到有人说SEP12比NIS09还快，于是就下载来装一下。

    先是虚拟机安装。干净系统是77M左右的PF，装完SEP12更新完重启以后的PF是209M左右。增加了大概140M。这部分比NIS09要大。不过几个进程ccApp，CcsHstsvc，Rtvscan占用都不高（这部分可能SEP耍了小花招，任务管理器看不出来）。

流畅性挺不错，虚拟机512M的内存下，流畅性很好。

    防火墙模块在重启以后才会出现。打开看了下设置，发现基本上都没选中。开启了大部分设置以后，设置了允许IP通讯，结果看不到防火墙的提示。要选择允许应用程序通讯才能看到提示框。不知道设置允许IP通讯是不是相当于没开防内的墙。（防外的入侵检测没问题）

    没找样本包扫描，对于铁壳，找样本包扫描的结果不一定会很理想。测测实质的防御吧。逛逛毒网试试。

    进了样本区，把前十个帖子都打开，然后一个一个网址的逛。前两个是报了缓存的文件，直接监控的处理窗体弹出。点击关闭以后，浏览器也关闭了，估计清除要关浏览器才行。后面逛的时候开始看到入侵防护的报警了，入侵防护是任务栏图标弹泡泡的方式的。提示的有Microsoft XML BO…………。

    在发现样本和弹出通知窗口的过程中，Rtvscan这个进程的内存占用升高了，物理内存升高到15M+，虚拟内存更是升高到55M+。关闭浏览器和所有窗口以后，任务管理器里面观察到的PF为250M+，比开机增加了不少。

    我不想看到通知窗体，因为没什么可点的，就只能点关闭。于是在反病毒里面设置通知方式，取消了弹出处理通知窗口的选择。

    接下来逛了前面报警的几个网页，的确没有弹窗了，但是SEP的日志和隔离区里面也没有新的文件。难道访问一次，SEP就记住了？后续都直接阻止文件下载到本地了？不过对于进行了排除以后的朋友，推荐你还是关掉通知。因为我发现关掉通知以后，浏览器再也没被关闭过。

    逛毒网的过程，我始终关注着任务管理器，没有发现任务管理器有异常的进程出现。系统正常。可见SEP的防护还是比较到位的。

    接下来，找了个实机安装SEP12 SBE。办公室同事的电脑有一次成了我的试验田。实机安装的结果跟虚拟机安装差不多，PF占用增加了大约130M+。流畅性不错。实机的关机和重启速度还不错，但是从windows登陆界面到桌面完全显示这段时间依然保持了铁壳企业版的一贯水准，比较久。

    总结一下：SEP12据称采用了NIS09的核心，的确流畅性和资源控制都做得不错（不过感觉并没有个人版那么流畅，应该说离我的期望还有点距离）。不过企业版跟个人版比还是不够优秀。最奇怪的就是SEP的大部分界面都很挫，资源反而比个人版占用的多！安全性也还算可以。今天浏览的网页特征码和入侵防护都有报警。就是不知道如果特征码过了，铁壳还能不能防护的住。基于我遭遇过的防火墙方面的bug，我始终对sygate的墙心存疑虑。不过不装墙又不能使用铁壳的入侵防护系统。如何抉择就看用户自己了吧！总的来说，SEP12还是不错的。