Symantec(赛门铁克）非受管检测

为了查找局域网内没有安装赛门铁克客户端的IP，采用Symantec Endpoint Protect Manager 的非受管检测机制进行网段扫描。

非受管检测机制的原理是：每台电脑开机时都会向同网段电脑发arp，当非受管检测器接到arp请求时，会写入本地的arp列表，包含对端的IP地址和MAC地址。非受管检测器每到心跳时间，就会将这个列表发送给SEPM，SEPM和自己数据库里的客户端做对比，将不属于自己数据库列表的IP地址列为非受管客户端。在两个心跳时间就应该会陆续有结果（默认是30分钟），但是有的电脑没有开机的情况下，这个list会持续更新。

　　出现的问题：

　　 1、一次只能扫描同一网段的IP，如果想要扫描整个局域网，需要在每个网段都设置一台非受管检测器。

　　2、扫描的内容包括所有为安装SEP客户端的IP，其中包含了电话、打印机、交换机等IP。

作为非受管检测器的客户端，需要注意：

　　1.作为非受管检测器的电脑必须安装了SEP的网络模块（防火墙+入侵防护）

　　2.必须是计算机模式

　　3.必须长期开机

　　4.不可以安装SNAC模块

　　5.只能检测到本网段的，如果多个网段，需要每个网段设置一个

　　6.会将不受SEPM管理的，以及没有安装SEP的都检测出来，如果网络中有多个SEPM，数据会不准确

启用方法：SEPM---客户端---组---选中客户端---右键--设置为非受管检测器

查看结果：SEPM主页---安全状态---查看详细信息---未知设备

查找到结果后，也可以在Monitor 中设置监视报告，设定时间和邮件地址，会将报告发送到邮箱中。

参考地址：https://support.symantec.com/en_US/article.TECH105921.html