StillSecure Safe Access Lite─免費使用的版本已具備一定實用度，並提供線上更新

導入NAC不一定需要花大錢，像StillSecure Safe Access Lite是Safe Access這套NAC產品的免費版（下載隨附的序號可以使用一年，之後需要重新申請），適合部署在電腦數量250臺以下的中、小企業環境。

這次測試的免費版本，功能上，僅能做到電腦的狀態偵測（Passive模式），也不具備高可用性的多機備援及負載平衡。然而，對於只是單純透過這款NAC產品檢查電腦狀態的企業來說，已經是綽綽有餘。至於需要附費的Safe Access則可以整合802.1x、DHCP，以及透通（Inline）三種網路架構，隔離狀態未能符合企業規定的電腦。

由於安裝檔是以VMware虛擬機器的型式提供，因此Safe Access Lite的安裝流程，比起市面上的其他同類型產品要來得容易許多，直接將檔案掛載到虛擬化平臺之後，就可以開啟運作。

由於Safe Access Lite本身是一款整合Linux作業系統運作的NAC產品，一開始我們必須登入NAC政策伺服器本機（也就是上述的虛擬機器內）的Linux文字介面，先輸入指令、設定好網路組態之後，接著才可以登入網頁介面操作各項功能。

提供3種方式來掃描個人端電腦狀態，部署彈性佳
除了大多數NAC皆有提供的代理程式以及Active X之外，Safe Access Lite另外還提供了一種相當特別的Agentless模式，讓企業可以在不需要額外部署任何軟體元件的前提下，來收集列管電腦的各種狀態訊息。

就第一種代理程式而言，除了Windows平臺版本，Safe Access Lite也提供了可以部署在Mac OS的檔案。執行檔可由政策伺服器自行下載安裝，或者由管理者統一透過AD的Logon Script派送，在政策伺服器稽核完電腦的狀態之後，代理程式便會在視窗的右下角自動顯示提示訊息，點選之後，可以閱覽完整的稽核內容。

至於Active X以及Agentless兩種方式，主要是針對無法安裝代理程式的電腦，也可以藉此讓它接受Safe Access Lite的政策稽核。

Active X是由透過IE將外掛元件下載到電腦執行，如果電腦已經啟用個人防火牆的功能，則必須手動開啟UDP的1500埠，才能讓Safe Access Lite的政策伺服器掃描電腦的內部狀態。在我們實際測試的過程中，Safe Access Lite會自動完成XP SP2內建防火牆的設定，至於使用其他個人防火牆的電腦，可能就需要以手動方式完成這項設定。

由於Active X是一種需要由使用者操作的掃描方式，不過在Safe Access Lite本身不具備隔離能力的情況下，使用者大多會略過這項檢查工作，因此使得效果變得十分有限，一般來說，針對這些無法安裝代理程式的電腦，採用Agentless會是比較適合的管理方式。

Agentless是Safe Access Lite在功能上的一項特色，相較於大多數需要安裝代理程式或者是Active X元件的NAC產品，不需要安裝軟體元件的Agentless部署方式，在管理上便顯得更為簡便，類似的功能在所有NAC產品中也相當罕見，例如目前只有Safe Access/Safe Access Lite和Extreme的Sentriant AG具備。

在Agentless的架構下，Safe Access Lite是透過網路芳鄰，由NAC的政策伺服器掃描電腦，因此企業必須確認電腦的網路共享功能，以及Remote Procedure Call（RPC）系統服務是否已經開啟，為了保證產品具備足夠的權限掃描電腦內部的資料，以及管理上的簡便考量，企業最好可以在AD的環境下，以網域管理者的身分來操作這項功能；至於沒有加入網域的電腦，則可以個別將本機管理者的帳號、密碼匯入到Safe Access Lite，一樣可以透過Agentless的方式接受Safe Access Lite的管理。

掃描完成後的結果，可以透過郵件方式傳送給管理者，以便能夠快速解決已知的各項問題，避免安全威脅在企業內部擴散。

蒐集個人端電腦狀態的方式齊備

收集電腦的狀態訊息上，Safe Access Lite具備代理程式、Active X，以及Agentless等三種方式。

狀態掃描項目能從線上持續更新，而且同樣不必付費
Safe Access Lite的檢查項目，整體來說相當完整，除此之外，也可以整合AD，讓不同的群組單位（部門）個別套用稽核規則加以管理，將電腦需要接受檢查的項目限定於特定範圍，以加快產品的掃描速度。

檢查電腦是否已經按照企業規定安裝資安軟體及修補程式，是一般NAC所強調的稽核功能，而Safe Access Lite執行掃描的項目尚包括了瀏覽器（僅限IE）的安全性設定、網路連線的管理，惡意程式、灰色軟體的清查，以及一般的應用程式管理。

其中，網路連線的管理相當特別。善用這項功能，可以了解內部的電腦是否透過企業所允許的設定存取網路，例如連線到特定的無線網路SSID，一旦稽核失敗，Safe Access Lite便會透過前述的郵件功能，向管理者發出訊息，避免使用者連接到企業外部的無線基地臺，造成安全防護上的疑慮，不過，這項管理功能有個不足之處，就是目前只能針對一般常見的Wi-Fi，尚不支援3.5G的無線網路。

Safe Access Lite的掃描項目中包含了一份惡意程式清單，可在檢查過程中，確實了解該臺電腦是否已經產生安全問題，而在應用程式的控管方面，可以管理介於前者以及一般應用程式之間的灰色軟體，還有容易從網路下載惡意程式的P2P軟體，以減少惡意程式植入電腦的機率。

Safe Access Lite內建的掃描項目，可以透過網路自動更新，預設間隔是每個小時一次，除此之外，也能如同其他大多數的NAC產品，透過手動方式執行，或者根據需求，自行增加檢查項目的設定。

掃描電腦狀態的指定項目可自行勾選

除了檢查資安軟體，以及修補程式之外，Safe Access Lite掃描的項目尚包括了瀏覽器安全性設定，網路連線的管理，惡意程式、灰色軟體的清查，以及一般的應用程式管理等。

提供圖表，方便了解內部電腦的運作狀態
網頁介面首頁內建了儀表板型式的圖表，可以幫助管理者快速了解目前正常、離線，以及未能通過稽核的電腦比例。除此之外，也可以利用Safe Access Lite的網頁表單查詢過去發生過的歷史記錄，並且可以另存成為離線檔案，便於日後閱覽，做為管理上的參考依據。文⊙楊啟倫