Symantec AntiVirus10.x完全技術(shù)手冊(cè)

SymatecAntiVirus基礎(chǔ)知識(shí)：Symantec防病毒產(chǎn)品線單機(jī)版NortonAntiVirus2002/2003/2004/2005/2006/2007；NortonInternetSecurity2002/2003/2004/2005/2006/2007；NortonPersonalFirewall2006；Norton360；企業(yè)版SymantecAntiVirus7.6/8.1/9.0/10.0/10.1/10.2；SymantecClientSecurity1.0/2.0/3.0/3.1/3.2；概述：SAV即SymantecAntiVirus（Symantec企業(yè)版防病毒產(chǎn)品）；功能：增強(qiáng)對(duì)間諜軟件、木馬、釣魚軟件、廣告軟件等威脅的防護(hù)能力；新增“防篡改”功能，防止防病毒客戶端的進(jìn)程、服務(wù)被病毒結(jié)束；增強(qiáng)的病毒處理能力，可以結(jié)束病毒的進(jìn)程，再對(duì)病毒文件、受影響注冊(cè)表鍵值進(jìn)行處理；新增報(bào)告服務(wù)器功能，可根據(jù)時(shí)間、病毒名稱等，通過圖形化報(bào)表的形式進(jìn)行統(tǒng)計(jì)報(bào)告；防病毒客戶端、服務(wù)器之間的通信采用PKI體系進(jìn)行認(rèn)證、加密。版本：程序版本：000、掃描引擎：1（當(dāng)前狀態(tài)，可隨病毒庫升級(jí)）；系統(tǒng)組件：SymantecSystemCenter；SymantecAntiVirus服務(wù)器端；SymantecAntiVirus客戶端；SymantecLiveupdate實(shí)用工具；Symantec報(bào)告服務(wù)器；SAV10.1報(bào)告服務(wù)器安裝前準(zhǔn)備：必須安裝IIS4.0以上的版本；建議安裝SQLServer2000企業(yè)版，同時(shí)安裝SP3或更高的補(bǔ)??；建議設(shè)置復(fù)雜的SQLSA帳戶的密碼，同時(shí)將SQL安全性設(shè)置為：“SQLServer和Windows”選擇“接受協(xié)議”，進(jìn)行下一步的安裝；配置報(bào)告服務(wù)器admin帳號(hào)的密碼；選擇“在本機(jī)數(shù)據(jù)庫上安裝”如果使用MSDE安裝需設(shè)置SQLSA帳戶密碼；如果使用SQL2000安裝輸入SQLSA帳戶密碼；SAV10.1客戶端安裝準(zhǔn)備：不支持Windows98SE/NT操作系統(tǒng)；建議終端計(jì)算機(jī)的內(nèi)存配置高于256MB；SAV10.1系統(tǒng)中心的安裝：選擇“接受協(xié)議”，進(jìn)行下一步的安裝；選擇安裝組件，進(jìn)行下一步的安裝；配置安裝程序路徑；SymatecAntiVirus策略配置：將指定SAV服務(wù)器升級(jí)為一級(jí)服務(wù)器客戶端日志轉(zhuǎn)發(fā)SSC－SAV服務(wù)器組－所有任務(wù)－SymantecAntiVirus－客戶端日志轉(zhuǎn)發(fā)

病毒定義管理器SSC－SAV服務(wù)器組－所有任務(wù)－SymantecAntiVirus－病毒定義管理器客戶端自動(dòng)防護(hù)選項(xiàng)SSC－SAV服務(wù)器組－所有任務(wù)－SymantecAntiVirus－客戶端自動(dòng)防護(hù)選項(xiàng)

客戶端防篡改選項(xiàng)SSC－SAV服務(wù)器組－所有任務(wù)－SymantecAntiVirus－客戶端防篡改選項(xiàng)客戶端管理員專用選項(xiàng)SSC－SAV服務(wù)器組－所有任務(wù)－SymantecAntiVirus－客戶端管理員專用選項(xiàng)服務(wù)器調(diào)整選項(xiàng)SSC－SAV服務(wù)器組－所有任務(wù)－SymantecAntiVirus－服務(wù)器調(diào)整選項(xiàng)SymatecAntiVirus日常維護(hù)：SAV客戶端部署注意事項(xiàng)：建議使用WINS或DNS等自動(dòng)方式實(shí)現(xiàn)SAV客戶端正常解析SAV服務(wù)器的計(jì)算機(jī)名稱的要求；不支持Win98Se操作系統(tǒng)，支持Win2000/XP/2003等操作系統(tǒng)，建議終端計(jì)算機(jī)的內(nèi)存配置在256MB以上時(shí)可部署SAV客戶端；對(duì)于在局域網(wǎng)部署的可接受管理的SAV客戶端，必須具備SAV服務(wù)器的GRC.DAT和PKI證書文件；對(duì)于已安裝Norton單機(jī)版或其他防病毒、防火墻軟件的客戶端需先卸載后再安裝SAV3.1客戶端；建議設(shè)置復(fù)雜的操作系統(tǒng)管理員密碼、修補(bǔ)操作系統(tǒng)關(guān)鍵系統(tǒng)補(bǔ)丁、關(guān)閉多余的系統(tǒng)后臺(tái)服務(wù)、盡量只開放只讀的共享目錄；SAV報(bào)告服務(wù)器的維護(hù)：定期登錄http://x.x.x.x/reporting報(bào)告服務(wù)器查看客戶端日志；定期登錄http://x.x.x.x/reporting報(bào)告服務(wù)器生成客戶端報(bào)告；SAV系統(tǒng)中心的維護(hù)：此控制臺(tái)可以安裝在局域網(wǎng)內(nèi)任意計(jì)算機(jī)上，只要保證可跟SAV服務(wù)器正常通訊即可；定期查看客戶端感染病毒、木馬等安全風(fēng)險(xiǎn)的狀態(tài)；定期查看客戶端病毒定義庫升級(jí)清苦；定期查看指定服務(wù)器的客戶端總數(shù)；SAV服務(wù)器的病毒庫升級(jí)維護(hù)：通過SSC的策略配置實(shí)現(xiàn)SAV服務(wù)器定時(shí)自動(dòng)的更新病毒庫；SAV病毒庫升級(jí)的3種方式：SAV客戶端每天第一次開機(jī)后會(huì)主動(dòng)連接SAV服務(wù)器，如有比SAV客戶端本地的病毒庫更新的病毒庫時(shí)，即會(huì)自動(dòng)下載并更新的；SAV服務(wù)器在自身更新完最新的病毒庫后會(huì)主動(dòng)向接受管理的SAV客戶端下發(fā)此最新的病毒庫的；SAV服務(wù)器和SAV客戶端日常通信周期是每60分鐘通信一次；手動(dòng)升級(jí)SAV服務(wù)器病毒庫方式：訪問Symantec官方病毒庫下載地址：/avcenter/download/pages/US-SAVCE.html下載XDB文件并拷貝到SAV服務(wù)器的以下目錄：C:\ProgramFiles\SAV\SymantecAntiVirus再重啟SAV服務(wù)器的SymantecAntiVirus服務(wù)即可；SAV防病毒策略維護(hù)：配置SAV服務(wù)器定時(shí)自動(dòng)升級(jí)病毒庫；兼容低版本的SAV客戶端管理方式；強(qiáng)制SAV客戶端防病毒策略；修改卸載密碼；SymatecAntiVirus常見問題處理：如何解決SAV服務(wù)器無法升級(jí)病毒庫問題：解析Symantec升級(jí)地址正常：排錯(cuò)時(shí)查看SAV服務(wù)器的系統(tǒng)日志，確定升級(jí)失敗的可能性；如何解決SAV客戶端無法升級(jí)病毒庫問題：保證SAV客戶端解析SAV服務(wù)器的計(jì)算機(jī)名稱正常；保證SAV客戶端具備SAV服務(wù)器的PKI證書；手動(dòng)重啟SAV客戶端的SymantecAntiVirus服務(wù)以加快升級(jí)速度；排錯(cuò)時(shí)可以查看SAV客戶端的系統(tǒng)日志，確定升級(jí)失敗的可能性如何解決SAV報(bào)告服務(wù)器無法登錄問題：登錄報(bào)告服務(wù)器（ReportingServer）時(shí)提示帳號(hào)鎖定或禁用導(dǎo)致無法登錄：解決方法：登錄到SAV10.1服務(wù)器，進(jìn)入CMD命令行模式下。osql–EUseReporting;UpdateadminusersetLocked=’’whereusername=’admin’;goexit如何安全徹底的查殺病毒：斷開網(wǎng)絡(luò)；關(guān)閉WindowsXP系統(tǒng)還原功能；升級(jí)到最新的病毒庫；進(jìn)入操作系統(tǒng)的安全模式下查殺病毒；對(duì)于特定病毒可以使用專殺工具；設(shè)置復(fù)雜的操作系統(tǒng)管理員密碼；修補(bǔ)操作系統(tǒng)關(guān)鍵系統(tǒng)補(bǔ)??；SymatecAntiVirus版本升級(jí)操作：升級(jí)的原因SymantecAntiVirus94版本的防病毒系統(tǒng)存在技術(shù)漏洞（SYM06-010漏洞），并且已有W32.SpyBot.Worm的變種病毒已利用此漏洞，可能造成此版本的防病毒系統(tǒng)緩沖區(qū)堆棧溢出，從而導(dǎo)致SAV服務(wù)意外終止和遠(yuǎn)程攻擊者獲得本地管理員權(quán)限；受影響的SymantecAntiVirus版本：010、020、94；解決方法：升級(jí)至SAV000版本；如何將SAV服務(wù)器從SAV94升級(jí)到SAV000版本卸載SAV94版的服務(wù)器端程序；控制面板—添加刪除程序—SymantecAntiVirus—卸載；卸載SAV94版的SSC系統(tǒng)控制臺(tái)程序；控制面板—添加刪除程序—SymantecSystemCenter—卸載；卸載SAV94版的報(bào)告服務(wù)器程序；控制面板—添加刪除程序—ReportingServer—卸載；安裝SAV000版的服務(wù)器端程序；安裝SAV000版的SSC系統(tǒng)控制臺(tái)程序；安裝SAV000版的報(bào)告服務(wù)器程序；“注意備份SAV10.1服務(wù)器的PKI證書文件夾，默認(rèn)路徑：C:\ProgramFiles\SAV\PKI”如何將SAV服務(wù)器從SAV7.X、8.X、9.X升級(jí)到SAV000版本卸載SAV7.X、8.X、9.X版的服務(wù)器端程序；控制面板—添加刪除程序—SymantecAntiVirus—卸載；卸載SAV7.X、8.X、9.X版的SSC系統(tǒng)控制臺(tái)程序；控制面板—添加刪除程序—SymantecSystemCenter—卸載；安裝SAV000版的服務(wù)器端程序；安裝SAV000版的SSC系統(tǒng)控制臺(tái)程序；安裝SAV000版的報(bào)告服務(wù)器程序；“SAV7.X、8.X、9.X可以在不卸載的情況下，采取更新安裝的方式升級(jí)到SAV000版本”“注意備份SAV10.1服務(wù)器的PKI證書文件夾，默認(rèn)路徑：C:\ProgramFiles\SAV\PKI”如何恢復(fù)對(duì)原有SAV10.1客戶端的兼容管理保持原先先按照正常的步驟，重新安裝Symantec10.X防病毒系統(tǒng)，之后使用SymantecSystemCenter（Symantec系統(tǒng)中心）將防病毒服務(wù)器設(shè)置成“一級(jí)服務(wù)器”；進(jìn)入操作系統(tǒng)的“服務(wù)”控制臺(tái)，將“SymantecAntivirus”的服務(wù)停止，關(guān)閉SymantecSystemCenter；將Symantec防病毒服務(wù)器默認(rèn)安裝目錄“C:\ProgramFiles\SAV”下面的PKI文件夾刪除，再將原先備份的PKI文件夾，復(fù)制到默認(rèn)安裝目錄“C:\ProgramFiles\SAV”下面；修改注冊(cè)表鍵值；打開原先備份的“PKI\Private-Keys\”文件夾，找到“<computername>.<key>.0.loginca.pvk”格式的文件，將“<key>”這部分的串碼值記錄下來；打開注冊(cè)表編輯器（regedit.exe）。找到“HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion”下面的“DomainGuid”鍵值，進(jìn)行編輯，刪除原先的內(nèi)容，將第“1）”步中記錄的“<key>”這部分的值輸入到該鍵值；找到“HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\DomainData”下面的“DomainGuid”鍵值，進(jìn)行編輯，刪除原先的內(nèi)容，將第“1）”步中記錄的“<key>”這部分的值輸入到該鍵值。進(jìn)入系統(tǒng)的“服務(wù)”控制臺(tái)，將“SymantecAntivirus”的服務(wù)啟動(dòng)；打開SymantecSystemCenter（Symantec系統(tǒng)中心），將服務(wù)器組解鎖，此時(shí)你可能會(huì)看到提示“用戶名、密碼不正確”，不要著急，在防病毒一級(jí)服務(wù)器上打開默認(rèn)安裝的“C:\ProgramFiles\Symantec\SymantecSystemCenter\Tools\”文件夾，運(yùn)行“IFORGOT.exe”文件，重新輸入新的用戶名和密碼，這樣再打開SymantecSystemCenter，將服務(wù)器解鎖時(shí)輸入新的用戶名密碼就可以進(jìn)去了，看看以前的客戶端是不是已經(jīng)出現(xiàn)了！如果沒有請(qǐng)等待一會(huì)再看。制作SAV000客戶端安裝包文件：制作防病毒客戶端安裝包；防病毒客戶端的安裝程序文件位于防病毒服務(wù)器的安裝目錄下，默認(rèn)路徑為c:\Programfiles\sav\CLT-INST\WIN32或c:\Programfiles\SymantecAntivirus\CLT-INST\WIN32\，該目錄中的所有文件就是客戶端的安裝程序。以下操作將講解如何制作防病毒客戶端，在防病毒服務(wù)器上安裝“Winrar”工具，之后將上面描述的防病毒客戶端程序文件全選，單擊鼠標(biāo)右鍵選擇“添加到壓縮文件”，在彈出的對(duì)話框中選擇“創(chuàng)建自解壓格式壓縮文件”。點(diǎn)選“高級(jí)”選項(xiàng)卡，在該對(duì)話框中點(diǎn)擊“自解壓選項(xiàng)”按鈕。按照下圖，在文本框中輸入相應(yīng)的值。再點(diǎn)擊“模式”選項(xiàng)卡，選擇“全部隱藏”、“覆蓋所有文件”，單擊“確定”按鈕。之后Winrar程序會(huì)將防病毒程序文件進(jìn)行打包，生成一個(gè)自解壓的“.EXE”文件。安裝防病毒客戶端安裝包；制作完防病毒客戶端安裝包后，使用該客戶端安裝包直接安裝即可，安裝包可以升級(jí)9.0以及更低版本的防病毒客戶端，不用卸載原有防病毒客戶端程序。附：Symantec官方網(wǎng)站鏈接：1、Symantec官方網(wǎng)站：2、SymantecSecurityResponse（Symantec安全響應(yīng)中心）：3、VirusEncyclopedia（Symantec病毒資料）：/avcenter/vinfodb.html4、VirusRemovalTools（Symantec病毒專殺工具下載）：/avcenter/tools.list.html5、Virus