Symantec AntiVirus10.x完全技術手冊

SymatecAntiVirus基礎知識：Symantec防病毒產品線單機版NortonAntiVirus2002/2003/2004/2005/2006/2007；NortonInternetSecurity2002/2003/2004/2005/2006/2007；NortonPersonalFirewall2006；Norton360；企業(yè)版SymantecAntiVirus7.6/8.1/9.0/10.0/10.1/10.2；SymantecClientSecurity1.0/2.0/3.0/3.1/3.2；概述：SAV即SymantecAntiVirus（Symantec企業(yè)版防病毒產品）；功能：增強對間諜軟件、木馬、釣魚軟件、廣告軟件等威脅的防護能力；新增“防篡改”功能，防止防病毒客戶端的進程、服務被病毒結束；增強的病毒處理能力，可以結束病毒的進程，再對病毒文件、受影響注冊表鍵值進行處理；新增報告服務器功能，可根據(jù)時間、病毒名稱等，通過圖形化報表的形式進行統(tǒng)計報告；防病毒客戶端、服務器之間的通信采用PKI體系進行認證、加密。版本：程序版本：000、掃描引擎：1（當前狀態(tài)，可隨病毒庫升級）；系統(tǒng)組件：SymantecSystemCenter；SymantecAntiVirus服務器端；SymantecAntiVirus客戶端；SymantecLiveupdate實用工具；Symantec報告服務器；SAV10.1報告服務器安裝前準備：必須安裝IIS4.0以上的版本；建議安裝SQLServer2000企業(yè)版，同時安裝SP3或更高的補丁；建議設置復雜的SQLSA帳戶的密碼，同時將SQL安全性設置為：“SQLServer和Windows”選擇“接受協(xié)議”，進行下一步的安裝；配置報告服務器admin帳號的密碼；選擇“在本機數(shù)據(jù)庫上安裝”如果使用MSDE安裝需設置SQLSA帳戶密碼；如果使用SQL2000安裝輸入SQLSA帳戶密碼；SAV10.1客戶端安裝準備：不支持Windows98SE/NT操作系統(tǒng)；建議終端計算機的內存配置高于256MB；SAV10.1系統(tǒng)中心的安裝：選擇“接受協(xié)議”，進行下一步的安裝；選擇安裝組件，進行下一步的安裝；配置安裝程序路徑；SymatecAntiVirus策略配置：將指定SAV服務器升級為一級服務器客戶端日志轉發(fā)SSC－SAV服務器組－所有任務－SymantecAntiVirus－客戶端日志轉發(fā)

病毒定義管理器SSC－SAV服務器組－所有任務－SymantecAntiVirus－病毒定義管理器客戶端自動防護選項SSC－SAV服務器組－所有任務－SymantecAntiVirus－客戶端自動防護選項

客戶端防篡改選項SSC－SAV服務器組－所有任務－SymantecAntiVirus－客戶端防篡改選項客戶端管理員專用選項SSC－SAV服務器組－所有任務－SymantecAntiVirus－客戶端管理員專用選項服務器調整選項SSC－SAV服務器組－所有任務－SymantecAntiVirus－服務器調整選項SymatecAntiVirus日常維護：SAV客戶端部署注意事項：建議使用WINS或DNS等自動方式實現(xiàn)SAV客戶端正常解析SAV服務器的計算機名稱的要求；不支持Win98Se操作系統(tǒng)，支持Win2000/XP/2003等操作系統(tǒng)，建議終端計算機的內存配置在256MB以上時可部署SAV客戶端；對于在局域網部署的可接受管理的SAV客戶端，必須具備SAV服務器的GRC.DAT和PKI證書文件；對于已安裝Norton單機版或其他防病毒、防火墻軟件的客戶端需先卸載后再安裝SAV3.1客戶端；建議設置復雜的操作系統(tǒng)管理員密碼、修補操作系統(tǒng)關鍵系統(tǒng)補丁、關閉多余的系統(tǒng)后臺服務、盡量只開放只讀的共享目錄；SAV報告服務器的維護：定期登錄http://x.x.x.x/reporting報告服務器查看客戶端日志；定期登錄http://x.x.x.x/reporting報告服務器生成客戶端報告；SAV系統(tǒng)中心的維護：此控制臺可以安裝在局域網內任意計算機上，只要保證可跟SAV服務器正常通訊即可；定期查看客戶端感染病毒、木馬等安全風險的狀態(tài)；定期查看客戶端病毒定義庫升級清苦；定期查看指定服務器的客戶端總數(shù)；SAV服務器的病毒庫升級維護：通過SSC的策略配置實現(xiàn)SAV服務器定時自動的更新病毒庫；SAV病毒庫升級的3種方式：SAV客戶端每天第一次開機后會主動連接SAV服務器，如有比SAV客戶端本地的病毒庫更新的病毒庫時，即會自動下載并更新的；SAV服務器在自身更新完最新的病毒庫后會主動向接受管理的SAV客戶端下發(fā)此最新的病毒庫的；SAV服務器和SAV客戶端日常通信周期是每60分鐘通信一次；手動升級SAV服務器病毒庫方式：訪問Symantec官方病毒庫下載地址：/avcenter/download/pages/US-SAVCE.html下載XDB文件并拷貝到SAV服務器的以下目錄：C:\ProgramFiles\SAV\SymantecAntiVirus再重啟SAV服務器的SymantecAntiVirus服務即可；SAV防病毒策略維護：配置SAV服務器定時自動升級病毒庫；兼容低版本的SAV客戶端管理方式；強制SAV客戶端防病毒策略；修改卸載密碼；SymatecAntiVirus常見問題處理：如何解決SAV服務器無法升級病毒庫問題：解析Symantec升級地址正常：排錯時查看SAV服務器的系統(tǒng)日志，確定升級失敗的可能性；如何解決SAV客戶端無法升級病毒庫問題：保證SAV客戶端解析SAV服務器的計算機名稱正常；保證SAV客戶端具備SAV服務器的PKI證書；手動重啟SAV客戶端的SymantecAntiVirus服務以加快升級速度；排錯時可以查看SAV客戶端的系統(tǒng)日志，確定升級失敗的可能性如何解決SAV報告服務器無法登錄問題：登錄報告服務器（ReportingServer）時提示帳號鎖定或禁用導致無法登錄：解決方法：登錄到SAV10.1服務器，進入CMD命令行模式下。osql–EUseReporting;UpdateadminusersetLocked=’’whereusername=’admin’;goexit如何安全徹底的查殺病毒：斷開網絡；關閉WindowsXP系統(tǒng)還原功能；升級到最新的病毒庫；進入操作系統(tǒng)的安全模式下查殺病毒；對于特定病毒可以使用專殺工具；設置復雜的操作系統(tǒng)管理員密碼；修補操作系統(tǒng)關鍵系統(tǒng)補丁；SymatecAntiVirus版本升級操作：升級的原因SymantecAntiVirus94版本的防病毒系統(tǒng)存在技術漏洞（SYM06-010漏洞），并且已有W32.SpyBot.Worm的變種病毒已利用此漏洞，可能造成此版本的防病毒系統(tǒng)緩沖區(qū)堆棧溢出，從而導致SAV服務意外終止和遠程攻擊者獲得本地管理員權限；受影響的SymantecAntiVirus版本：010、020、94；解決方法：升級至SAV000版本；如何將SAV服務器從SAV94升級到SAV000版本卸載SAV94版的服務器端程序；控制面板—添加刪除程序—SymantecAntiVirus—卸載；卸載SAV94版的SSC系統(tǒng)控制臺程序；控制面板—添加刪除程序—SymantecSystemCenter—卸載；卸載SAV94版的報告服務器程序；控制面板—添加刪除程序—ReportingServer—卸載；安裝SAV000版的服務器端程序；安裝SAV000版的SSC系統(tǒng)控制臺程序；安裝SAV000版的報告服務器程序；“注意備份SAV10.1服務器的PKI證書文件夾，默認路徑：C:\ProgramFiles\SAV\PKI”如何將SAV服務器從SAV7.X、8.X、9.X升級到SAV000版本卸載SAV7.X、8.X、9.X版的服務器端程序；控制面板—添加刪除程序—SymantecAntiVirus—卸載；卸載SAV7.X、8.X、9.X版的SSC系統(tǒng)控制臺程序；控制面板—添加刪除程序—SymantecSystemCenter—卸載；安裝SAV000版的服務器端程序；安裝SAV000版的SSC系統(tǒng)控制臺程序；安裝SAV000版的報告服務器程序；“SAV7.X、8.X、9.X可以在不卸載的情況下，采取更新安裝的方式升級到SAV000版本”“注意備份SAV10.1服務器的PKI證書文件夾，默認路徑：C:\ProgramFiles\SAV\PKI”如何恢復對原有SAV10.1客戶端的兼容管理保持原先先按照正常的步驟，重新安裝Symantec10.X防病毒系統(tǒng)，之后使用SymantecSystemCenter（Symantec系統(tǒng)中心）將防病毒服務器設置成“一級服務器”；進入操作系統(tǒng)的“服務”控制臺，將“SymantecAntivirus”的服務停止，關閉SymantecSystemCenter；將Symantec防病毒服務器默認安裝目錄“C:\ProgramFiles\SAV”下面的PKI文件夾刪除，再將原先備份的PKI文件夾，復制到默認安裝目錄“C:\ProgramFiles\SAV”下面；修改注冊表鍵值；打開原先備份的“PKI\Private-Keys\”文件夾，找到“<computername>.<key>.0.loginca.pvk”格式的文件，將“<key>”這部分的串碼值記錄下來；打開注冊表編輯器（regedit.exe）。找到“HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion”下面的“DomainGuid”鍵值，進行編輯，刪除原先的內容，將第“1）”步中記錄的“<key>”這部分的值輸入到該鍵值；找到“HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\DomainData”下面的“DomainGuid”鍵值，進行編輯，刪除原先的內容，將第“1）”步中記錄的“<key>”這部分的值輸入到該鍵值。進入系統(tǒng)的“服務”控制臺，將“SymantecAntivirus”的服務啟動；打開SymantecSystemCenter（Symantec系統(tǒng)中心），將服務器組解鎖，此時你可能會看到提示“用戶名、密碼不正確”，不要著急，在防病毒一級服務器上打開默認安裝的“C:\ProgramFiles\Symantec\SymantecSystemCenter\Tools\”文件夾，運行“IFORGOT.exe”文件，重新輸入新的用戶名和密碼，這樣再打開SymantecSystemCenter，將服務器解鎖時輸入新的用戶名密碼就可以進去了，看看以前的客戶端是不是已經出現(xiàn)了！如果沒有請等待一會再看。制作SAV000客戶端安裝包文件：制作防病毒客戶端安裝包；防病毒客戶端的安裝程序文件位于防病毒服務器的安裝目錄下，默認路徑為c:\Programfiles\sav\CLT-INST\WIN32或c:\Programfiles\SymantecAntivirus\CLT-INST\WIN32\，該目錄中的所有文件就是客戶端的安裝程序。以下操作將講解如何制作防病毒客戶端，在防病毒服務器上安裝“Winrar”工具，之后將上面描述的防病毒客戶端程序文件全選，單擊鼠標右鍵選擇“添加到壓縮文件”，在彈出的對話框中選擇“創(chuàng)建自解壓格式壓縮文件”。點選“高級”選項卡，在該對話框中點擊“自解壓選項”按鈕。按照下圖，在文本框中輸入相應的值。再點擊“模式”選項卡，選擇“全部隱藏”、“覆蓋所有文件”，單擊“確定”按鈕。之后Winrar程序會將防病毒程序文件進行打包，生成一個自解壓的“.EXE”文件。安裝防病毒客戶端安裝包；制作完防病毒客戶端安裝包后，使用該客戶端安裝包直接安裝即可，安裝包可以升級9.0以及更低版本的防病毒客戶端，不用卸載原有防病毒客戶端程序。附：Symantec官方網站鏈接：1、Symantec官方網站：2、SymantecSecurityResponse（Symantec安全響應中心）：3、VirusEncyclopedia（Symantec病毒資料）：/avcenter/vinfodb.html4、VirusRemovalTools（Symantec病毒專殺工具下載）：/avcenter/tools.list.html5、Virus