admin管理员组文章数量:1592245
2023年12月22日发(作者:)
1 Symatec AntiVirus基础知识:
1.1 Symantec 防病毒产品线
单机版
Norton AntiVirus 2002/2003/2004/2005/2006/2007;
Norton Internet Security 2002/2003/2004/2005/2006/2007;
Norton Personal Firewall 2006;
Norton 360;
企业版
Symantec AntiVirus 7.6/8.1/9.0/10.0/10.1/10.2;
Symantec Client Security 1.0/2.0/3.0/3.1/3.2;
1.2 概述:
SAV即Symantec AntiVirus(Symantec企业版防病毒产品);
1.3 功能:
增强对间谍软件、木马、钓鱼软件、广告软件等威胁的防护能力;
新增―防篡改‖功能,防止防病毒客户端的进程、服务被病毒结束;
增强的病毒处理能力,可以结束病毒的进程,再对病毒文件、受影响注册表键值进行处理;
新增报告服务器功能,可根据时间、病毒名称等,通过图形化报表的形式进行统计报告;
防病毒客户端、服务器之间的通信采用PKI体系进行认证、加密。
1.4 版本:
程序版本:10.1.5.5000、
扫描引擎:71.1.0.11(当前状态,可随病毒库升级);
1.5 系统组件:
Symantec System Center;
Symantec AntiVirus 服务器端;
Symantec AntiVirus 客户端;
Symantec Liveupdate 实用工具;
Symantec 报告服务器;
Symantec 中央隔离区服务器;
1.6 通讯端口:
SAV10.X:TCP 2967;
SAV7.X、8.X、9.X:UDP 2967;
1.7 通讯过程:
具备SAV服务器的文件(服务器标识)
NETBIOS解析对方计算机名称;
PKI证书认证对方是否可信;
下载病毒库和策略配置;
1.8 通讯机制:
SAV客户端每天第一次开机后会主动连接SAV服务器,;
SAV服务器在自身更新完最新的病毒库后会主动向接受管理的SAV客户端推送此此病毒库和策略配置;
SAV服务器和SAV客户端日常通信周期是每60分钟通信一次;
1.9 SAV常用程序路径说明:
PKI证书路径:
C:Program FilesSymantec AntiViruspkiroots
病毒库文件路径:
C:Program FilesCommon FilesSymantec SharedVirusDefs
日志文件路径:
C:Documents and SettingsAll UsersApplication DataSymantecSymantec
AntiVirus Corporate Edition7.5Logs
隔离区路径:
C:Documents and SettingsAll UsersApplication DataSymantecSymantec
AntiVirus Corporate Edition7.5Quarantine
迁移客户端操作:
将新的SAV服务器的文件拷贝到此SAV客户端:
C:Documents and SettingsAll UsersApplication DataSymantecSymantec
AntiVirus Corporate Edition7.5
1.10 SAV主进程:;
1.11 SAV主服务名称:Symantec Antivirus;
2 Symatec AntiVirus安装说明:
2.1 SAV 10.1服务器安装准备:
支持Win 2000/2003 Server操作系统;
建议使用Xeon处理器、1G以上内存、60GB以上硬盘、单网卡的专用服务器;
建议1台SAV服务器管理2000台以内的SAV客户端;
建议设置复杂的操作系统密码、修补操作系统关键补丁程序;
如:Win2000 Server+SP4+IE6+IIS+SQL;
如:Win2003 Server+SP1+IIS+SQL;
注意:安装时要启用网卡、开启Windows默认共享。
2.2 SAV10.1服务器的安装过程:
2.3 SAV 10.1报告服务器安装前准备:
必须安装IIS4.0以上的版本;
建议安装SQL Server 2000企业版,同时安装SP3或更高的补丁;
建议设置复杂的SQL SA帐户的密码,同时将SQL安全性设置为:―SQL Server和Windows”
选择“接受协议”,进行下一步的安装;
配置报告服务器admin帐号的密码;
选择“在本机数据库上安装”
如果使用MSDE安装需设置SQL SA帐户密码;如果使用SQL2000安装输入SQL SA帐户密码;
2.4 SAV 10.1客户端安装准备:
不支持Windows98SE/NT操作系统;
建议终端计算机的内存配置高于256MB;
2.5 SAV10.1系统中心的安装:
选择“接受协议”,进行下一步的安装;
选择安装组件,进行下一步的安装;
配置安装程序路径;
3 Symatec AntiVirus策略配置:
3.1 将指定SAV服务器升级为一级服务器
3.2 客户端日志转发
SSC-SAV服务器组-所有任务-Symantec AntiVirus-客户端日志转发
3.3 病毒定义管理器
SSC-SAV服务器组-所有任务-Symantec AntiVirus-病毒定义管理器
3.4 客户端自动防护选项
SSC-SAV服务器组-所有任务-Symantec AntiVirus-客户端自动防护选项
3.5 客户端防篡改选项
SSC-SAV服务器组-所有任务-Symantec AntiVirus-客户端防篡改选项
3.6 客户端管理员专用选项
SSC-SAV服务器组-所有任务-Symantec AntiVirus-客户端管理员专用选项
3.7 服务器调整选项
SSC-SAV服务器组-所有任务-Symantec AntiVirus-服务器调整选项
4 Symatec AntiVirus日常维护:
4.1 SAV客户端部署注意事项:
建议使用WINS或DNS等自动方式实现SAV客户端正常解析SAV服务器的计算机名称的要求;
不支持Win98Se操作系统,支持Win2000/XP/2003等操作系统,建议终端计算机的内存配置在256MB以上时可部署SAV客户端;
对于在局域网部署的可接受管理的SAV客户端,必须具备SAV服务器的和PKI证书文件;
对于已安装Norton单机版或其他防病毒、防火墙软件的客户端需先卸载后再安装SAV3.1客户端;
建议设置复杂的操作系统管理员密码、修补操作系统关键系统补丁、关闭多余的系统后台服务、尽量只开放只读的共享目录;
4.2 SAV报告服务器的维护:
定期登录/reporting报告服务器查看客户端日志;
定期登录/reporting报告服务器生成客户端报告;
4.3 SAV系统中心的维护:
此控制台可以安装在局域网内任意计算机上,只要保证可跟SAV服务器正常通讯即可;
定期查看客户端感染病毒、木马等安全风险的状态;
定期查看客户端病毒定义库升级清苦;
定期查看指定服务器的客户端总数;
4.4 SAV服务器的病毒库升级维护:
通过SSC的策略配置实现SAV服务器定时自动的更新病毒库;
SAV病毒库升级的3种方式:
SAV客户端每天第一次开机后会主动连接SAV服务器,如有比SAV客户端本地的病毒库更新的病毒库时,即会自动下载并更新的;
SAV服务器在自身更新完最新的病毒库后会主动向接受管理的SAV客户端下发此最新的病毒库的;
SAV服务器和SAV客户端日常通信周期是每60分钟通信一次;
手动升级SAV服务器病毒库方式:
访问Symantec官方病毒库下载地址:
/avcenter/download/pages/
下载XDB文件并拷贝到SAV服务器的以下目录:
C:Program FilesSAVSymantec AntiVirus
再重启SAV服务器的Symantec AntiVirus服务即可;
4.5 SAV防病毒策略维护:
配置SAV服务器定时自动升级病毒库;
兼容低版本的SAV客户端管理方式;
强制SAV客户端防病毒策略;
修改卸载密码;
5 Symatec AntiVirus常见问题处理:
5.1 如何解决SAV服务器无法升级病毒库问题:
解析Symantec升级地址正常:
排错时查看SAV服务器的系统日志,确定升级失败的可能性;
5.2 如何解决SAV客户端无法升级病毒库问题:
保证SAV客户端解析SAV服务器的计算机名称正常;
保证SAV客户端具备SAV服务器的PKI证书;
手动重启SAV客户端的Symantec AntiVirus服务以加快升级速度;
排错时可以查看SAV客户端的系统日志,确定升级失败的可能性
5.3 如何解决SAV报告服务器无法登录问题:
登录报告服务器(Reporting Server)时提示帐号锁定或禁用导致无法登录: 解决方法:登录到SAV10.1服务器,进入CMD命令行模式下。
osql –E
Use Reporting;
Update adminuser set Locked=’’ where username=’admin’;
go exit
5.4 如何安全彻底的查杀病毒:
断开网络;
关闭Windows XP系统还原功能;
升级到最新的病毒库;
进入操作系统的安全模式下查杀病毒;
对于特定病毒可以使用专杀工具;
设置复杂的操作系统管理员密码;
修补操作系统关键系统补丁;
6 Symatec AntiVirus版本升级操作:
6.1 升级的原因
Symantec AntiVirus10.1.0.394版本的防病毒系统存在技术漏洞(SYM06-010漏洞 ),并且已有的变种病毒已利用此漏洞,可能造成此版本的防病毒系统缓冲区堆栈溢出,从而导致SAV服务意外终止和远程攻击者获得本地管理员权限;
受影响的Symantec AntiVirus版本:10.0.2.2010、10.0.2.2020、10.1.0.394;
解决方法:升级至SAV10.1.5.5000版本;
6.2 如何将SAV服务器从SAV10.1.0.394升级到SAV10.1.5.5000版本
卸载SAV10.1.0.394版的服务器端程序;
控制面板—添加删除程序—Symantec AntiVirus—卸载;
卸载SAV10.1.0.394版的SSC系统控制台程序;
控制面板—添加删除程序—Symantec System Center—卸载;
卸载SAV10.1.0.394版的报告服务器程序;
控制面板—添加删除程序—Reporting Server—卸载;
安装SAV10.1.5.5000版的服务器端程序;
安装SAV10.1.5.5000版的SSC系统控制台程序;
安装SAV10.1.5.5000版的报告服务器程序;
“注意备份SAV10.1服务器的PKI证书文件夹,默认路径:C:Program FilesSAVPKI”
6.3 如何将SAV服务器从SAV7.X、8.X、9.X升级到SAV10.1.5.5000版本
卸载SAV7.X、8.X、9.X版的服务器端程序;
控制面板—添加删除程序—Symantec AntiVirus—卸载;
卸载SAV7.X、8.X、9.X版的SSC系统控制台程序;
控制面板—添加删除程序—Symantec System Center—卸载;
安装SAV10.1.5.5000版的服务器端程序;
安装SAV10.1.5.5000版的SSC系统控制台程序;
安装SAV10.1.5.5000版的报告服务器程序;
―SAV7.X、8.X、9.X可以在不卸载的情况下,采取更新安装的方式升级到SAV10.1.5.5000版本‖
“注意备份SAV10.1服务器的PKI证书文件夹,默认路径:C:Program FilesSAVPKI”
6.4 如何恢复对原有SAV10.1客户端的兼容管理
保持原先先按照正常的步骤,重新安装Symantec10.X防病毒系统,之后使用Symantec System Center(Symantec系统中心)将防病毒服务器设置成“一级服务器”;
进入操作系统的“服务”控制台,将“Symantec Antivirus”的服务停止,关闭Symantec System Center;
将Symantec防病毒服务器默认安装目录“C:Program FilesSAV”下面的PKI文件夹删除,再将原先备份的PKI文件夹,复制到默认安装目录“C:Program FilesSAV”下面;
修改注册表键值;
打开原先备份的“PKIPrivate-Keys”文件夹,找到“ name>. 打开注册表编辑器()。 找到 ―HKEY_LOCAL_MACHINESOFTWAREIntelLANDeskVirusProtect6CurrentVersion‖下面的“DomainGuid”键值,进行编辑,删除原先的内容,将第“1)”步中记录的“ 找到 ―HKEY_LOCAL_MACHINESOFTWAREIntelLANDeskVirusProtect6CurrentVersionDomainData‖下面的“DomainGuid”键值,进行编辑,删除原先的内容,将第“1)”步中记录的“ 进入系统的“服务”控制台,将“Symantec Antivirus”的服务启动; 打开Symantec System Center(Symantec系统中心),将服务器组解锁,此时你可能会看到提示“用户名、密码不正确”,不要着急,在防病毒一级服务器上打开默认安装的“C:Program FilesSymantecSymantec System CenterTools”文件夹,运行“”文件,重新输入新的用户名和密码,这样再打开Symantec System Center,将服务器解锁时输入新的用户名密码就可以进去了,看看以前的客户端是不是已经出现了!如果没有请等待一会再看。 7 制作SAV10.1.5.5000客户端安装包文件: 制作防病毒客户端安装包; 防病毒客户端的安装程序文件位于防病毒服务器的安装目录下,默认路径为c:Program filessavCLT-INSTWIN32或c:Program filesSymantec AntivirusCLT-INSTWIN32,该目录中的所有文件就是客户端的安装程序。 以下操作将讲解如何制作防病毒客户端,在防病毒服务器上安装“Winrar”工具,之后将上面描述的防病毒客户端程序文件全选,单击鼠标右键选择“添加到压缩文件”, 在弹出的对话框中选择“创建自解压格式压缩文件”。 点选“高级”选项卡,在该对话框中点击“自解压选项”按钮。 按照下图,在文本框中输入相应的值。 再点击“模式”选项卡,选择“全部隐藏”、“覆盖所有文件”,单击“确定”按钮。 之后Winrar程序会将防病毒程序文件进行打包,生成一个自解压的“.EXE”文件。 安装防病毒客户端安装包; 制作完防病毒客户端安装包后,使用该客户端安装包直接安装即可,安装包可以升级9.0以及更低版本的防病毒客户端,不用卸载原有防病毒客户端程序。 附:Symantec官方网站链接: 1、Symantec官方网站: 2、Symantec Security Response(Symantec安全响应中心): 3、Virus Encyclopedia(Symantec病毒资料): /avcenter/ 4、Virus Removal Tools(Symantec病毒专杀工具下载): /avcenter/ 5、Virus Definition Updates(Symantec最新病毒定义库下载): /avcenter/ 6、KnowledgeBase(Symantec技术知识库资料): /techsupp/enterprise 7、可疑文件上传分析(Upload a suspected infected file) /gold 8、Symantec官方在线安全扫描-Symantec Security Check /sscv6/?langid=cs&venid=symnis&plfid=23&pkj=GEZMLHFEPGEVVSDUXLX&bhcp=1
版权声明:本文标题:Symantec AntiVirus10.x完全技术手册 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1703256437a46471.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论