防毒墙服务器版Ser.pptx

防毒墙服务器版ServerProtect 5.8,趋势科技沈赟,内容概要,市场趋势和威胁格局 趋势科技 ServerProtect SPNT 5.8 新功能概述 SPNT 5.8 的部署 SPNT 5.8 管理与设置,市场趋势和威胁格局,局势：动态数据中心,问题：威胁环境,利润更丰厚 1000亿美元：预计全球网络犯罪的盈利金额- 2008年芝加哥论坛报 更加复杂、恶劣和隐蔽, “2008年失窃的2.85亿条记录中有95%是由于娴熟的网络攻击而造成的” “75%的情况下，违规情况在数星期或数月内都未被发现。” - 2009年Verizon 违规报告 更加频繁 “哈佛大学以及哈佛医学院每7秒钟就会受到攻击。” - 首席信息官John Halamka 更具针对性 “27%的受访者报告了针对性攻击”。- 2008年CSI计算机犯罪&安全调查报告,趋势科技 ServerProtect,趋势科技的服务器安全解决方案,趋势科技ServerProtect,趋势科技 ServerProtect通过为物理服务器和存储文件管理器提供恶意软件防护而保护企业,面向Microsoft Windows/Novell Netware ServerProtect 面向Microsoft Windows和Novell Netware服务器的防病毒检测和删除服务 面向Network Appliance文件管理器的ServerProtect 面向Network Appliance的防病毒检测和删除服务 面向EMC Calerra的ServerProtect 面向EMC Calerra服务器的防病毒检测和删除服务 面向Linux的ServerProtect 为Linux服务器和桌面计算机提供病毒、木马和蠕虫实时保护和扫描,ServerProtect 的优势,先进的扫描和响应功能 安装、管理和更显简单 基于任务的自动化 集中部署、管理和报告 久经验证的历史记录,SPNT 5.8 新功能概述,ServerProtect 5.8：新功能,支持更多的Windows Server & Netware 平台 现在涵盖Windows 2008和Netware 6.5 Patch 7 加强了对恶件和恶意活动的保护 改善了间谍软件的检测和修复 通过RCM改善Rootkit检测和清除 安全的内部沟通渠道防止中断 前所未有的轻松管理 现在提供压缩文件清理 采用Generic Clean技术清除Rootkit 支持从 SPNT 5.58 & SPNT 5.7的迁移,支持所有的Windows Server平台,防恶件行为,支持间谍软件检测和修复 间谍软件结果导致扫描和日志 使用 ActiveAction，间谍软件将会获得通过 对于定制活动，间谍软件采用与正常病毒相同的活动设置 支持压缩文件清除 清除在大型压缩文件包中发现的病毒，无需IT管理员付出额外精力,禁用间谍软件检测,如果关心页面池的大小和全面性能，则可以使用隐藏的按键禁用间谍软件检测 HKEY_LOCAL_MACHINESOFTWARETrendMicroServerProtectCurrentVersion Engine DisableSpywareDetection = 0 : 禁用间谍软件检测 DisableSpywareDetection = 1 或不存在 ：激活间谍软件检测 重新启动 spntsvc和引擎既能生效,DCE行为,SPNT 5.8发现副类型为“sysclean” 的病毒时，将会加载DCE执行通用清除 GCT无法由设置禁用/激活，而是由DCE触发 64位环境中GCT不起作用 GCT不支持NetWare SPNT 5.8把DCE结果记录在Txt文件中,GenericClean技术,GenericClean是DCE中一项非常强大的功能，使DCE能够无需清除签名即可清除恶件的指定片段 通过提供特殊参照清除功能而降低对损害清除签名的要求，特殊参照清除功能可自动决定并清除指定恶件片段所参照的组件 GenericClean功能减少了支持负担，为客户提供了一种无需清除签名的解决方案,Rootkit通用模块,VSAP/DCE使用Rootkit通用模块来检测/清除Rootkit Rootkit 是种恶意程序另使用户使用Explorer、Task Manager等正常应用查看时无法发现该恶意程序,加密RPC,加密IS和NS之间的通信，以防止正常服务器收到未经验证的指令的攻击 SPNT 5.8 IS与 SPNT 5.58 / 5.7 NS之间的通信使用未加密渠道 当所有NS均被升级到 SPNT 5.8时，以前的RPC渠道将被永久关闭 首次注册时，IS和NS都将生成加密密钥 每次重启之后，IS和NS都将交换密钥,从SPNT 5.58/5.7迁移,支持从SPNT 5.58 & SPNT 5.7的迁移安装，包括Windows Server和NW Server SPNT 5.8将升级所有SPNT 5.58/5.7组件 SPNT 5.8支持应用安装包远程升级到NS SPNT 5.8对NS升级支持无提示安装 SPNT 5.8 CMAgent安装将升级 以前的cmagent,SPNT 5.8 的部署,三层架构,管理控制台、信息服务器和标准服务器,关于信息服务器的提示,信息服务器本身不具备防毒功能，除非在同一台计算机上也安装了标准服务器 信息服务器是管理控制台与其管理的标准服务器之间的主要通信枢纽（中间件）。它通过允许管理员从远程站点发送指令并接收信息简化了对标准服务器的控制。 一台信息服务器最多可以管理250台标准服务器。此数字做参考，根据可用带宽，信息服务器可以管理更多标准服务器,安装前的准备,检查是否插上网线 确保在安装前系统连接在网络中，机器必须插网线 检查系统服务是否正确开启 Remote Procedure Call(RPC) Remote Registry Windows Installer 检查磁盘默认共享是否开启,网络准备,两种情况可能需要开启防火墙相应通信端口 Windows 2008 或者Windows2003 操作系统开启自带防火墙 标准服务器与信息服务器或者管理控制台之间有防火墙，需要在防火墙上开启对应端口 装有管理控制台的计算机的防火墙设置 打开1000-1009 端口（TCP） 信息服务器的防火墙设置 打开 5005-5014 端口（TCP） 打开 3000-3009 端口（UDP） 打开 137-139端口（针对 RPC Over named pipe） 137 (UDP)/ 138 (UDP)/ 139 (TCP) 打开 3628端口 (TCP) 打开1921端口（Netware 上针对 SPX/TCP） 装有标准服务器的 Windows 计算机中的防火墙设置 打开 5168端口（以便侦听信息服务器的 RPC over TCP/IP） 打开 137-139端口（针对 RPC Over named pipe） 137 (UDP)/ 138 (UDP)/ 139 (TCP) 打开 9921端口（Netware 上针对 SPX/TCP）,安装过程,通过控制台部署标准服务器,在ServerProtect 网域中需要有一台已经安装完毕的标准服务器来当做来源端 安装64 位平台标准服务器，在ServerProtect 网域中需要有一台已经安装完毕的64 位标准服务器来当做来源端 在虚拟网域名称上,按鼠