移动SCS防病毒产品安全配置手册.doc

密 级 文档编号 项目代号 中国移动中国移动 SCS 防病毒产品防病毒产品 安全配置手册安全配置手册 Version 0 2 中国移动通信有限公司 二零零四年十二月 文档信息文档信息 文档名称 文档管理编号 保密级别文档版本号 制作人制作日期 版本变更记录版本变更记录 时间时间版本版本说明说明修改人修改人 目目录录 第一章第一章 SCSSCS 概况概况 5 5 1 1 保护对象 5 1 2 产品运维架构 5 1 3 产品实施步骤 6 第二章第二章 SCSSCS SERVERSERVER 安装安装 7 7 2 1 安装前的准备 7 2 2 安装步骤 7 2 2 1 安装 Symantec 系统中心 SSC 8 2 2 2 安装隔离控制台 11 2 2 3 本地安装中央隔离区 13 2 2 4 安装 LiveUpdate 管理工具 17 2 2 5 安装 SCS 服务器程序 18 2 2 6 安装 Symantec Client Firewall Administrator 22 2 3 服务器使用的关键参数 25 2 3 1 关于升级端病毒库升级 25 2 3 2 关于实时防护的配置 25 2 3 3 关于本地和远程的调度扫描和病毒清毒计划 25 2 3 4 关于隔离区的配置 26 2 3 5 关于应用的防火墙策略参数 26 2 4 使用 SCS 控制台参数配置步骤 27 2 4 1 配置调度扫描 27 2 4 2 配置客户端实时防护选项 29 2 4 3 配置客户端管理员专用选项 31 2 4 4 配置客户端登录扫描和安装 33 2 4 5 配置病毒定义管理器 35 2 4 6 服务器隔离区选项 38 2 4 7 客户端隔离区选项 40 2 4 8 建立客户端组 42 2 5 使用防火墙管理模块配置防火墙策略模板 42 2 5 1 创建全新的策略 42 2 5 2 打开现有的策略 43 2 5 3 保存自定义的策略 44 2 5 4 将策略文件导出到 当前客户端 44 2 5 5 用 Symantec 系统中心分发策略 45 2 6 清除工具及系统安全补丁的分发 45 2 6 生成客户机安装包 45 第三章第三章 SCSSCS 客户端安装客户端安装 4646 3 1 安装前的准备 46 3 2 安装步骤 46 3 3 安装之后 47 3 4 客户端使用的配置参数 48 3 5 更改防病毒客户端管理的步骤 48 第四章第四章 管理员日常维护工作管理员日常维护工作 5050 4 1 扫描安装防毒软件的机器 50 4 1 1 搜索计算机和刷新控制台 50 4 2 2 使用查找计算机功能 52 4 2 分发最新的清除工具至每个客户机 54 4 3 留意病毒传染源 54 4 4 关心 SCS 成功登录后状态的统计界面 54 4 5 关心 SCS 更新的统计界面 55 第五章第五章 SCSSCS 服务器硬件故障恢复操作流程服务器硬件故障恢复操作流程 5656 第六章第六章 防病毒服务器变换防病毒服务器变换 IPIP 操作流程操作流程 5757 第七章第七章 防病毒服务器迁移操作流程防病毒服务器迁移操作流程 5858 第八章第八章 如何手动更新如何手动更新 SCSSCS 的病毒代码的病毒代码 5959 第九章第九章 手动卸载手动卸载 SCSSCS 客户端客户端 6262 9 1 SCS WIN2000 XP客户端手动卸载 62 9 2 SCS WIN95 98 客户端手动卸载 65 附录附录 SCS2 0SCS2 0 之之 CCPACCPA 技术说明书技术说明书 6767 第一章第一章 SCSSCS 概况概况 1 11 1 保护对象保护对象 当前与互联网相联的主要是 windows 终端 windows 终端分布在 BOSS 网 管 短信 客服 智能网 CMnet OA 等各个业务系统 按功能分为办公 维 护 座席三类 数量大约为 6000 台 1 21 2 产品运维架构产品运维架构 1 省公司建立全网防病毒管理中心 2 一级控制 省公司承担一级防病毒服务器控制管理 3 防病毒中央控制台分别由指定相关的专人负责管理 4 二级维护运行 由相关安全职能部门承担 省公司承担一级管理和维 护职能 5 省公司 各地市公司设立固定的计算机防病毒产品专职系管员 并报 上级行职能部门备案 6 突发病毒事件应急响应由公司的职能部门兼管 建立防病毒管理中心 主要负责防病毒系统的整体规划 建立防病毒系统 的整体制度 制定防病毒管理员的工作职责等工作 省公司 各地市公司可以 参照运维组织架构设立相应的防病毒机构 省公司 各地市公司要设立防病毒日常维护小组 负责防病毒系统的日常 维护 省公司日常维护小组的成员必须是专职的 地市公司原则上也要有专职 的防病毒日常维护人员 也可以根据网络及防病毒系统实际状况由系统管理员 兼职 系统管理员也作为网络防病毒日常维护的一部分 与防病毒日常维护小 组相互协调工作 省公司防病毒应急响应分为两部分 防病毒应急响应小组由省公司防病毒 日常维护人员和安全服务提供商以及防病毒厂商技术人员组成 组成人员可以 兼职 安全管理小组负责省公司网络安全系统的管理 如果在病毒蔓延情况较 为严重时 与应急响应小组配合工作 应急响应小组的成员要确定到人 随时 可以投入到应急响应工作中 省公司应急响应系统主要负责解决由于病毒造成 网络阻塞等重大问题和事件 防病毒厂商和服务提供商的固定技术人员担任防病毒产品咨询顾问 向各 级机构提供防病毒产品技术支持 1 31 3 产品实施步骤产品实施步骤 首先部署各个系统的防病毒服务器 设置客户端的 web 安装页面 利用 web 安装页面各个地市全面部署安装客户端程序 Symantec SCS2 0 和 SESA2 0 公布后进行对服务器端进行全面升级 升级完成后部署内部升级服务器和各个 防毒服务器的中央隔离区 建立新版本客户端的安装 web 页面逐步对客户端进 行升级 第二章第二章 SCSSCS SERVERSERVER 安装安装 2 12 1 安装前的准备安装前的准备 检查所要安装的机器操作系统是否为 WINDOWS NT4 0 或 WINDOWS 2000 同时查看是否具有最新的 Service Pack 和相应的安全补丁 检查所要安装的机器浏览器是否为 IE6 0 以上版本 如果不是则需先安 装 IE5 5 或以上版本以及相应的安全补丁 请在安装 IE6 0 之前先安 装最新的 Service Pack 和相应的安全补丁 检查所要安装的机器上是否有其它防病毒软件 包括 SCS 的单机版或以 前安装过的企业版 如果有要先将其卸载 检查所要安装的机器是否能够连到网络上 如果没有应首先确定该计算 机和网络中其他计算机在网络上是通的 所要安装防病毒服务器和 SSC 的机器必须有固定的 IP 地址 而不能够 利用 DHCP 获取动态的 IP 地址 在安装完防病毒服务器和客户端后 请不要改变该服务器的 IP 地址和 计算机名 否则 SSC 找不到客户端 客户端也和服务器通讯不上 如果防病毒服务器和客户端不在同一个网段上 如服务器的网络地址为 101 1 1 0 而客户端的 为 101 1 2 0 则请起用 DNS WINS 或 LMHOST 任一种名字解析 确保客户端可以 Ping 通防病毒服务器的 计算机名 如果本机安装了个人防火墙或其他网络安全软件 请确保 SAV 客户端程 序能够穿过安全防护规则 与父服务器正常通信 服务器端口号 UDP38293 UDP2967 客户端端口号 UDP2967 Windows NT Server 上安装防病毒须有管理员权限 2 22 2 安装步骤安装步骤 2 2 12 2 1 安装安装 SymantecSymantec 系统中心系统中心 SSCSSC 放入赛门铁克防病毒软件光盘自启动 或点击应用程序 setupsetup 后 选择 安 装管理员工具 再选择 安装 SymantecSymantec 系统中心 如下图所示 选择安装组件 默认都选 如果检测到操作系统中已经安装了 MicrosoftMicrosoft ManagementManagement ConsoleConsole 就 会自动取消的 MicrosoftMicrosoft ManagementManagement ConsoleConsole 安装 如下图所示 可以根据需要选择 SSCSSC 安装目的地 然后选择 下一步 在缺省的情况下 SSCSSC 安装在 C ProgramC Program Files Symantec SymantecFiles Symantec Symantec SystemSystem CenterCenter 下 如下 图 按照提示进行操作 进入到如下图所示的界面 选择 完成 到现在为 止 SymantecSymantec 系统控制中心安装完毕 如果提示用户重新启动计算机 请按提 示重新启动计算机 然后安装其它软件 2 2 22 2 2 安装隔离控制台安装隔离控制台 放入 CDCD 自启动 或点击应用程序 setupsetup 后 然后选择 安装管理员工具 再选择 安装隔离控制台 按照提示接受协议 进入到如下图所示的界面选择 安装位置 按照提示进行操作 进入到如下图所示的界面 选择 完成 到现在为 止 安装隔离控制台完毕 如果提示用户重新启动计算机 请按提示重新启动 计算机 然后安装其它软件 2 2 32 2 3 本地安装中央隔离区本地安装中央隔离区 放入 CDCD 自启动 或点击应用程序 setupsetup 后 然后选择 安装管理员工具 再选择 安装中央隔离区程序 如下图所示 按照提示接受协议 进入到如下图所示的界面选择病毒提交方式 因为现 在病毒的发作大多通过邮件进行传播 所以我们建议您使用基于 InternetInternet 的提 交方式 基于公司内部病毒发作的情况选择隔离区的大小 如果在空闲的磁盘空间 比较大的情况下 建议尽量把中央隔离区的磁盘空间选的大一些 如下图所示 按表格填入相应的用户信息 此内容以后可以更改 如下图所示 输入提交病毒样本时的网关的名称 接受默认即可 如果希望启动发现之后的病毒报警通知 按提示选中并输入希望报警通知 的计算机 如下图所示 按照提示进行操作 进入到如下图所示的界面 选择 完成 到现在为 止 本地安装中央隔离区程序完毕 如果提示用户重新启动计算机 请按提示 重新启动计算机 然后安装其它软件 2 2 42 2 4 安装安装 LiveUpdateLiveUpdate 管理工具管理工具 放入 CDCD 自启动 或点击应用程序 setupsetup 后 然后选择 安装管理员工具 再选择 安装 LiveUpdateLiveUpdate 管理工具 按照提示进行操作 进入到如下图所示的界面选择安装位置 按照提示进行操作 进入到如下图所示的界面 选择 完成 到现在为 止 安装 LiveUpdateLiveUpdate 管理工具完毕 如果提示用户重新启动计算机 请按提 示重新启动计算机 然后安装其它软件 2 2 52 2 5 安装安装 SCSSCS 服务器程序服务器程序 放入 CDCD 自启动 或点击应用程序 setupsetup 后 然后选择 安装 SymantecSymantec ClientClient SecuritySecurity 出现下图 再选择 部署 SymantecSymantec ClientClient SecuritySecurity 服务 器 如果没有安装过旧的 NAVNAV 的版本 选择 安装 接受协议后 进入如下图所示的界面 选择服务器的安装 AMS2AMS2 的可以您 提供其它的报警方式如呼机 邮件等 但是必须是已经安装了 AMSAMS 的计算机 而且需要相应的功能支持 如呼台的通讯标准等 选择需要安装 SCSSCS serverserver 的服务器 选中后点击 添加 添加到右边的 为此次计划将建立的 SCSSCS serverserver 选择完成后点击 下一步 反之选中右面 的计算机后 点击 删除 可以取消选中的计算机 输入需要创建的服务器组名称 省公司可以保留以前的名称 刚才选中的 服务器都会被分配在现在创建的服务器组中 如果以前已经安装过 navnav 企业版 已经建立了某个服务器组那么可以选择加入到已有的服务器组中 选择 自动启动 此选项是针对 NetWareNetWare 的配置 windowswindows nt 2000nt 2000 的计 算机会在系统启动时自动加载服务 按 下一步 进入输入口令的界面 此口令是默认的服务器组和本地防 病毒工具打开时需要使用的密码 点击 完成 后进入安装过程 安装过程如下图所示 此过程中不需要进行任何操作 刚才选中的服务器 会在此过程中一次分发和安装完成 服务器组会自动建立 如果想终止安装可 以随时点击 停止 当 关闭 按钮出现时 安装过程完毕 如下图所示 所有服务器的状态 会显示在上方 可以察看是否安装成功和错误的原因 点击 关闭 后重起服 务器后安装其它工具 2 2 62 2 6 安装安装 SymantecSymantec ClientClient FirewallFirewall AdministratorAdministrator 放入 CDCD 自启动 或点击应用程序 setupsetup 后 然后选择 安装管理员工具 再选择 安装 Symantec Client Firewall Administrator 如下图所示 按照提示 进入到如下图所示的界面选择安装位置 按提示进行安装 如下图 选择 完成 到现在为止 安装 Symantec Client Firewall Administrator 完毕 注意 全部的软件安装已经结束 请重新启动服务器 2 32 3 服务器使用的关键参数服务器使用的关键参数 2 3 12 3 1 关于升级端病毒库升级关于升级端病毒库升级 由于整个防病毒系统 MOBILEAVS 作用域中只有四台一级服务器 所以升级 方案采用自动升级和手动升级相结合的方式为每台服务器升级 自动调度更新 Norton 网站在每周定时更新病毒库 考虑时差等原因 设 定在每周四上午 10 00 做服务器端病毒库自动升级 可设置在几天内持续 升级 如开始于周四结束于下个周三在升级失败后有有 1 7 天的冗余 保 证更新 考虑网络交通 可在设置时间前后 1 分钟 3 小时内更新 人工手动更新 另外 Norton 网站不定期更新已知病毒的病毒库代码 管理 员每天查看 Norton 网站病毒库更新情况并手动更新 以保证最新病毒库的 支持 2 3 22 3 2 关于实时防护的配置关于实时防护的配置 此部分的配置采用 symantec 建议的系统默认策略 自动扫描引导区及邮件 受到访问或更改 创建 打开 移动 复制或运行时扫描 并对 感染文件备份 避免用户文件丢失 实时防护被禁用 10 分钟后计算机重启 启用 Bloodhound 启发式 病毒检测技术 具体配置步骤详见下文相关章节 2 3 32 3 3 关于本地和远程的调度扫描和病毒清毒计划关于本地和远程的调度扫描和病毒清毒计划 对于本地服务器 设定在每周日 23 45 对整个物理存储器进行全面扫描 对服务器系统资源占用严重 以保证服务器运行状态的稳定性和客户端升级 病毒库的安全性 控制远程客户端 由于客户端病毒库升级策略定为每周四进行一次全面升 级 所以为了能够查杀最新病毒 设定每周四 11 30 中午休息时由服务器端发 起对客户端的病毒扫描 并通知在该时段用户到时不要关机并保证网络的连通 2 3 42 3 4 关于隔离区的配置关于隔离区的配置 在各个防毒服务器上部署相应的中央隔离区 并使各个中央隔离区连接到 本地的防毒服务器上 在服务器的隔离区选项选择启用隔离区和 扫描和发送 服务器名称填写各个本地服务器的 IP 地址 端口选用默认的 1029 端口 连接协议为 IP 协议 如果更新了病毒定义后可以修复该感染文件不提示用户而进行静默修 复 2 3 52 3 5 关于应用的防火墙策略参数关于应用的防火墙策略参数 在服务器端将定义好的防火墙策略模板下发到不同的客户端组中 客 户端分组在所属的服务器上按照地市和部门分类进行 不同的组应用的模 板权限稍有不同 需要控制访问网络的部门所在的组将禁止客户端用户修 改下发的策略 其他用户均可以根据实际需要和客户端使用手册在策略中 添加或删除相应的规则 防火墙采用的策略模板相关的参数 关于访问网络的程序控制 有一程序列表包括 1000 多常用的可以 访问网络的程序 如有不在此列表的程序要访问网络 防火墙会 提示用户询问改程序的访问权限 关于本地端口的访问控制 在该策略中可以通过对端口的访问权 限来定义相关的规则 现在只是关闭了 139 和 445 等几个系统进 程的端口 其余常用端口如 dns 解析 windows 文件打印共享都为 开启 关于网络协议访问的控制 在策略中每一条规则都必须基于网络 的协议来定义 除了关于 ICMP 包的规则外 其余规则都是基于 TCP 和 UDP 的 关于入侵检测规则的设置 在策略中这部分的规则使用 symantec 提供的最新的入侵特征库 当对客户端访问符合特征库的攻击特 征是会自动阻断该访问 并提示用户和记录相关信息 注 各项参数的具体设置步骤详见下文相关章节 2 42 4 使用使用 SCSSCS 控制台参数配置步骤控制台参数配置步骤 在 windows 任务栏上 单击 开始 程序 Symantec 系统中心 控制台 Symantec 系统中心 控制台 2 4 12 4 1 配置调度扫描配置调度扫描 该选项为对服务器和客户端病毒扫描的调度安排 Symantec 系统中心控制台中 双击 系统等级 选择需要配置的服务器 组 按右键 选择 解除服务器组的锁定 密码为安装时设定的密码 也可以 重新设定服务器组的密码 选中需要配置的服务器组 服务器 客户端组或客 户端 可以分别或统一的进行策略配置 制定适合本地网络的病毒策略 点击 右键 点击 所有任务 Symantec antivirus 调度扫描 功能 如 下图所示 出现调度扫描设置窗口后 点击 新建 然后输入调度扫描的名称 可 以随便取 调度扫描的频率和调度扫描的时间 完成后点击 确定 如下图 2 4 22 4 2 配置客户端实时防护选项配置客户端实时防护选项 该选项设置当前服务器组中所有客户端的实时防护功能和策略 选中需要 配置的服务器 点击右键 点击 所有任务 Symantec antivirus 客户端实时防护 功能 如下图所示 打开 服务器实时防护选项 如下图 所示 出现如下客户端实时防护设置窗口后 可以进行相应的设置 在设置时注 意以下事项 对于宏病毒 选择先清除病毒 如果不能清除则选择隔离受感染的文件 对于非宏病毒 选择先清除病毒 如果不能清除则选择删除受感染的文 件 要全部锁定设置的各选项 此功能可以限制客户端使用者的修改权限 设置完后一定要点击 全部重设 2 4 32 4 3 配置客户端管理员专用选项配置客户端管理员专用选项 此功能中的 常规 选项页中可以设定客户端的一些简单选项 安全 选项页中可以限定客户端卸载的权利 以次可以保证企业内防病毒策略的 统一执行 选中需要配置的服务器 点击右键 点击 所有任务 Symantec antivirus 客户端管理员专用选项 功能 如下图所示 出现如下客户端实时防护设置窗口后 可以进行相应的设置 在设置 时注意以下事项 在 常规选项 中 选中 在桌面上显示 Symantec Antivirus 图标 S 可以让客户端的右下脚出现一个 Symantec 防病毒的盾牌标志 建议选中 在 常规选项 中的选中电源选项 可使在用电池供电时推迟运行调度扫 描 直到接上外接电源 在 安全选项 中 建议锁定客户端卸载防病毒软件的功能 同时在客户 端卸载时要求输入密码 2 4 42 4 4 配置客户端登录扫描和安装配置客户端登录扫描和安装 该选项设置客户端采用登录脚本的安装方式 客户端的安装有三种选项 不安装 询问用户 自动安装 不安装 不安装 客户端在登录到服务器时 客户端不安装防病毒软件 询问用户 询问用户 客户端在登录到服务器时 有提示窗口提示用户是否要安装防 病毒软件 自动安装 自动安装 客户端在登录到服务器时 客户端自动安装防病毒软件 如果 客户端是 Windows 95 98 则在安装完防病毒软件后客户端需要重新启动计 算机 如下图 用户可以选择 询问用户 或 自动安装 选中需要配置的服务器 点击右键 点击 所有任务 Symantec antivirus 客户端登录扫描和安装 功能 如下图所示 关于登录安装的方式 配合刚才的选项还需进行以下操作 拷贝登录脚本 文件到 Windows NT 相应的目录下 把 c program files nav logon 目录下的 vplogon bat 和 nbpshpop exe 复制到 C winnt system32 repl import scripts Windows NT C Winnt sysvol domainname scripts Windows2000 带 Active Diretory 如果网络中有 PDC 主服务器 和 BDC 备份服务器 则必须把以 上两个文件复制到所有的 PDC 和 BDC 相同的位置 在 NT 服务器中新建一个域用户 SYMANTEC 然后配置该用户在登录到 NT 域时执行登录脚本 vplogon bat 具体请参考下图 开始 程序 管理工具 域用户管理器 在 用户名 处敲入 Symantec 然后点击 配置文件 如下图在 登录脚本名 处键入 vplogon 选中服务器点击右键选中 所有任务 Symantec antivirus 文 件系统实时防护状态 是对状态进行查询的简单方法 查看病毒列表 可以查 看已知病毒的基本信息 清除病毒状态 当服务器或客户端出现病毒时 从 SSC 中可以看到相应服务器或客户端图标上有一个红叉 如果想清除这种红叉 状态 可以在服务器组中选中相应的服务器或客户端 按右键 选择 清除病 毒状态 这样图标上的红叉会自动消失 以上功能在此不做详细叙述 2 4 52 4 5 配置病毒定义管理器配置病毒定义管理器 该选项设置防病毒服务器组中的服务器什么时间到什么地方更新病毒定义码 和扫描引擎 以及各服务器下所属的的客户端什么时候到什么地方更新病毒定 义码和扫描引擎 选中需要配置的服务器 点击右键 点击 所有任务 Symantec antivirus 病毒定义管理器 功能 如下图所示 在 服务器检索病毒 定义更新的方法 中选择 设置 按纽 然后选中 调度自动更新 如下图所示 再选择 调度 如下图所示 管理员可以根据网络的实际情况进行设置 一旦设置好后 防病毒服务器可以根据具体的设置 自动在后台启动 LiveUpdate 进程 实现病毒定义码的自动更新 在服务器组中选中相应的服务器 按右键 选择 所有任务 Symantec Antivirus 病毒定义管理器 如下图所示 在 客户端检索病毒定义更新的方法 栏中设置服务器所属客户端到父 服务器查询最新病毒定义码的时间间隔 选择 设置 选中 从父服务器中 设定客户端配置 在 查收更新的间隔 栏中 键入具体的数值 该数值的 推荐大小根据如下公式计算 客户端数量 0 75 如若网络中有 100 台客户端 则客户端查收更新的间隔为 100 0 75 75 分钟 2 4 62 4 6 服务器隔离区选项服务器隔离区选项 该选项设置中央隔离区服务器的有关参数 如隔离区的大小 隔离区的位置 隔离区监听的端口 协议等 在开始 程序 Symantec 隔离区控制台 或在 SSC 中选中 Symantec 中 央隔离区 本地 按右键 附加到服务器 选择服务器 在 SSC 中选中 Symantec 中央隔离区 本地 按右键 属性 选 择 常规 选项页 输入 中央隔离区 的文件夹位置 指定隔离区的最大空 间 为网络选择合适的协议 并指定要监听的端口 通常情况下大于 1025 的端 口是可以用的 选择 客户信息 选项页更改客户信息的内容 其它分别针对 防火墙等功能根具具体情况设定 在此不做详细叙述 如下图 2 4 72 4 7 客户端隔离区选项客户端隔离区选项 该选项设置防病毒客户端隔离的有关参数 在服务器组中选中相应的服务器 按右键 选择 所有任务 Symantec Antivirus 隔离区选项 选择 启用隔离区或 扫描和发 送 选择是否将未知病毒样本提交到其它的隔离区服务器上和是否提交到 SYMANTEC 公司的 SARC Symantec Antiviurs Research Center 这样可以使所 有的病毒提交到一台计算机上 可以减少对外的出口数量和管理员的工作 如 下图 出现下列隔离区选项配置窗口后 根据实际情况进行配置 配置该选项时 应注意以下事项 一定要选中 启用隔离区或扫描传送 和 允许转发至隔离区服务器 端口号一定要和隔离区服务器设置一样 2 4 82 4 8 建立客户端组建立客户端组 在控制台建立逻辑组 根据需要把相同或相似配置的客户端进行分组管理 2 52 5 使用防火墙管理模块配置防火墙策略模板使用防火墙管理模块配置防火墙策略模板 2 5 12 5 1 创建全新的策略创建全新的策略 双击打开桌面的快捷方式 Symentec Client Firewall Administrator 如下图所示 在 Symantec Client Firewall Administrator 中的文件菜单上单击 新建 新策略是用 ScfaDefaultPolicy cfp 模板创建的 2 5 22 5 2 打开现有的策略打开现有的策略 在 Symantec Client Firewall Administrator 中的文件菜单上单击 打开 找到 xml 或 cfp 策略文件 单击 打开 随防火墙安装的最初防火墙策略会复制到现有的 Symantec Client Firewall Administrator 计算机的 Program Files Symantec Symentec Client Firewall Administrator Data 该策略名称为 ScfInitialPolicy cfp 2 5 32 5 3 保存自定义的策略保存自定义的策略 在 Symentec Client Firewall Administrator 的 文件 菜单上 单击 保存 在 文件保存数据选择 对话框中 选择希望包含在策略中的配置数据类 别 单击 确定 2 5 42 5 4 将策略文件导出到将策略文件导出到 当前客户端当前客户端 在 Symentec Client Firewall Administrator 的 文件 菜单上 单击 导出到当前客户端 在 导出数据选择 对话框中 选择要导出的配置数据类别 单击 确定 在默认的情况下 无论有无信息添加到这些类别 区域 和 ids 排除 总是处于被选中状态 如果 区域 和 ids 排除 不包括任何配置信息 而 且保持选中 则 当前客户端 中的那些类别的任何信息会在导出时被清除 2 5 52 5 5 用用 SymantecSymantec 系统中心分发策略系统中心分发策略 在 Symamtec 系统中心中 右键单击 系统等级 然后单击 所有任务 Symentec Client Firewall 立即更新所有策略 在确认将更新分装到所有未锁定的服务器和客户端消息框中 单击 确定 在确认不将更新分装到锁定的服务器组的消息框中 单击 确定 在 打开 对话框中 找导含有要分装的策略文件 如果得到无法连接服务器而无法管理更新的提示时 则单击 确定 记下 这些服务器的名称 通过手动更新 2 62 6 清除工具及系统安全补丁的分发清除工具及系统安全补丁的分发 SCS2 0 版本提供独立的软件分发功能 CCPA 附带模块 部署配置该功能后 通过身份认证的管理员可以将任意工具 补丁 程序分发到需要的客户端上 部署和配置该功能的描述详见附录 2 62 6 生成客户机安装包生成客户机安装包 SCS 1 1 版本的客户端可以使用打包程序配置生成客户端安装包 SCS2 0 版本的客户端的安装文件有多个 且 symantec 没有提供生成包的模板 因此安 装新版本的客户端可以使用 web 安装 如需要可以将几个安装文件生成一个压 缩包 解压后运行安装文件 第三章第三章 SCSSCS 客户端安装客户端安装 3 13 1 安装前的准备安装前的准备 支持操作系统为 win98 me xp 2000 professional NT workstation 检查所要安装的机器上是否有单机版防病毒 2001 2002 2003 单机版网 络安全特警 2002 2003 卸载工具可在各系统的安装主页下载 和其它产 品防病毒程序 如果有要先将其卸载 如果已安装了企业版 则无需卸载 可直接采取覆盖式安装 检查所要安装的机器是否能够连到网络上 如果没有应首先该计算机和网 络中其他计算机在网络上是通的 Windows NT Server 上安装诺顿防病毒须有管理员权限 需要安装 Windows Installer 该软件在服务器上可以找到 文件名为 Instmsia exe 和 Instmsiw exe 如果是 win9x 操作系统 选择 Instmsia exe 执行 如果是 Win NT 操作系统 选择 Instmsiw exe 执行 执行该软件后 需重新启动计算机 重启后再重新安装客户端程序 各版本的 server 版只安装防病毒即可 其余版本安装前具备的条件 Win2000 在 sp2 以上 winxp 在 sp1 以上 win98 在 ie5 5 以上 3 23 2 安装步骤安装步骤 客户端程序的安装有多种方式 光盘 网络共享 服务器远程部署 web 页面安装等 用户一般使用 web 方式安装最方便 在浏览器的地址栏输入要装 入的防毒服务器的地址 NSP 系统防病毒服务器 IP 10 19 65 19 OA 系统防病毒服务器 IP 10 19 98 62 BOSS 系统防病毒服务器 IP 10 19 82 15 省公司防病毒服务器 IP 10 19 98 60 进入相应服务器的安装页面 安装页面上的提示选择要安装的客户端程序 如图 本安装页面的客户端程序版本都为 SCS1 1 为了方便用户升级 如若配置 和性能都比较好的客户端用户可根据需要进入 sav9 0 的安装页面安装 URL 地址 为 防病毒服务器的 IP sav9 选择了需要安装的客户端程序 IE 会将安装文件下载到 IE 的临时目录 下载 完成系统会自动进入安装界面 按照提示进行安装即可 如果安装防火墙组件 安装完毕会提示重启计算机 3 33 3 安装之后安装之后 如果只安装防病毒组件 安装完成后在系统任务栏的左下脚会出现 NORTON 防病毒的黄色盾牌图标 双击改图标打开 NORTON 主程序 查看程序的常规信息 包括父服务器的信息 版本信息 病毒定义扫描引擎等 可能程序的某些设置和信息和服务器的配置有些不同 只要父服务器的信 息正确 其余设置会很快通过和父服务器的通信更新 但是如果需要立即更新 程序的各项设置 需要重启计算机 WIN98 系统在安装防病毒程序时会系统会 自动提示重启 如果安装防火墙组件 安装完毕会提示重启计算机 任意 windows 版本 3 43 4 客户端使用的配置参数客户端使用的配置参数 客户端安装完成后 各选项配置都使用其接受管理的服务器的配置参数 即使客户端的配置修改权限并没有锁定 用户再本次操作中修改了某些参数 下次登陆后 客户端仍然连接使用服务器上的统一配置 3 53 5 更改防病毒客户端管理的步骤更改防病毒客户端管理的步骤 如果有客户端所在的父服务器和其使用的系统不对应导致和服务器通信出 现问题 或服务器同一部署的策略不适合本客户端 或是根据防病毒系统的整 体部署需要调整某些服务器下的客户端 及将不接受管理的客户端接管到相应 的服务器上时需要将服务器上的一个配置文件复制到客户端的一个制定的目录 下 当客户端程序检测到该文件并应用该文件时客户端会接管到相应的服务器 上 操作步骤如下 1 发现现在所在的父服务器不正确 确定要接管的防病毒父服务器 2 下载服务器的配置文件 各个服务器的配置文件都挂载到各个服务器 的客户端安装页面上的坐下方 按照页面提示右击点目标令存为 在保存的提 示框中选择相应的目录 或任意保存到本地硬盘后拷贝到以下目录中 各个版 本的目录分别如下 Windows 98 Me 客户端 应将 Grc dat 文件复制到客户端上 Symantec AV 的安装文件夹下 Windows 95 98 客户端的默认文文件夹 C ProgramFiles Symantec Client Security Symantec AntiVirus 如果程序是从 Norton AntiVirus 企业版升级的 默认文件夹为 C Program Files Norton AntiVirus Windows NT 客户端 请将 Grc dat 文件复制到下面的文件夹 C WINNT Profiles AllUsers Application Data Symantec Norton AntiVirus Corporate Edition 7 5 对于 Windows 2000 或 XP 客户端 必须将 Grc dat 文件复制到以下文件 夹 C Documents and Settings All Users Application Data Symantec Norton AntiVirus Corporate Edition 7 5 注意 在 Windows 2000 中 Application Data 文件夹是隐藏的 要显 示隐藏和系统文件 选择菜单栏的工具选项的文件夹选项中的查看选项卡 选 中显示所有文件和文件夹 第四章第四章 管理员日常维护工作管理员日常维护工作 4 14 1 扫描安装防毒软件的机器扫描安装防毒软件的机器 4 1 14 1 1 搜索计算机和刷新控制台搜索计算机和刷新控制台 第一次启动新安装的 Symantec 系统中心 控制台时 控制台将 ping 接网络 以查找运行 sanmantec client secunity 服务器的所有可用的计算机 一旦服务器响应 就将它们添加到控制台 当在控制台树中选定父服务器时 就会添加运行可管理 Symantec 客户端产品的连接工作站 当系统中心在运行状态时 如果启动了运行可管理 Symantec 产品的服务器 就需要使用 查找 功能或 搜索服务 对它们进行搜索 以便能在服务器组 视图中看到 Symantec 系统中心 控制台运行单一的 windows NT 服务 即 Symantec 系统中心 搜索服务 nsctop exe 此服务负责搜索运行显示在 Symantec 系统中心 控制台上的 Symantec client security 服务器的计 算机 搜索服务也与对象一起加载 Symantec 系统中心 控制台 在所有 类型的搜索之后 都将运行普通搜索 在普通搜索中 Symantec 系统中心 控制台向运行搜索服务 在 Symantec 系统中心 控制台的左窗口中 从控制台根下选择任意 节点 在工具菜单上 单击搜索服务在搜索服务属性窗口的高级选项上 单机 启用 IP 搜索 选中 IP 搜索后 该会话会在运行 密集搜索 时运行 要在运行 密集搜 索 时不运行 IP 搜索 请取消选中启用 IP 搜索 在扫描类型列表中 选择下列选项之一 IP 子网 控制台广播到每个子网 IP 地址 控制台 ping 接 IP 地址范围内的每台计算机 在起始位置框和结束地址框中 键入地址 可以在查找计算机对话框中访问 IP 搜索功能 运行搜索时不运行 IP 搜索 在 Symantec 系统中心 控制台的工具菜单上 单击搜索服务 在搜索服务属性窗口的常规选项卡上 选择下列选项之一 只在缓存中装 载 这是最快的方法 Symantec 系统中心 将从本地缓存中读取存储的 服务器和客户端列表 本地搜索 会对 Symantec 系统中心 控制台的本地子网进行广播 服务器将立即响应并报告自身及其客户端的信息 每台服务器的服务器 组都将会出现在控制台上 除非使用视图菜单过滤掉 密集搜索 这是最全面的方法 如果有一个很大的网络 这可能需要持 续较长的时间 Symantec 系统中心 会逐一的 ping 接网上邻居中 的每台服务器 搜索过程中找到的服务器的名称将显示于 搜有满特此 系统中心控制台的消息区域 1在搜索循环之下 如有必要则选择间隔 分钟 2如果想立即运行搜索 请单击开始运行搜索 然后单击关闭 3在密集搜索属性下 选择密集搜索线程的数量 这种设置只影响密集搜索会 话 每条搜索线程都是对服务器和客户端的独立搜索 要保持最新的搜索信 息 请选择一个比较笑的搜索间隔和比较大的搜索线程数目 4如果想清除当前内存和地址缓存中所有服务器和客户端的信息 并且立即根 据当前的搜索设置运行搜索 请单击缓存信息下的立即清除缓存信息 4 2 24 2 2 使用查找计算机功能使用查找计算机功能 当安装了一台服务器 但在展开服务器组成或服务器时 在树状视图中却看不当安装了一台服务器 但在展开服务器组成或服务器时 在树状视图中却看不 到它时 也可以使用到它时 也可以使用 查找计算机查找计算机 功能 发生这种情况的原因可能有以下几功能 发生这种情况的原因可能有以下几 个 个 SYMANTEC SYMANTEC 系统中心系统中心 可能不会自动搜索由路由器分开的局域网断上的服可能不会自动搜索由路由器分开的局域网断上的服 务器 务器 服务器可能在 网上邻居 上看不见 例如 windows Internet 命名服务 WINS 服务器可能不会跨网段复制 那些位于 IPX 协议网段上的服务器也会 在搜索过程中被忽略 如果您无法找到局域网中的某些服务器 可以使用 Symantec 系统中心 的 查找计算机 功能对它们进行手动查找 使用 查 找计算机 功能找到服务器后 即可从 Symantec 系统中心 控制台管理 该服务器 你可以将搜索范围限制为那些已经存储在本地缓存的计算机 而不是在整 个网络中搜索计算机 1 在 Symantec 系统中心 控制台的 工具 菜单上 单击 查找计 算机 2 在 查找计算机 窗口中的 本地搜索 选项卡中 键入您想查找的服 务器的网络名称 3 在 匹配类型 下 选择下列选项之一 精确 搜索完全匹配的服务器名称 部分 搜索部分匹配的服务器名称 如果将 搜索 文本框保留为空且使用 部分 作为 匹配类型 那么当 运行搜索时 本地缓存中的所有计算机都会显示出来 您可以使用网络搜索来查找运行 Symantec client security 服务器产品 的单台计算机 1 在 Symantec 系统中心 控制台的 工具 菜单上 单击 查找计 算机 2 在 查找计算机 窗口的 网络搜索 选项卡上 指定是使用 TCP IP 地 址 IPX 地址还是计算机名称作为搜索标准 3 键入服务器地址或计算机名称 4 单击 立即查找 使用 IP 地址查找运行 Symantec client security 服务器的计算机的范围 1 在 Symantec 系统中心 控制台的 工具 菜单上 单击 查找计 算机 2 在 查找计算机 窗口中的 扫描网络 选项卡上 选择下列选项之一 IP 子网 向每个 IP 子网发出广播 IP 地址 ping 接 IP 地址范围内的每台计算机 3 键入地址范围的 起始地址 和 结束地址 4 如果您在步骤 2 中单击了 IP 子网 则还应键入子网掩码以缩小搜索 范围 5 单击 立即查找 IP 地址 搜索结果将出现在 计算机 列表框中 IP 子网 搜索结果 将显示在 Symantec 系统中心 控制台状态栏中 4 24 2 分发最新的清除工具至每个客户机分发最新的清除工具至每个客户机 要使用分发功能 必须部署 SCS 的 CCPA 功能 具体的部署和操作步骤详 见附录 4 34 3 留意病毒传染源留意病毒传染源 在系统中心控制台的服务器管理的客户端视图中标志了感染病毒的客户端 状态 便于管理员查找 管理员可以查看这些感染了病毒客户端的相关日志 并可以定期清楚客户端的病毒状态 这部分信息可以在 SESA 的控制台上查看 更为直观详细的信息 4 44 4 关心关心 SCSSCS 成功登录后状态的统计界面成功登录后状态的统计界面 在系统中心控制台的服务器组的防病毒视图有一列事件专门标志了客户端 用户的登陆情况 另外在 SESA 控制台中单独为此类事件自定义了相关的报表 4 54 5 关心关心 SCSSCS 更新的统计界面更新的统计界面 在系统中心控制台的服务器组中的防病毒视图中有病毒定义更新的一列数 据 本列显示的是本服务器上管理的所有客户端的病毒定义情况 从该视图可 以直观的找到病毒定义更新有问题的客户端 第五章第五章 SCSSCS 服务器硬件故障恢复操作流程服务器硬件故障恢复操作流程 初步判断出现的故障是由哪部分的硬件引起 详细记录故障的现象 然后 拨打 IBM 售后支持热线 提交故障的现象描述 凭服务器和故障硬件的序列号 报修 第六章第六章 防病毒服务器变换防病毒服务器变换 IPIP 操作流程操作流程 如有情况须将服务器端变换 IP 地址 先向 symantec 售后技术人员确认提 交现运行的服务器的运行环境 请其确认更换 IP 地址的可行性和对防毒系统的 影响 然后根据 symantec 提供的技术操作步骤在模拟环境中进行测试 测试通 过后根据测试结果和需求提交变更操作方案 方案通过后先做好出现异常情况 的恢复备份再具体实施 第七章第七章 防病毒服务器迁移操作流程防病毒服务器迁移操作流程 如有情况须将防病毒服务器迁移 先向 symantec 售后技术人员确认提交现 运行的服务器的运行环境 请其确认更换 IP 地址的可行性和对防毒系统的影响 然后根据 symantec 提供的技术操作步骤在模拟环境中进行测试 测试通过后根 据测试结果和需求提交变更操作方案 方案通过后先做好出现异常情况的恢复 备份再具体实施 第八章第八章 如何手动更新如何手动更新 SCSSCS 的病毒代码的病毒代码 为保证防病毒系统的病毒定义为最新每日手动更新病毒定义 在 symantec 病毒定义网页下载最新的病毒定义文件 服务器端可将扩展名为 xdb 的文件下 载复制服务器 norton 主程序的安装目录 默认路径为 c program files sav 客户端可直接运行同名的 exe 可执行文件 下载病毒定义步骤如下 1 1 打开 IE 登录到赛门铁克网站 之后出现赛门 铁克公司的 WEB 主页 然后在中间的 Security Response Tools 处点击 Download Virus Definitions 如下图所示