SEP11安装和策略配置文档.doc

24目录1系统要求32.数据库要求53.实施步骤63.1版本升级63.1.1支持从SAVCE直接升级到SEP11.0的旧版本63.1.2无法从旧客户端升级到SEP11.0的版本63.2安装步骤73.2.1安装前系统干净度73.2.2安装数据库73.2.3安装IIS93.2.4 安装Java控件93.2.5安装管理台注意事项93.2.6安装Symantec Endpoint Protection Manager113.2.7 配置服务器143.3 Symantec Endpoint protection服务器203.4策略配置223.4.1策略项中的组织结构223.4.2配置防病毒和防间谍软件策略233.4.3设置防火墙策略423.4.4入侵防护策略593.4.5 应用程序和设备控制663.5 组管理833.6 导出安装软件包873.7 证书更新901.环境要求1系统要求Symantec Endpoint Protection 客户端（用于服务器、台式机和笔记本电脑系统的防护软件） 支持的操作系统：32 位64 位Microsoft Windows VistaXXMicrosoft Windows 2003XXMicrosoft Windows XPXXMicrosoft Windows 2000（SP3 以及更高版本）XSymantec Endpoint Protection Manager（SEPM） 支持的操作系统：32 位64 位Microsoft Windows 2003XXMicrosoft Windows XPXMicrosoft Windows 2000（SP3 以及更高版本）X建议使用Windows2003 Symantec Endpoint Protection Manager 控制台 支持的操作系统：32 位64 位Microsoft Windows VistaXXMicrosoft Windows 2003XXMicrosoft Windows XPXXMicrosoft Windows 2000（SP3 以及更高版本）XSymantec AntiVirus for Linux 客户端 支持的 Linux 分发：只支持防病毒32 位64 位Red Hat Enterprise LinuxXSuSE Linux Enterprise（服务器/桌面）XNovell Open Enterprise ServerXVMware ESXX 2.数据库要求Microsoft SQL 数据库服务器的前提条件 使用Microsoft SQL 2000 sp4 或Microsoft SQL 2005，建议使用SQL 2000 sp4如果将 Microsoft SQL Server 用于策略管理器数据库，则必须在 SQL Server 上启用“SQL Server 和 Windows”验证。可以在 SQL Server 安装期间或者安装后通过“SQL Server 属性”对话框启用该验证。在 SQL Server 安装期间启用混合验证按照 Microsoft SQL 数据库服务器说明文档中的说明安装 Microsoft SQL 2000 数据库服务器。要与 Symantec 配合使用，只有一个设置不同于默认的安装设置，即“验证模式”对话框中的“混合模式”设置（Windows 验证和 SQL Server 验证）。 在Microsoft SQL 安装期间，必须选择“混合模式”。否则，在安装完成后，策略管理器将无法连接到 SQL Server 上的策略管理器数据库。在安装 SQL Server 后启用混合验证 如果已经使用现有的数据库，请在 SQL Server 上启用混合验证：1. 选择“开始”|“程序”| Microsoft SQL Server |“企业管理器”。 2. 展开树，并选择 SQL Server在 SQL Server 组中通常名为 (local)(Windows NT)。 3. 单击鼠标右键并选择“属性”。 4. 选择“安全性”选项卡。 5. 选择“SQL Server 和 Windows”。 6. 单击“确定”。 7. 关闭“企业管理器”（“文件”|“退出”）。 3.实施步骤3.1版本升级3.1.1支持从SAVCE直接升级到SEP11.0的旧版本Symantec Antivirus Coperate Edition 9.0 Symantec Antivirus Coperate Edition 10.0Symantec Antivirus Coperate Edition 10.1Symantec Antivirus Coperate Edition 10.2这个几个版本都可以从旧版本直接升级到SEP11.0，而不需要将防病毒软件卸载，但需要在覆盖安装后重新启动系统。3.1.2无法从旧客户端升级到SEP11.0的版本 Symantec Antivirus Coperate Edition 8.xSymantec Antivirus Coperate Edition7.x低于Symantec Antivirus Coperate Edition9.0（不包括9.0）的版本都不支持直接升级，需要将原客户端卸载后再做升级3.2安装步骤3.2.1安装前系统干净度 确保客户端系统环境的干净度，因为无法保证100%的干净，但一定要确定的如下几点： 1.如果之前客户端或是服务器端有安装过卡巴司基，一定要将其卸载干净。2.流氓软件的清除，保证客户端没有安装流氓软件，可以使用saft360先将客户端清理干净。3.客户端组策略的配置，客户端要将网络访问：本地帐号的共享和安全模式改为经典4.简单文件共享必须关闭5.将C$ & admin$开启6.客户端防火墙关闭3.2.2安装数据库安装SQL2000或是SQL2005数据库，并打上补丁，建议将数据库安装在其他服务器上，这样有利于以后数据库的维护和备份。1.Microsoft SQL 数据库服务器的前提条件 如果将 Microsoft SQL Server 用于策略管理器数据库，则必须在 SQL Server 上启用“SQL Server 和 Windows”验证。可以在 SQL Server 安装期间或者安装后通过“SQL Server 属性”对话框启用该验证。2.在 SQL Server 安装期间启用混合验证按照 Microsoft SQL 数据库服务器说明文档中的说明安装 Microsoft SQL 2000 数据库服务器。要与 Symantec 配合使用，只有一个设置不同于默认的安装设置，即“验证模式”对话框中的“混合模式”设置（Windows 验证和 SQL Server 验证）。 3.在Microsoft SQL 安装期间，必须选择“混合模式”。否则，在安装完成后，策略管理器将无法连接到 SQL Server 上的策略管理器数据库。4.安装Microsoft SQL 2000必须打sp4如果安装的是SQL 2000那必须将SP4补丁打上，建议使用SQL2000sp4的版本数据库做为SEP11.0的数据库。3.2.3安装IIS Internet Information Server (IIS) 5.0 或 6.0（已安装万维网服务） 注意：策略管理器要求 IIS 已启动并且保持联机运行状态。如果 IIS 在维护过程中或更新期间停止，则策略管理器服务将停止。在重新启动 IIS 后，需要重新启动策略管理器。 3.2.4 安装Java控件 如果自行安装Java控件，建议使用1.5.0。而不要使用1.6.0版本。推荐使用SEP11.0本身自带的Java控件，不建议自行安装。3.2.5安装管理台注意事项安装SEP11.0管理端，注意配置项:1.使用静态IP，必须使用静态IP,如果这台服务器上有两张网卡，那需要在安装完SEPM之后设置服务器列表，并将列表分配到客户端，要不会出现客户端无法跟SEPM联系的情况。2.在安装过程中将服务器名，ip地址，站点名，安装密钥（在要求输入licence的时候在页面的下半部分会要求输入一个密钥，这是一定要的，千万要记得这个密钥，安装配置后是无法更改的。）数据库密码，这些信息记录起来，这有利于以后对SEP11.0的重新安装。名称记录信息备注服务器名IP地址安装密钥数据库名称数据库密码站点名称站点端口号8443通讯加密密码3.2.6安装Symantec Endpoint Protection Manager1.选择安装项，现在 SEP11.0已经没有将服务器与控制台分开安装了，而是使用单个的管理控制台，也就是SEPM(Symantec Endpoint Protection Manager).选择第二项进入子选项。2再选择第一项，选择安装管理服务器和控制台。3选择安装目录，建议安装在C：，而不要去更改默认安装目录。这不仅对以后维护上带来麻烦，而且会有可能造成程序出错。4点击下一步，选择创建自定义Web站点。这个有利以后使用Web安装客户端，不会与默认Web混合，对配置Web安装和维护更有效益。5点击进入安装程序，6点击安装，这时候并没有真的安装完成，只能说是已经将SEPM复制到服务器上。还需要配置服务器的基本配置。点击完成，结束SEPM的安装程序。3.2.7 配置服务器1. 安装我的第一个站点：安装第一台SEP服务器,采用默认选择，这是对第一次安装SEP控制端时选用，或是安装第一台SEPM的选择这项。安装管理服务器到现有站点：重新配置控制台，这可以改变控制台原先的配置，包括端口号，数据库，帐号等信息，但也会导致与原来的客户端无法联系的相象，所以在第一次安装SEPM的时候一定要将配置信息记录下来。这是在数据库出现问题，或是程序出现问题时，需要重新配置的时候才选择。安装其他站点：安装同步的SEPM控制台，相当与以前SAV的二级服务器，但现在的情况是可以同步策略，日志文件，但没有了哪一台是一级服务器的概念，而是其中的一台做主控制台，其他做备份控制台,每台SEPM对于所管理的客户端都是主服务器，而这些都是由服务器列表去定义的，每个分点都可以设置不同的控制台作为其主控制台。默认选择安装我的第一个站点，单击下一步2.确定服务器名跟通讯端口号，8443 是SEPM跟数据库通讯的端口号，通过IE浏览器，输入https:/serverip:8443就可以在远程登陆SEPM，并配置策略。SEPM和数据库之间是通过Tomcat进行通讯的。选择服务器数据库安装目录，点击下一步。需要将服务器名跟端口号记录，方便以后对SEP的维护和修改。采用默认端口，不需要更改，如果SEPM与数据库时间有放火墙，记得将8443端口开启。4。设置站点名称，可自己命名，方便以后管理（如果有多个分公司，建议用分公司名做站点名）记录站点名称5。设置加密密码，这个密码是给SEPM与Enforcer，SEPM与客户端通讯时的加密密码。必须记得这个密码，并且只有在这里能够设置这个通讯加密密码，安装配置后无法进行修改。而且这对以后数据库的恢复是必要的。6选择Microsoft SQL Server，使用现有的SQL服务器。建议不要使用嵌入式数据库。7配置数据库信息，1默认数据库用户名为sem5,2填写密码，这个密码是数据库的访问密码，3填写DBA用户名跟密码。4选择SQL的数据安装目录，点击默认会自动填写数据库数据文件夹路径注意：这里面的每项都要确定填写正确，并且记录下来。8指定管理服务器的用户名跟密码，这个是进入管理界面所需要的，也是安装完管理控制台后最高管理权限的管理员。点击下一步。9.进入数据库的配置，这时候进行的只是数据库的配置。 10安装配置完成，此时会询问是否现在运行“迁移和部署向导”，选择否，因为还有其他策略需要去设置。点击完成。 3.3 Symantec Endpoint protection服务器3.3.1.启动SEPM,输入用户名和密码，选择服务器名称和端口号，默认为：localhost:8443.点击登陆3.3.2进入主页1安全状态，记录现在客户端病毒的发现情况，2病毒库更新情况，因为现在病毒库更新用的是增量更新，在这里可以看到应用病毒库的最新状况，还有最新病毒库的版本号。3访问Syamntec官网的链接。3.3.3选择左边监视器，在这里可以查看客户端的前一天状态。3.4策略配置3.4.1策略项中的组织结构 1：查看策略，这里已经包括了所有能够配置到的策略。 2：添加新策略，选择所要更改或添加的策略项，在点击任务框中的添加xxx策略，添加新的应用策略。 3：添加完新的策略将会出现在对应的策略项的右边框中，如图所示3.4.2配置防病毒和防间谍软件策略 简述 关于使用防病毒和防间谍软件策略您可以通过创建和修改其他类型的策略的类似方式创建与编辑防病毒和防间谍软件策略。您可以分配、撤回、替换、复制、导出、导入或删除防病毒和防间谍软件策略。您通常可将一个策略分配至安全网络中的多个组。如果对特定位置有特定要求，您可以创建一个非共享、位置限定的策略。关于病毒和安全风险“防病毒和防间谍软件策略”会扫描病毒和安全风险；安全风险包括间谍软件、广告软件和其他会导致计算机或网络有风险的文件等等。防病毒和防间谍软件扫描会检测内核级的 Rootkit。Rootkit 是任何试图在计算机操作系统中藏匿并可用于恶意企图的程序。默认的“防病毒和防间谍软件策略”会执行下列操作：* 检测、消除和修复病毒、蠕虫、特洛伊木马和混合型威胁的负面影响。* 检测、消除和修复广告软件、拨号程序、黑客工具、玩笑程序、远程访问程序、间谍软件、跟踪软件等的负面影响。 界面介绍在查看策略框中点击防病毒和防间谍软件，再选择右边框中出现默认的防病毒和防间谍软件策略。选择编辑策略，或是想创建新的策略，可以选择任务框中的添加防病毒和防间谍软件策略。概述：在这里要选择是否要启用此策略。在使用此策略的组上可以查看策略已经应用到哪个组。 管理员定义扫描：定义新的扫描作业，默认有一个周扫描计划，点击添加，创建新的调度扫描策略您可以在“防病毒和防间谍软件策略”中包括下列类型的扫描：* 防病毒和防间谍软件扫描* 自动防护扫描* 管理员定义的扫描* 主动型威胁扫描默认情况下，所有防病毒和防间谍软件扫描都会检测病毒和安全风险，例如广告软件和间谍软件；这类扫描会隔离病毒和安全风险，然后消除或修复它们的负面影响。自动防护扫描和管理员定义的扫描会检测已知的病毒和安全风险。主动型威胁扫描会通过扫描潜在恶意行为来检测未知病毒和安全风险。-注意：在某些情况下，您可能会无意中安装了一个包含安全风险（如广告软件或间谍软件）的应用程序。如果 Symantec 确定禁止该风险并不会损害计算机，则客户端软件就会禁止该风险。如果禁止风险可能会使计算机处于不稳定状态，则客户端软件会等应用程序安装完毕后再隔离风险。然后，它会修复该风险的负面影响。- 选择创建新的调度扫描，点击确定。您可以将扫描调度在特定时间运行。用户也可以从客户端计算机为他们的计算机调度扫描，但是他们不能更改或禁用您为他们的计算机调度的扫描。客户端软件一次会运行一个调度扫描。如果将一个以上的扫描调度在同一时间进行，则它们会依次运行。调度扫描的设置和自动防护扫描设置类似，但是这两种扫描必须分别配置。您配置的集中式例外可应用于所有类型的防病毒和防间谍软件扫描。如果计算机在某一调度扫描期间为关闭状态，除非计算机已配置为运行错过的扫描事件，否则此扫描不会运行。调度扫描会检查文件是否带有病毒和安全风险，例如，间谍软件和广告软件。 扫描详细信息：更改扫描名称，选择扫描文件类型，或是选择只对某些扩展名进行扫描。 点击高级扫描选项,出现高级扫描选项界面。1压缩文件：选择是否扫描压缩文件，扫描压缩文件的层数，这对一些利用打包技术的病毒进行查杀很有帮助。2存储迁移：选择扫描时不做扫描的文件类型3优化：选择以客户端优先或是以扫描优先，选择最佳应用程序性能，当客户端做扫描时，会以客户的应用优先，也就是说，将资源让给其他应用程序，而不会影响到客户的工作，但这会导致病毒扫描的时间较久。或是选择平衡性能，自动选择扫描优先或是应用优先。 选择调度标签，修改客户端病毒扫描的时间段。 回到管理员定义扫描界面，1选择当扫描创建者登陆到客户端时，允许他运行定义扫描。2选择是否在用户登陆时或是允许新的定义到达时运行快速扫描。建议不开启这两项，因为这会导致开机的速度比较慢，3选择扫描进度选项，修改是否在客户端显示扫描进程。 4选择显示扫描进度，再选择暂停选项，允许客户端能否控制扫描进程。0 文件系统自动保护1文件系统自动保护：选择扫描文件类型，启用文件系统自动保护，当对文件进行操作的时候，SEP都会自动的对文件进行检查。关于扫描选定扩展名或文件夹对于各种类型的防病毒和防间谍软件扫描与自动防护，您可以按照扩展名选择要包括的文件。对于管理员定义的扫描，您也可以按照文件夹选择要包括的文件。例如，您可以指定 调度扫描只扫描某些扩展名，而自动防护扫描所有扩展名。当您选择用于扫描的文件扩展名或文件夹时，可以选择要扫描的多个扩展名或文件夹。任何未选的扩展名或文件夹都不会包括在扫描范围之内。基本防病毒和防间谍软件策略设置在“文件扩展名”对话框中，您可以快速添加所有常见程序或所有常见文件的扩展名，也可以自行添加扩展名。自行添加扩展名时，扩展名长度不可超过四个字符。在“编辑文件夹”对话框中，请选择 Windows 文件夹，而不选择绝对文件夹路径。在安全网络的客户端计算机上，这些文件夹可能使用不同的路径。您可以选择下列任一文件夹： COMMON_APPDATA COMMON_DESKTOPDIRECTORY COMMON_DOCUMENTS COMMON_PROGRAMS COMMON_STARTUP PROGRAM_FILES PROGRAM_FILES_COMMON SYSTEM WINDOWS如果只扫描选定文件扩展名或文件夹，可以改善扫描性能。例如，如果您要复制一个大型文件夹，且此文件夹不在所选扫描文件夹列表中，则复制过程可以快速进行，因为此文件夹的内容已排除在扫描范围之外。您可以按照扩展名或目录类型将某些文件排除在扫描范围之外。您可以通过配置包括排除项的集中式例外策略来将某些文件排除在扫描范围之外。策略中若有指定排除项，则每次客户端使用该策略运行任何防病毒和防间谍软件扫描时，都会排除这些项。网络设置：选择网络，允许对映射网络驱动器进行扫描病毒。2操作：选择对扫描到怀疑病毒文件应该做哪种操作方式。建议采用默认操作关于针对扫描检测到的病毒与安全风险所采取的操作许多相同的扫描选项适用于不同的扫描类型。当您配置按需、调度或自动防护扫描时，可以指定客户端软件发现病毒与安全风险时要采取的第一个与第二个操作。您可以分别指定客户端发现下列类型风险时所采取的第一个与第二个操作：* 宏病毒* 非宏病毒* 所有安全风险（广告软件、间谍软件、玩笑程序、拨号工具、黑客工具、远程访问程序、跟踪软件等等）* 个别类别的安全风险，例如间谍软件* 为特定的安全风险实例自定义操作默认情况下，Symantec Endpoint Protection 客户端会先尝试清除受病毒感染的文件。基本防病毒和防间谍软件策略设置关于针对扫描检测到的病毒与安全风险所采取的操作如果客户端软件不能清除文件，就会执行下列操作：* 将文件移至受感染计算机上的隔离区* 拒绝访问文件* 记录事件默认情况下，客户端会将受安全风险感染的任何文件移至受感染计算机上的隔离区。客户端也会尝试消除或修复风险的负面影响。默认情况下，隔离区包含所有客户端已执行操作的记录。必要时，计算机可以回到客户端尝试消除和修复操作之前所存在的状态。如果不能隔离与修复安全风险，则第二个操作会将风险记录下来。对于主动型威胁扫描检测，会根据您是使用 Symantec 管理的默认值还是选择自行设置操作来确定操作。您可以在“防病毒和防间谍软件策略”的一个单独部分中配置主动型威胁扫描的操作。3通知：选择是否在客户端显示扫描到的病毒。4选择SEP自动保护启动条件，当自动保护被停止时，再启动的时间间隔。1 Internet电子邮件自动防护启动对Internet邮件的自动防护，对邮件病毒进行查杀，如果要关闭客户端的internet邮件防护，需要在这里关闭后，再发放策略。2 Microsoft Outlook自动防护：启动Microsoft Outlook自动防护,对通过Outlook发送的邮件进行病毒过滤，并可以采用邮件通知管理员。3 主动型威胁扫描：选择启动特洛伊木马和蠕虫，默认是开启的，再选择下一项的使用Symantec定义的默认值，建议采用默认值，这有利与木马与蠕虫的查杀。关于自动防护扫描自动防护扫描包括下列类型的扫描：* 文件系统自动防护扫描* Lotus Notes 和 Outlook（MAPI 和 Internet）的自动防护电子邮件附件扫描* 针对使用 POP3 或 SMTP 通信协议的 Internet 电子邮件与附件的自动防护扫描；Internet 电子邮件的自动防护扫描还包括出站电子邮件启发式扫描-注意：由于性能原因，服务器操作系统不支持 POP3 的 Internet 电子邮件自动防护。请不要在 Microsoft Exchange 服务器上安装 Microsoft Outlook 自动防护。-自动防护会持续扫描从计算机读取或写入计算机的文件和电子邮件数据是否有病毒或安全风险；病毒和安全风险可能包括间谍软件或广告软件。您可以将自动防护配置为仅扫描选择的文件扩展名。当它扫描选择的扩展名时，即使病毒更改了文件的扩展名，自动防护也能确定文件的类型。配置自动防护设置时，若要针对病毒与安全风险强制执行公司的安全策略，您可在客户端上锁定自动防护选项。用户不能更改您锁定的选项。默认情况下，自动防护已启用。您可以在控制台的“客户端”选项卡下查看自动防护状态，也可以通过生成显示计算机状态的报告和日志进行查看。还可以直接在客户端上查看自动防护状态。自动防护扫描会扫描下列应用程序的电子邮件附件：* Lotus Notes 4.5x、4.6、5.0 和 6.x* Microsoft Outlook 98/2000/2002/2003/2007（MAPI 和 Internet）如果通过 MAPI 或 Microsoft Exchange 客户端使用 Microsoft Outlook，且已为电子邮件启用自动防护，则附件会立即下载到运行此电子邮件客户端的计算机上。当用户打开邮件时，便会扫描附件。如果您通过速度较慢的连接下载大型附件，则会影响邮件性能。对于经常收到大型附件的用户，您可能想禁用此功能。-注意：当您执行客户端软件安装时，如果计算机上已安装 Lotus Notes 或 MicrosoftOutlook，则客户端软件会检测到该电子邮件应用程序。接着客户端就会安装正确的自动防护插件。当您执行手动安装时，如果选择完整安装，则这两个插件都会安装。-如果电子邮件程序不是支持的数据格式之一，则可以在文件系统上启用自动防护来保护您的网络。如果用户在 Novell GroupWise 电子邮件系统上收到附件受感染的邮件，则当用户打开附件时，自动防护就会检测到病毒。这是因为大部分的电子邮件程序会在用户从电子邮件程序启动附件时，将该附件保存到临时目录。如果您在文件系统上启用自动防护，则自动防护会在附件写入临时目录时检测到病毒。如果基本防病毒和防间谍软件策略设置关于扫描用户尝试将受感染的附件保存到本地驱动器或网络驱动器，则自动防护也会检测到病毒。关于自动防护检测持续下载同样的安全风险的进程如果自动防护检测到某个进程不断将安全风险下载到客户端计算机，便会显示通知并记录检测。（自动防护必须配置为发送通知。）如果进程持续下载同一安全风险，则用户计算机上会多次显示通知，且自动防护会记录多个事件。为避免多次通知和记录多个事件，自动防护会在检测到此安全风险三次后，自动停止发送关于该安全风险的通知。此外，自动防护在检测到同一事件三次后，也会停止记录该事件。在某些情况下，自动防护不会停止发送安全风险的通知，也不会停止记录安全风险事件。在下列任一情况下，自动防护会不断发送通知并记录事件：* 您或客户端计算机的用户禁用安全风险的安装禁止功能（默认为启用）* 对进程下载的安全风险类型所采取的操作含有“不操作”的操作时。关于 Microsoft Exchange 服务器和 Symantec 产品的文件和文件夹自动排除如果在已安装 Symantec Endpoint Protection 客户端的计算机上还安装有 MicrosoftExchange 服务器，客户端软件会自动检测到 Exchange。当客户端软件检测到Microsoft Exchange 服务器时，会创建适当的文件和文件夹排除项，而文件系统自动防护和所有其他扫描会排除这些项。Microsoft Exchange 服务器可包括群集服务器。客户端软件会定期检查适当的 Exchange 文件和文件夹位置是否有所更改。如果您在已安装客户端软件的计算机上安装 Exchange，则客户端会在检查更改时创建排除项。客户端会排除相应的文件和文件夹；如果某单个文件移出了所排除的文件夹，此文件仍然在排除范围之内。客户端软件可为下列版本的 Microsoft Exchange 服务器创建文件和文件夹扫描排除项：* Exchange 5.5* Exchange 2000* Exchange 2003* Exchange 2007对于 Exchange 2007，请参见用户文档了解其与防病毒软件的兼容性。对于某些Exchange 2007 文件夹，可能必须手动创建扫描排除项。例如，如果您设置了群集服务器，或使用了非默认文件夹位置，则必须手动创建排除项。请参见 Symantec知识库的“Preventing Symantec Endpoint Protection 11.0 from scanning the基本防病毒和防间谍软件策略设置349列 Symantec 产品时，客户端也会创建适当的文件和文件夹扫描排除项：* Symantec Mail Security 4.0/4.5/4.6/5.0 for Microsoft Exchange* Symantec AntiVirus/Filtering 3.0 for Microsoft Exchange* Norton AntiVirus 2.x for Microsoft Exchange-注意：若要查看客户端创建的排除项，您可以检查HKEY_LOCAL_MACHINESoftwareSymantecSymantec Endpoint ProtectionAVExclusions 注册表的内容。切勿直接编辑这个注册表。您可以使用集中式例外来配置其他任何排除项。客户端不会将系统临时文件夹排除在扫描范围之外，因为这样会给计算机带来极大的安全漏洞。如果客户端电子邮件应用程序使用单个收件箱Outlook Express、Eudora、Mozilla 和 Netscape 都是将所有电子邮件存储在单个文件的应用程序。如果客户端计算机使用的是任何使用单个收件箱的电子邮件应用程序，您应该创建集中式例外以将收件箱文件排除在外。例外会应用于所有防病毒和防间谍软件扫描，也会应用于自动防护。只要满足以下两个条件，Symantec Endpoint Protection 客户端会隔离整个收件箱，用户便不能访问电子邮件：* 客户端运行按需扫描或调度扫描时，在收件箱文件中检测出病毒。* 为此病毒配置的操作是“隔离”。Symantec 通常不建议您将某些文件排除在扫描范围之外。若将收件箱文件排除在扫描范围之外，便不能隔离收件箱；但是，如果客户端在用户打开电子邮件时检测出病毒，客户端可以将该邮件安全隔离或删除。4 隔离：当前的病毒定义到达时：选择隔离策略，对客户端扫描到的病毒文件做隔离的方式，建议选择自动静默的恢复和还原隔离中的文件，这个选项会减少客户端在检测到病毒时的提示信息。本地隔离选项：当客户端在检测到病毒文件，做隔离操作时要将隔离文放到管理指定的文件夹。清理条件：1已修复的文件：选择对修复的文件保存的时间段2备份文件：选择删除备份文件的时间，3隔离的文件：对隔离文件，在规定时间内不错删除操作这些操作优化了管理端磁盘空间，减少因为日志或是隔离文件导致占用大量磁盘空间。将Symantec Endpoint Protection 客户端配置为禁用 Windows 安全中心您可以配置客户端软件在哪些情况下禁用 WSC。将 Symantec Endpoint Protection 配置为禁用 WSC1 在“防病毒和防间谍软件策略”页面上，单击“其他”。2 单击“其他”选项卡。3 在 Windows 安全中心下方的“禁用 Windows 安全中心”下拉列表中，选择下列选项之一：从不从不禁用 WSC。一次：只禁用一次 WSC。如果用户重新启用它，客户端软件将不再禁用它。始终：始终禁用 WSC。如果用户重新启用它，客户端软件会立即再次禁用它。还原：仅 Symantec Endpoint Protection 禁用 WSC 后，才会重新启用它。4 单击“确定”。3.4.3设置防火墙策略 简述Symantec Endpoint Protection 如何防止计算机受到网络攻击Symantec Endpoint Protection 客户端具有下列可保护组织内的计算机不受入侵攻击的工具：防火墙:监控所有 Internet 通信并建立防护，以此禁止或限制任何查看您计算机上信息的企图。入侵防护:分析所有入站信息和出站信息，查看是否出现具有攻击特征的数据模式Symantec Endpoint Protection Manager 随附默认防火墙策略提供办公室环境所需的防火墙规则和防火墙设置。办公室环境通常处于企业防火墙、边界数据包过滤器或防病毒服务器的保护之下。因此与使用有限边界保护的大多数家用环境相比较而言，办公室环境通常更为安全。当您首次安装控制台时，它会自动将默认防火墙策略添加到每个组中。每当您添加新位置时，控制台会自动将防火墙策略复制到默认位置。如果默认的防护并不适合，您可以自定义每个位置的防火墙策略，例如主站点或客户站点。如果您不想使用默认防火墙策略，可以对其进行编辑或用其他共享策略替换。防火墙策略包括下列元素：防火墙规则：监控所有 Internet 通信并建立一道屏障，以此禁止或限制任何查看您计算机上的信息的企图。防火墙规则可使 Internet上的其他人看不到您的计算机。防火墙规则可保护远程用户不受黑客攻击，并防止黑客通过这些计算机暗中访问企业网络。您可以在防火墙禁止远程用户计算机上的应用程序时通知用户智能通信过滤器：允许大部分网络所需的特定通信类型，例如 DHCP、DNS 和WINS 通信。通信与隐藏设置：检测和禁止来自特定驱动程序、协议和其他源的通信。您可以将位置设为客户端控制或混合控制，以使用户可自定义防火墙策略。您可以用创建和修改其他类型策略的类似方式创建与编辑防火墙策略。您可以分配、撤消、替换、复制、导出、导入或删除防火墙策略。您通常可将一个策略分配至安全网络中的多个组。如果对特定位置有特定要求，您可以创建一个非共享、位置限定的策略。对于本章所涉及的过程，我们是在假定您对策略配置的基本概念熟悉的情况下进行介绍的。 防火墙策略设置界面，点击右边防火墙策略，右击选择添加，建议在对客户端分配新防火墙策略时，添加新的防火墙策略，这样能准确的创建针对指定的组，而不会影响到其他的策略。当配置好新的策略后，一定要分配策略，这时候才将配置好的策略分配到指定的组，每次更改完策略后都要再次将策略分配到所要指定的组。 选择添加策略，在默认的策略修改现有的防火墙策略。这些策略包括了禁止共享文件，禁止远程连接，允许VPN等策略等. 添加新的防火墙策略，默认的防火墙策略并不能满足企业的要求，特别是针对一些服务的服务的要求，需要开启一些端口或是协议。防火墙规则控制客户端如何保护客户端计算机不受恶意入站通信及出站通信的侵袭。防火墙自动根据这些规则检查所有入站及出站的数据包。然后，防火墙根据规则中指定的信息允许或禁止数据包。当计算机试图连接另一台计算机时，防火墙会将连接类型与其防火墙规则列表进行比较。点击添加规则，利用添加防火墙规则向导，点击下一步，选择定义应用程序，点击下一步。 添加要定义的应用程序策略。应用程序名称支持*,?，也就是说可以将程序设置为“Q*.EXE”,那所有以Q开头的.exe文件都会给定义。还可以将文件的大小跟修改日期或是文件指纹，利用指纹可以精确的指定到单个文件。点击下一步。在这是定义所要禁止或是允许的的应用程序。 更改新的防火墙规则，选择要修改的规则，选择应用程序，出现应用程序列表，点击添加，在添加应用程序中将文件名或是文件指纹，大小等信息添入，并不是所要都要添，但一定要存在一个，建议采用文件名加文件指纹，这样可以精确的指定到所要限制的应用程序。点击确定。在这可以多次添加应用程序。关于应用程序触发器如果应用程序是您在允许通信规则中定义的唯一触发器，则防火墙会允许应用程序执行任何网络操作。重要的是应用程序，而不是应用程序执行的网络操作。例如，假设您允许 Internet Explorer，而且未定义任何其他触发器。用户可以访问使用HTTP、HTTPS、FTP、Gopher 及 Web 浏览器所支持的任何其他协议的远程站点。您可以定义其他触发器来规定允许与哪些特定网络协议和主机的通信。以应用程序为基础的规则可能不太容易进行疑难解答，因为应用程序可能使用有多种协议。例如，如果防火墙先处理允许 Internet Explorer 的规则，再处理禁止 FTP的规则，用户仍可以与 FTP 通信。用户可以在浏览器中输入使用 FTP 的 URL，例如 。请不要使用应用程序规则来控制网络级别的通信。例如，如果用户使用其他 Web 浏览器，禁止或限制使用 Internet Explorer 的规则就不会起作用。其他 Web 浏览器所生成的通信还是会与 Internet Explorer 规则以外的所有其他规则比较。规则配置为禁止某些应用程序发送和接收通信时，以应用程序为基础的规则更为有效。注意：如果 TrendMicro PC-cillin IS 2007 与 Symantec Endpoint Protection 客户端安装在同一台电脑上，针对特定 Web 浏览器的防火墙规则将不会有作用。TrendMicro PC-cillin 会将 Web 通信提交至其自己的代理软件。在 TrendMicroPC-cillin 中，您必须禁用 Web 站点访问控制和数据威胁防护选项。 修改主机列表，选择主机，在主机列表中添加应用主机名，这是将这条防火墙策略对应到指定的主机，比如：禁止对某几台网络计算机的访问，或是对这几台机器的网络协议，添加主机类型可以选择IP地址，DNS，IP范围，Mac地址等等。关于主机触发器定义主机触发器时，您可以指定位于所指定网络连接两端的主机。通常，表示主机之间关系的方式是将主机称为网络连接的源或目标。您可以使用下列任一方式定义主机关系：源/目标:主机是源还是目标取决于通信的方向。有时候可能本地客户端计算机是源，而有时候则可能远程计算机是源。源与目标关系较常用于网络型防火墙。本地/远程:本地主机总是本地客户端计算机，而远程主机总是位于网络其他位置的远程计算机。此主机关系的说明与通信方向无关。本地与远程关系较常用于主机型防火墙，而且比较容易查看通信。您可以定义多个源主机和多个目标主机。您在连接两端所定义的主机可使用 OR 语句评估。所选主机之间的关系则可使用 AND 语句评估。假设有个规则定义了单个本地主机和多个远程主机。当防火墙检查数据包时，本地主机必须匹配相关的 IP 地址。不过，地址的另一端则可匹配任何远程主机。例如，您可以定义规则来允许本地主机与 、 或 之间的 HTTP 通信。这个规则的作用等于单独定义三个规则。 策略的应用时间段，在指定时间内应用此策略，在这个时间段外，那这条策略将被停止，这有利于策略的灵活应用。0 服务：指网络协议，选择服务后，出现服务列表，默认已经包含了绝大多数的协议，如果没有确定的协议，可以使用添加，选择协议.例如：添加允许客户端Ping 服务，选择ICMP,本地端口：8，远程端口：0，方向：两者。关于网络服务触发器网络触发器会根据所指定的网络通信，标识产生作用的一个或多个网络协议。您可以定义以下类型的协议：TCP :端口或端口范围。UDP :端口或端口范围。ICMP :和代码。IP: 协议编号（IP 类型）。例如：类型 1 = ICMP、类型 6 = TCP、类型 17 = UDP以太网:以太网帧类型。例如：类型 0x0800 = IPv4，类型 = 0x8BDD = IPv6，类型 0x8137= IPX定义 TCP 型或 UDP 型服务触发器时，您可以标识指定网络连接两端的端口。通常，端口称为网络连接的源或目标。您可以使用下列任一方式定义网络服务关系：源/目标: 源端口和目标端口取决于通信方向。有时候本地客户端计算机可能拥有源端口，而有时候则可能是远程计算机拥有源端口。本地/远程:本地主机计算机总是拥有本地端口，而远程计算机总是拥有远程端口。此端口关系的说明与通信方向无关。定义协议时，便会指定通信方向。您可以定义多个协议。例如，规则可能包括 ICMP、IP 和 TCP 协议。规则会说明多种类型的连接，这些可能是已标识客户端计算机之间的连接，也可能是应用程序所使用的连接。1 选择适配器，在选择要用的适配器关于网络适配器触发器如果您定义了网络适配器触发器，则规则只会与使用指定适配器类型传送或接收的通信有关。您可以指定下列其中一种类型的适配器：* 以太网* 无线* 拨号* 任何 VPN* 特定厂商的虚拟适配器当您定义特定类型的适配器时，请将适配器的使用方式列入考虑范围。例如，如果规则允许以太网适配器的出站 HTTP 通信，则已安装的所有同类型适配器都会允许HTTP 通过。唯一的例外是同时指定了本地主机地址。客户端