McAfee_VirusScan培训.doc

一、 Agent客户端McAfee客户端的安装方式较为简便，只需要在用户的计算机上安装McAfee ePO服务器中生成agent程序即可完成客户端安装。1.1 Agent客户端来源Agent安装程序将会在松江教育信息网页面上进行发布。用户可以通过页面上的下载连接进行下载安装。1.2 Agent客户端安装方法Agent客户端安装程序下载完毕后，直接在用户计算机桌面双击运行即可。安装过程会出现安装对话框，直到弹出“setup successful”后，点击“OK”即可完成安装，如下图所示。点击“确认”完成agent安装。1.3 加速客户端程序安装1. 安装完agent之后立即在“开始”“运行”中浏览C:Program FilesMcAfeeCommon FrameworkCmdAgent.exe路径，并在路径之后加“空格”/s参数。注意加“空格”/s参数。2. 在出现下图后依次执行两轮：收集并发送属性-检查新策略-实施策略在第一次使用加速方法的时候agent的监视界面为英文版本。需要依次点击“Collect and Send Props”、“Check New Prolicies”、“Enforce Policies”来实现加速安装。直到在监视界面中出现“verifying Setup.exe”，说明epo服务器正在向PC推送安装包进行安装，此时需要等待片刻。如下图： 安装包推送完后，会继续继承epo所制定的一些策略，此时agent监视界面会提示“Add New task”等信息。 在安装的过程中，Agent服务会自动停止，然后监视界面会消失，此时说明agent自身在进行升级。可以再次通过在“开始”“运行”中浏览C:Program FilesMcAfeeCommon FrameworkCmdAgent.exe路径，并在路径之后加“空格”/s参数。新显示出的界面就升级为中文版本了。此时可以通过点击“收集并发送属性”、“检查新策略”、“实施策略”来完成剩余的安装。安装完成后桌面任务托盘上会出现“M”图标，右击“M”图标出现VirusScan Enterprise则说明安装完成。此时可以通过右键点击VirusScan Enterprise图标选择“关于VirusScan Enterprise”查看升级是否成功。 若DAT版本和日期过老或者补丁程序不是“6”。则可以通过右击大“M”图标，选择立即更新，完成更新。1.4 Agent客户端卸载方法我们在卸载客户端的防病毒软件8.5时必须注意一点。因为我们部署的是网络版本，因此必须先卸载Agent代理程序后，才可以卸载VirusScan Enterprise 8.5i。而在卸载agent前必须先关闭访问保护，因为McAfee有自我保护功能，访问保护开启的情况下是不允许进行Agent卸载的。如下图步骤：sjjyvirus1) 右击“大M”图标，点击“VirusScan Enterprise”图标，选择“VirusScan控制台”打开VirusScan控制台，先完成客户端解锁。2) 选中“访问保护”，点击上方的红色方块按钮停止访问保护运行。然后双击“访问保护“选项。 在卸载agent时，我们需要无法通过“添加或删除程序”选项进行删除，必须找到agent的卸载文件“frminst.exe”之后，通过添加/forceuninstall的参数进行卸载。在实际环境中，frminst的存放路径可能会出现三种情况。1. 计算机之前未安装过任何McAfee的客户端系统盘符:program filescommon filesMcAfeecommon frameworkfrminst.exe2. 计算机之前安装过VirusScan Enterprise 8.5i系统盘符:program filesMcAfeecommon frameworkfrminst.exe1.3.1命令卸载法点击“开始”“运行”“浏览”选择X:Program FilesNetwork AssociatesCommon FrameworkFrmInst.exe /forceuninstall可以卸载agent（大M图标）。注：在“/forceuninstall”参数之前必须打一个空格。1.3.2批处理卸载我们可以通过建立批处理文件，进行方便快捷的客户端卸载。只需将下列命令粘贴到记事本中，并保存未BAT格式的文件即可。echo offecho 欢迎再次使用McAfee防病毒客户端，正在清除客户端安装程序，请稍等.%systemdrive%cd %systemdrive%Program FilesNetwork AssociatesCommon FrameworkFrmInst.exe /forceuninstallecho. & pause注意：在上述两种卸载方法中所提到的路径，需根据实际情况在之前所提到的三种情况中进行修改。在路径最后和“/forceuninstall”参数之间需加一个空格！1.3.3手工删除agent当命令卸载和批处理卸载都无法正常卸载agent或在卸载过程出现报错时，可以通过手工删除的方式删除agent程序。1. 停止下列进程： UpdaterUI.exe naprdmgr.exeo frameworkservice.exe o naimag32.exe naimas32.exe 2. 删除注册表项和值1) 删除目录HKEY_LOCAL_MACHINESOFTWARENetwork AssociatesTVDShared ComponentsFramework2) 删除键值HKEY_LOCAL_MACHINESOFTWARENetwork AssociatesePolicy orchestratorAgentHKEY_LOCAL_MACHINESOFTWARENetwork AssociatesePolicy orchestratorApplication PluginsCMNUPD_3000HKEY_LOCAL_MACHINESOFTWARENetwork AssociatesePolicy orchestratorApplication PluginsePOAgent3000HKEY_LOCAL_MACHINESOFTWARENetwork AssociatesePolicy orchestratorApplication PluginsePOAgent3000METAHKEY_LOCAL_MACHINESOFTWARENetwork AssociatesePolicy OrchestratorApplication PluginsePOAgent2000HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNAIMAGENT32HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMcAfeeFrameworkHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUI(NaimAgent_UI完成Agent卸载之后，VirusScan 8.5便可以在“添加和删除程序”中进行常规卸载。3) 重新启动计算机1.5 Agnet客户端修改方法 当agent客户端所对应的epo管理服务器IP地址变动时，只需要重新安装新的epo管理服务器生成的agent客户端程序即可。二、 Virusscan 8.5i功能介绍VirusScan Enterprise 8.5i是McAfee网络版中的客户端防病毒程序，本VirusScan Enterprise 8.5i软件包含多种功能。所有功能共同构成了计算机防御病毒和其他恶意软件攻击的屏障。这些功能包括：2.1 VirusScan 控制台您只要点击桌面任务拦中的McAfee图标，然后选择“VirusScan enterprise”选项，在弹出的界面中，选择“virusscan控制台”便可以打开8.5的主控制窗口（如下面三张图）。控制台是一个控制点，允许您创建、配置和运行VirusScan Enterprise 任务。任务可包含任何操作，例如从按照指定时间或时间间隔在一组驱动器上运行扫描操作，或者运行更新操作。还可从控制台启用或禁用VShield 扫描程序。2.2按访问扫描程序该功能可为您提供连续的防病毒保护，以防范来自软盘、网络或Internet 上各种病毒来源中的病毒。它在计算机启动时启动，并驻留在内存中，直到系统关闭。您可以使用一组灵活的属性页来通知扫描程序要检查系统的哪些部分、查找哪些内容、忽略哪些部分以及如何处理发现的感染病毒文件。此外，这种扫描程序可在发现病毒时向您发出警报，并为每个操作生成摘要报告。2.3完全扫描使用该功能，您可以随时开始扫描、指定扫描和不扫描的目标、确定扫描程序在检测到病毒时的响应方式以及查看病毒事件报告和警报。此外，也可以创建在特定时间或特殊时间间隔内进行的扫描任务。还可以定义所需的各种按需扫描任务，然后保存配置好的任务，以便重新使用。如上图在按需扫描属性中，我能可以在位置选项中选择扫描的范围。在检测选项中可以选择扫描的文件类型（确定扫描那些文件，那些文件不扫描）。在高级选项中可以设置扫描时所占用多少系统资源和是否查找未知的病毒。在操作选项中可以设置发现病毒之后所采取的操作。在有害程序选项中可以设置是否扫描有害程序和发现有害程序之后所采用的操作。报告选项中可以设置每次按需扫描之后的扫描的结果保存的位置和内容。2.4电子邮件扫描程序该功能允许扫描Microsoft Outlook 邮件、附件或者可以在计算机中直接访问的公共文件夹。如果正在运行Outlook，则将按发送扫描电子邮件。您也可以随时执行按需电子邮件扫描。这一功能使您能够在病毒进入您的电脑之前就发现潜在的病毒。电子邮件传递扫描属性窗口中操作于按需扫描的操作基本相同。2.5自动更新该功能允许您自动更新病毒定义(DAT) 文件和扫描引擎，然后将这些更新分发给网络中的计算机。您也可以借助该功能下载Hotfix和产品升级。根据网络的规模，您可以指定一台或多台信任的计算机（包括贵公司内部的HTTP 站点主机）自动从Network Associates HTTP 站点下载新文件。2.6访问保护您可以使用本功能，可以对本机系统的端口进行保护、注册表锁定；并可以通过本功能对系统中的一些重要的文件、共享资源和文件夹进行保护，禁止不明程序、可以代码对系统的入侵和破坏。在McAfee控制面板中双击“访问保护”选项。如上图可以单击“用户定义的规则”，在右边见面下方点击“新建”来创建规则。如下图：用户可以自定义三种类型的规则。根据不同需要选择不同类型的规则。2.6.1端口阻止规则 通过端口阻止规则可以创建基于端口的出、入站的通讯防护，起到基本的端口防火墙的作用。2.6.2文件/文件夹阻止规则 文件、文件夹的阻止规则可以对特定的文件或者文件夹进行读、写权限的控制，以及是否运行它执行、创建和删除。2.6.3注册表阻止规则 通过此规则我们可以对特定的注册表项和值进行锁定，以防止注册表的关键值别恶意修改。2.7缓冲溢出保护通过本功能我们可以阻断外来入侵者利用系统中存在的缓冲溢出漏洞对本机系统的入侵和破坏并实时的通知系统管理员三、 Virusscan 8.5i策略介绍2. 客户端锁定 打开VirusScan控制台后，我们会发现有很多选项是灰色的，那时因为在epo中已经做了对客户端锁定的设置，以防止非管理人员进行客户端的随意修改和卸载。网管人员可以通过控制台的“工具”菜单中“解锁用户”选项进行解锁才能对本地的VirusScan进行操作。3. 缓冲区溢出如果在安装McAfee客户端前PC上已经中了很多木马病毒，缓冲区溢出开启后会出现死机和蓝屏现象，因此设置“缓冲区溢出”为禁用，以防止此类想象的发生。4. IE设置保护我们在访问保护策略中添加了“IE设置保护”策略，以防止主页被非法修改。如果因为教学的需要，有老师提出设置IE首页，则需要完成以下步骤才能完成修改。1) 打开VirusScan控制台，先完成客户端解锁。2) 选中“访问保护”，点击上方的红色方块按钮停止访问保护运行。然后双击“访问保护“选项。3) 在弹出的界面中左侧选择“通用标准保护”，右侧会显示“保护Internet Explorer设置”。4) 此时用鼠标点击此条策略前面的两个“钩”进行取消。5) 然后进行IE默认主页设置，设置完毕后再次打开VirusScan控制台，选择“访问保护”点击绿色三角按钮，开启访问保护功能。注：由于VirusScan客户端由epo统一策略，上述步骤尽可能在5分钟内完成，以便策略再次同步后无法完成操作。四、 常见问题解答1 问：安装McAfee时，出现1920错误答：运行regedit ,删除以下： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMcAfee Framework HKEY_LOCAL_MACHINESOFTWARENetwork AssociatesTVD HKEY_LOCAL_MACHINESOFTWARENetwork AssociatesePolicy orchestrator 以上三个必须删除 删除以下目录 C:Program FilesNetwork AssociatesCommon Framework C:Documents and SettingsAll UsersApplication DataNetwork Associates 如果没有all Users目录，或者all users 目录下没有Network Associates 目录的，利用查找功能，将Network Associates目录删除！卸载，重启以后再重装后问题解决。2 问：为什么安装framepkg后，vs8.5i不能在右下脚出现？答：1）引擎版本过老，升级至5100引擎后，问题解决。2）直接安装单机版，是否成功，如果出现在服务里，启动windows Installer，如果失败，可以去网上down一个3.1的版本，再试。3 问：McAfee阻止我安装软件该怎么办？答：vs8.5i：VirusScan控制台访问保护（右键查看日志），看一下是违反了哪条规则， 您可以通过禁用访问保护，然后安装软件，或删除或修改规则。vs8.5i：VirusScan控制台访问保护（右键查看日志），当右下角图标周围出现一个红色的圈，说明您违反了某条规则，图标右键打开访问保护日志文件，操作步骤同上。4 问：Serv-u和McAfee有冲突怎么办？答：VirusScan控制台按访问扫描程序属性所有进程检测项不扫描的内容排除项，您可以用浏览的方式添加，也可以直接输入路径，在同时排除子文件夹前打勾。5 问：在扫描病毒时，cpu占用率很高，怎么解决？答：VirusScan控制台完全扫描 右键 属性高级系统使用率，设置为1030。6 问：如何查杀rar和zip压缩包里的病毒？答：EPO：DirectoryPoliciesVirusScan Enterprise 8.0.0On-Access Default Processes PoliciesEditnew policyProcesses里选择下面Use Different settings for high-risk and low-risk processesDetection里的what to scan选择All files，也可以选择Default+additional file types自己添加文件类型Advanced里Compressed files选择Scan inside archives在Actions和Unwanted Programes里第一个选clean files automatically，第二个选delete files automatically自动删除文件（有一定危险性）或者Move files to a folder移动到文件夹在该页面的顶端settings for里面有Workstation和Server，以上同样的设置都要做一遍。9问：这种限制程序运行的策略能在管理控制台向整个网络内的客户端分发么？逐台机器实施的话时间太长。答：Epo管理器Directory下面的客户端右键agent wakeup call里Randomization里Agent randomization选择0 minutes立即。10问：EPO密