SymantecAntiVirus.x完全技术手册.doc

Symantec AntiVirus.x完全技术手册 作者： 日期：1 Symatec AntiVirus基础知识：1.1 Symantec 防病毒产品线n 单机版u Norton AntiVirus 2002/2003/2004/2005/2006/2007；u Norton Internet Security 2002/2003/2004/2005/2006/2007；u Norton Personal Firewall 2006；u Norton 360； n 企业版u Symantec AntiVirus 7.6/8.1/9.0/10.0/10.1/10.2；u Symantec Client Security 1.0/2.0/3.0/3.1/3.2；1.2 概述：u SAV即Symantec AntiVirus（Symantec企业版防病毒产品）；1.3 功能：u 增强对间谍软件、木马、钓鱼软件、广告软件等威胁的防护能力；u 新增“防篡改”功能，防止防病毒客户端的进程、服务被病毒结束；u 增强的病毒处理能力，可以结束病毒的进程，再对病毒文件、受影响注册表键值进行处理；u 新增报告服务器功能，可根据时间、病毒名称等，通过图形化报表的形式进行统计报告；u 防病毒客户端、服务器之间的通信采用PKI体系进行认证、加密。1.4 版本：u 程序版本：000、u 扫描引擎：1（当前状态，可随病毒库升级）；1.5 系统组件：u Symantec System Center；u Symantec AntiVirus 服务器端；u Symantec AntiVirus 客户端；u Symantec Liveupdate 实用工具；u Symantec 报告服务器；u Symantec 中央隔离区服务器；1.6 通讯端口：u SAV10.X：TCP 2967；u SAV7.X、8.X、9.X：UDP 2967；1.7 通讯过程：u 具备SAV服务器的GRC.DAT文件（服务器标识）u NETBIOS解析对方计算机名称；u PKI证书认证对方是否可信；u 下载病毒库和策略配置；1.8 通讯机制：u SAV客户端每天第一次开机后会主动连接SAV服务器，；u SAV服务器在自身更新完最新的病毒库后会主动向接受管理的SAV客户端推送此此病毒库和策略配置；u SAV服务器和SAV客户端日常通信周期是每60分钟通信一次；1.9 SAV常用程序路径说明：u PKI证书路径：C:Program FilesSymantec AntiViruspkirootsu 病毒库文件路径：C:Program FilesCommon FilesSymantec SharedVirusDefsu 日志文件路径：C:Documents and SettingsAll UsersApplication DataSymantecSymantec AntiVirus Corporate Edition7.5Logsu 隔离区路径：C:Documents and SettingsAll UsersApplication DataSymantecSymantec AntiVirus Corporate Edition7.5Quarantineu 迁移客户端操作：将新的SAV服务器的GRC.DAT文件拷贝到此SAV客户端：C:Documents and SettingsAll UsersApplication DataSymantecSymantec AntiVirus Corporate Edition7.51.10 SAV主进程：Rtvscan.exe；1.11 SAV主服务名称：Symantec Antivirus；2 Symatec AntiVirus安装说明：2.1 SAV 10.1服务器安装准备：u 支持Win 2000/2003 Server操作系统；u 建议使用Xeon处理器、1G以上内存、60GB以上硬盘、单网卡的专用服务器；u 建议1台SAV服务器管理2000台以内的SAV客户端；u 建议设置复杂的操作系统密码、修补操作系统关键补丁程序；u 如：Win2000 Server+SP4+IE6+IIS+SQL；u 如：Win2003 Server+SP1+IIS+SQL；u 注意：安装时要启用网卡、开启Windows默认共享。2.2 SAV10.1服务器的安装过程：2.3 SAV 10.1报告服务器安装前准备：u 必须安装IIS4.0以上的版本；u 建议安装SQL Server 2000企业版，同时安装SP3或更高的补丁；u 建议设置复杂的SQL SA帐户的密码，同时将SQL安全性设置为：“SQL Server和Windows”n 选择“接受协议”，进行下一步的安装；n 配置报告服务器admin帐号的密码；n 选择“在本机数据库上安装”n 如果使用MSDE安装需设置SQL SA帐户密码；如果使用SQL2000安装输入SQL SA帐户密码；2.4 SAV 10.1客户端安装准备：u 不支持Windows98SE/NT操作系统；u 建议终端计算机的内存配置高于256MB；2.5 SAV10.1系统中心的安装：n 选择“接受协议”，进行下一步的安装；n 选择安装组件，进行下一步的安装；n 配置安装程序路径；3 Symatec AntiVirus策略配置：3.1 将指定SAV服务器升级为一级服务器3.2 客户端日志转发SSCSAV服务器组所有任务Symantec AntiVirus客户端日志转发3.3 病毒定义管理器SSCSAV服务器组所有任务Symantec AntiVirus病毒定义管理器3.4 客户端自动防护选项SSCSAV服务器组所有任务Symantec AntiVirus客户端自动防护选项3.5 客户端防篡改选项SSCSAV服务器组所有任务Symantec AntiVirus客户端防篡改选项3.6 客户端管理员专用选项SSCSAV服务器组所有任务Symantec AntiVirus客户端管理员专用选项3.7 服务器调整选项SSCSAV服务器组所有任务Symantec AntiVirus服务器调整选项4 Symatec AntiVirus日常维护：4.1 SAV客户端部署注意事项：u 建议使用WINS或DNS等自动方式实现SAV客户端正常解析SAV服务器的计算机名称的要求；u 不支持Win98Se操作系统，支持Win2000/XP/2003等操作系统，建议终端计算机的内存配置在256MB以上时可部署SAV客户端；u 对于在局域网部署的可接受管理的SAV客户端，必须具备SAV服务器的GRC.DAT和PKI证书文件；u 对于已安装Norton单机版或其他防病毒、防火墙软件的客户端需先卸载后再安装SAV3.1客户端；u 建议设置复杂的操作系统管理员密码、修补操作系统关键系统补丁、关闭多余的系统后台服务、尽量只开放只读的共享目录；4.2 SAV报告服务器的维护：u 定期登录http:/x.x.x.x/reporting报告服务器查看客户端日志；u 定期登录http:/x.x.x.x/reporting报告服务器生成客户端报告；4.3 SAV系统中心的维护：u 此控制台可以安装在局域网内任意计算机上，只要保证可跟SAV服务器正常通讯即可；u 定期查看客户端感染病毒、木马等安全风险的状态；u 定期查看客户端病毒定义库升级清苦；u 定期查看指定服务器的客户端总数；4.4 SAV服务器的病毒库升级维护：u 通过SSC的策略配置实现SAV服务器定时自动的更新病毒库；u SAV病毒库升级的3种方式：n SAV客户端每天第一次开机后会主动连接SAV服务器，如有比SAV客户端本地的病毒库更新的病毒库时，即会自动下载并更新的；n SAV服务器在自身更新完最新的病毒库后会主动向接受管理的SAV客户端下发此最新的病毒库的；n SAV服务器和SAV客户端日常通信周期是每60分钟通信一次；u 手动升级SAV服务器病毒库方式：n 访问Symantec官方病毒库下载地址：/avcenter/download/pages/US-SAVCE.htmln 下载XDB文件并拷贝到SAV服务器的以下目录：C:Program FilesSAVSymantec AntiVirusn 再重启SAV服务器的Symantec AntiVirus服务即可；4.5 SAV防病毒策略维护：u 配置SAV服务器定时自动升级病毒库；u 兼容低版本的SAV客户端管理方式；u 强制SAV客户端防病毒策略；u 修改卸载密码；5 Symatec AntiVirus常见问题处理：5.1 如何解决SAV服务器无法升级病毒库问题：u 解析Symantec升级地址正常：u 排错时查看SAV服务器的系统日志，确定升级失败的可能性；5.2 如何解决SAV客户端无法升级病毒库问题：u 保证SAV客户端解析SAV服务器的计算机名称正常；u 保证SAV客户端具备SAV服务器的PKI证书；u 手动重启SAV客户端的Symantec AntiVirus服务以加快升级速度；u 排错时可以查看SAV客户端的系统日志，确定升级失败的可能性5.3 如何解决SAV报告服务器无法登录问题：u 登录报告服务器（Reporting Server）时提示帐号锁定或禁用导致无法登录： 解决方法：登录到SAV10.1服务器，进入CMD命令行模式下。 osql E Use Reporting; Update adminuser set Locked= where username=admin; go exit5.4 如何安全彻底的查杀病毒：u 断开网络；u 关闭Windows XP系统还原功能；u 升级到最新的病毒库；u 进入操作系统的安全模式下查杀病毒；u 对于特定病毒可以使用专杀工具；u 设置复杂的操作系统管理员密码；u 修补操作系统关键系统补丁；6 Symatec AntiVirus版本升级操作：6.1 升级的原因u Symantec AntiVirus94版本的防病毒系统存在技术漏洞（SYM06-010漏洞 ），并且已有W32.SpyBot.Worm的变种病毒已利用此漏洞，可能造成此版本的防病毒系统缓冲区堆栈溢出，从而导致SAV服务意外终止和远程攻击者获得本地管理员权限；u 受影响的Symantec AntiVirus版本：010、020、94；u 解决方法：升级至SAV000版本；6.2 如何将SAV服务器从SAV94升级到SAV000版本u 卸载SAV94版的服务器端程序；u 控制面板添加删除程序Symantec AntiVirus卸载；u 卸载SAV94版的SSC系统控制台程序；u 控制面板添加删除程序Symantec System Center卸载；u 卸载SAV94版的报告服务器程序；u 控制面板添加删除程序Reporting Server卸载；u 安装SAV000版的服务器端程序；u 安装SAV000版的SSC系统控制台程序；u 安装SAV000版的报告服务器程序；u “注意备份SAV10.1服务器的PKI证书文件夹，默认路径：C:Program FilesSAVPKI”6.3 如何将SAV服务器从SAV7.X、8.X、9.X升级到SAV000版本u 卸载SAV7.X、8.X、9.X版的服务器端程序；u 控制面板添加删除程序Symantec AntiVirus卸载；u 卸载SAV7.X、8.X、9.X版的SSC系统控制台程序；u 控制面板添加删除程序Symantec System Center卸载；u 安装SAV000版的服务器端程序；u 安装SAV000版的SSC系统控制台程序；u 安装SAV000版的报告服务器程序；u “SAV7.X、8.X、9.X可以在不卸载的情况下，采取更新安装的方式升级到SAV000版本”u “注意备份SAV10.1服务器的PKI证书文件夹，默认路径：C:Program FilesSAVPKI”6.4 如何恢复对原有SAV10.1客户端的兼容管理u 保持原先先按照正常的步骤，重新安装Symantec10.X防病毒系统，之后使用Symantec System Center（Symantec系统中心）将防病毒服务器设置成“一级服务器”；u 进入操作系统的“服务”控制台，将“Symantec Antivirus”的服务停止，关闭Symantec System Center；u 将Symantec防病毒服务器默认安装目录“C:Program FilesSAV”下面的PKI文件夹删除，再将原先备份的PKI文件夹，复制到默认安装目录“C:Program FilesSAV”下面；u 修改注册表键值；n 打开原先备份的“PKIPrivate-Keys”文件夹，找到“.0.loginca.pvk”格式的文件，将“”这部分的串码值记录下来；n 打开注册表编辑器（regedit.exe）。n 找到n “HKEY_LOCAL_MACHINESOFTWAREIntelLANDeskVirusProtect6CurrentVersion”下面的“DomainGuid”键值，进行编辑，删除原先的内容，将第“1）”步中记录的“”这部分的值输入到该键值；n 找到n “HKEY_LOCAL_MACHINESOFTWAREIntelLANDeskVirusProtect6CurrentVersionDomainData”下面的“DomainGuid”键值，进行编辑，删除原先的内容，将第“1）”步中记录的“”这部分的值输入到该键值。u 进入系统的“服务”控制台，将“Symantec Antivirus”的服务启动；u 打开Symantec System Center（Symantec系统中心），将服务器组解锁，此时你可能会看到提示“用户名、密码不正确”，不要着急，在防病毒一级服务器上打开默认安装的“C:Program FilesSymantecSymantec System CenterTools”文件夹，运行“IFORGOT.exe”文件，重新输入新的用户名和密码，这样再打开Symantec System Center，将服务器解锁时输入新的用户名密码就可以进去了，看看以前的客户端是不是已经出现了！如果没有请等待一会再看。7 制作SAV000客户端安装包文件：u 制作防病毒客户端安装包；防病毒客户端的安装程序文件位于防病毒服务器的安装目录下，默认路径为c:Program filessavCLT-INSTWIN32或c:Program filesSymantec AntivirusCLT-INSTWIN32，该目录中的所有文件就是客户端的安装程序。以下操作将讲解如何制作防病毒客户端，在防病毒服务器上安装“Winrar”工具，之后将上面描述的防病毒客户端程序文件全选，单击鼠标右键选择“添加到压缩文件”，在弹出的对话框中选择“创建自解压格式压缩文件”。点选“高级”选项卡，在该对话框中点击“自解压选项”按钮。按照下图，在文本框中输入相应的值。再点击“模式”选项卡，选择“全部隐藏”、“覆盖所有文件”，单击“确定”按钮。之后Winrar程序会将防病毒程序文件进行打包，生成一个自解压的“.EXE”文件。u 安装防病毒客户端安装包；制作完防病毒客户端安装包后，使用该客户端安装包直接安装即可，安装