Symantec AntiVirus10.x完全技术手册

SymatecAntiVirus基础知识：Symantec防病毒产品线单机版NortonAntiVirus2002/2003/2004/2005/2006/2007；NortonInternetSecurity2002/2003/2004/2005/2006/2007；NortonPersonalFirewall2006；Norton360；企业版SymantecAntiVirus7.6/8.1/9.0/10.0/10.1/10.2；SymantecClientSecurity1.0/2.0/3.0/3.1/3.2；概述：SAV即SymantecAntiVirus（Symantec企业版防病毒产品）；功能：增强对间谍软件、木马、钓鱼软件、广告软件等威胁的防护能力；新增“防篡改”功能，防止防病毒客户端的进程、服务被病毒结束；增强的病毒处理能力，可以结束病毒的进程，再对病毒文件、受影响注册表键值进行处理；新增报告服务器功能，可根据时间、病毒名称等，通过图形化报表的形式进行统计报告；防病毒客户端、服务器之间的通信采用PKI体系进行认证、加密。版本：程序版本：000、扫描引擎：1（当前状态，可随病毒库升级）；系统组件：SymantecSystemCenter；SymantecAntiVirus服务器端；SymantecAntiVirus客户端；SymantecLiveupdate实用工具；Symantec报告服务器；SAV10.1报告服务器安装前准备：必须安装IIS4.0以上的版本；建议安装SQLServer2000企业版，同时安装SP3或更高的补丁；建议设置复杂的SQLSA帐户的密码，同时将SQL安全性设置为：“SQLServer和Windows”选择“接受协议”，进行下一步的安装；配置报告服务器admin帐号的密码；选择“在本机数据库上安装”如果使用MSDE安装需设置SQLSA帐户密码；如果使用SQL2000安装输入SQLSA帐户密码；SAV10.1客户端安装准备：不支持Windows98SE/NT操作系统；建议终端计算机的内存配置高于256MB；SAV10.1系统中心的安装：选择“接受协议”，进行下一步的安装；选择安装组件，进行下一步的安装；配置安装程序路径；SymatecAntiVirus策略配置：将指定SAV服务器升级为一级服务器客户端日志转发SSC－SAV服务器组－所有任务－SymantecAntiVirus－客户端日志转发

病毒定义管理器SSC－SAV服务器组－所有任务－SymantecAntiVirus－病毒定义管理器客户端自动防护选项SSC－SAV服务器组－所有任务－SymantecAntiVirus－客户端自动防护选项

客户端防篡改选项SSC－SAV服务器组－所有任务－SymantecAntiVirus－客户端防篡改选项客户端管理员专用选项SSC－SAV服务器组－所有任务－SymantecAntiVirus－客户端管理员专用选项服务器调整选项SSC－SAV服务器组－所有任务－SymantecAntiVirus－服务器调整选项SymatecAntiVirus日常维护：SAV客户端部署注意事项：建议使用WINS或DNS等自动方式实现SAV客户端正常解析SAV服务器的计算机名称的要求；不支持Win98Se操作系统，支持Win2000/XP/2003等操作系统，建议终端计算机的内存配置在256MB以上时可部署SAV客户端；对于在局域网部署的可接受管理的SAV客户端，必须具备SAV服务器的GRC.DAT和PKI证书文件；对于已安装Norton单机版或其他防病毒、防火墙软件的客户端需先卸载后再安装SAV3.1客户端；建议设置复杂的操作系统管理员密码、修补操作系统关键系统补丁、关闭多余的系统后台服务、尽量只开放只读的共享目录；SAV报告服务器的维护：定期登录http://x.x.x.x/reporting报告服务器查看客户端日志；定期登录http://x.x.x.x/reporting报告服务器生成客户端报告；SAV系统中心的维护：此控制台可以安装在局域网内任意计算机上，只要保证可跟SAV服务器正常通讯即可；定期查看客户端感染病毒、木马等安全风险的状态；定期查看客户端病毒定义库升级清苦；定期查看指定服务器的客户端总数；SAV服务器的病毒库升级维护：通过SSC的策略配置实现SAV服务器定时自动的更新病毒库；SAV病毒库升级的3种方式：SAV客户端每天第一次开机后会主动连接SAV服务器，如有比SAV客户端本地的病毒库更新的病毒库时，即会自动下载并更新的；SAV服务器在自身更新完最新的病毒库后会主动向接受管理的SAV客户端下发此最新的病毒库的；SAV服务器和SAV客户端日常通信周期是每60分钟通信一次；手动升级SAV服务器病毒库方式：访问Symantec官方病毒库下载地址：/avcenter/download/pages/US-SAVCE.html下载XDB文件并拷贝到SAV服务器的以下目录：C:\ProgramFiles\SAV\SymantecAntiVirus再重启SAV服务器的SymantecAntiVirus服务即可；SAV防病毒策略维护：配置SAV服务器定时自动升级病毒库；兼容低版本的SAV客户端管理方式；强制SAV客户端防病毒策略；修改卸载密码；SymatecAntiVirus常见问题处理：如何解决SAV服务器无法升级病毒库问题：解析Symantec升级地址正常：排错时查看SAV服务器的系统日志，确定升级失败的可能性；如何解决SAV客户端无法升级病毒库问题：保证SAV客户端解析SAV服务器的计算机名称正常；保证SAV客户端具备SAV服务器的PKI证书；手动重启SAV客户端的SymantecAntiVirus服务以加快升级速度；排错时可以查看SAV客户端的系统日志，确定升级失败的可能性如何解决SAV报告服务器无法登录问题：登录报告服务器（ReportingServer）时提示帐号锁定或禁用导致无法登录：解决方法：登录到SAV10.1服务器，进入CMD命令行模式下。osql–EUseReporting;UpdateadminusersetLocked=’’whereusername=’admin’;goexit如何安全彻底的查杀病毒：断开网络；关闭WindowsXP系统还原功能；升级到最新的病毒库；进入操作系统的安全模式下查杀病毒；对于特定病毒可以使用专杀工具；设置复杂的操作系统管理员密码；修补操作系统关键系统补丁；SymatecAntiVirus版本升级操作：升级的原因SymantecAntiVirus94版本的防病毒系统存在技术漏洞（SYM06-010漏洞），并且已有W32.SpyBot.Worm的变种病毒已利用此漏洞，可能造成此版本的防病毒系统缓冲区堆栈溢出，从而导致SAV服务意外终止和远程攻击者获得本地管理员权限；受影响的SymantecAntiVirus版本：010、020、94；解决方法：升级至SAV000版本；如何将SAV服务器从SAV94升级到SAV000版本卸载SAV94版的服务器端程序；控制面板—添加删除程序—SymantecAntiVirus—卸载；卸载SAV94版的SSC系统控制台程序；控制面板—添加删除程序—SymantecSystemCenter—卸载；卸载SAV94版的报告服务器程序；控制面板—添加删除程序—ReportingServer—卸载；安装SAV000版的服务器端程序；安装SAV000版的SSC系统控制台程序；安装SAV000版的报告服务器程序；“注意备份SAV10.1服务器的PKI证书文件夹，默认路径：C:\ProgramFiles\SAV\PKI”如何将SAV服务器从SAV7.X、8.X、9.X升级到SAV000版本卸载SAV7.X、8.X、9.X版的服务器端程序；控制面板—添加删除程序—SymantecAntiVirus—卸载；卸载SAV7.X、8.X、9.X版的SSC系统控制台程序；控制面板—添加删除程序—SymantecSystemCenter—卸载；安装SAV000版的服务器端程序；安装SAV000版的SSC系统控制台程序；安装SAV000版的报告服务器程序；“SAV7.X、8.X、9.X可以在不卸载的情况下，采取更新安装的方式升级到SAV000版本”“注意备份SAV10.1服务器的PKI证书文件夹，默认路径：C:\ProgramFiles\SAV\PKI”如何恢复对原有SAV10.1客户端的兼容管理保持原先先按照正常的步骤，重新安装Symantec10.X防病毒系统，之后使用SymantecSystemCenter（Symantec系统中心）将防病毒服务器设置成“一级服务器”；进入操作系统的“服务”控制台，将“SymantecAntivirus”的服务停止，关闭SymantecSystemCenter；将Symantec防病毒服务器默认安装目录“C:\ProgramFiles\SAV”下面的PKI文件夹删除，再将原先备份的PKI文件夹，复制到默认安装目录“C:\ProgramFiles\SAV”下面；修改注册表键值；打开原先备份的“PKI\Private-Keys\”文件夹，找到“<computername>.<key>.0.loginca.pvk”格式的文件，将“<key>”这部分的串码值记录下来；打开注册表编辑器（regedit.exe）。找到“HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion”下面的“DomainGuid”键值，进行编辑，删除原先的内容，将第“1）”步中记录的“<key>”这部分的值输入到该键值；找到“HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\DomainData”下面的“DomainGuid”键值，进行编辑，删除原先的内容，将第“1）”步中记录的“<key>”这部分的值输入到该键值。进入系统的“服务”控制台，将“SymantecAntivirus”的服务启动；打开SymantecSystemCenter（Symantec系统中心），将服务器组解锁，此时你可能会看到提示“用户名、密码不正确”，不要着急，在防病毒一级服务器上打开默认安装的“C:\ProgramFiles\Symantec\SymantecSystemCenter\Tools\”文件夹，运行“IFORGOT.exe”文件，重新输入新的用户名和密码，这样再打开SymantecSystemCenter，将服务器解锁时输入新的用户名密码就可以进去了，看看以前的客户端是不是已经出现了！如果没有请等待一会再看。制作SAV000客户端安装包文件：制作防病毒客户端安装包；防病毒客户端的安装程序文件位于防病毒服务器的安装目录下，默认路径为c:\Programfiles\sav\CLT-INST\WIN32或c:\Programfiles\SymantecAntivirus\CLT-INST\WIN32\，该目录中的所有文件就是客户端的安装程序。以下操作将讲解如何制作防病毒客户端，在防病毒服务器上安装“Winrar”工具，之后将上面描述的防病毒客户端程序文件全选，单击鼠标右键选择“添加到压缩文件”，在弹出的对话框中选择“创建自解压格式压缩文件”。点选“高级”选项卡，在该对话框中点击“自解压选项”按钮。按照下图，在文本框中输入相应的值。再点击“模式”选项卡，选择“全部隐藏”、“覆盖所有文件”，单击“确定”按钮。之后Winrar程序会将防病毒程序文件进行打包，生成一个自解压的“.EXE”文件。安装防病毒客户端安装包；制作完防病毒客户端安装包后，使用该客户端安装包直接安装即可，安装包可以升级9.0以及更低版本的防病毒客户端，不用卸载原有防病毒客户端程序。附：Symantec官方网站链接：1、Symantec官方网站：2、SymantecSecurityResponse（Symantec安全响应中心）：3、VirusEncyclopedia（Symantec病毒资料）：/avcenter/vinfodb.html4、VirusRemovalTools（Symantec病毒专杀工具下载）：/avcenter/tools.list.html5、Virus