SCS3 功能及其应用和注意点---望能加精奖分
主要功能
通过集成化的技术和响应为客户端提供更强保护
集中式的配置和策略管理不仅使部署轻松自如,而且可以快速更新客户端
为病毒定义、防火墙规则和入侵防护签名提供了一种集成化响应机制
主要优势
有助于减少系统停机、供应商间的互操作问题和经济损失风险,同时可以保持用户的工作效率
针对可以使用多种模式进入网络的混合型威胁提供更强的防护
最大限度地提高了部署灵活性,并有助于消除最终用户无意或恶意引入安全漏洞的风险
Symantec Client Security
系统要求
建议使用 Microsoft 推荐的内存和处理器系统要求。
Windows 2000 Professional/Server/Advanced Server;XP Professional;Server 2003 Web/Standard/Enterprise 和 Datacenter Edition
130 MB 磁盘空间
80 MB 内存
====================================================================================
Symantec™ Client Security README.TXT 日期:2005 年 11 月
1999 - 2005 年 Symantec Corporation 版权所有。保留所有权利。
====================================================================================
====================================================================================
README 文件
在安装或分装 Symantec Client Security,或者致电技术支持部门之前,请完整地阅读本文档。
它包含 Symantec Client Security 文档或联机帮助所没有涵盖的内容。
====================================================================================
====================================================================================
目录
此文档包含以下部分:
安装和卸载问题
- 不支持 Symantec Packager
- 如果已经安装相同版本的 Symantec Client Security,则无法将 Symantec Client Security
添加到用于 Active Directory ® 部署的软件安装组策略对象中
- 安装 Symantec Client Security、中央隔离区和 Symantec 系统中心可能需要重新启动
- 使用光盘从运行旧版本 Symantec Client Firewall 的计算机部署软件可能需要禁用防火墙
- 如果安装 Alert Management Service(2) 软件,则安装 Antivirus 服务器时需要重新启动
- Symantec Client Firewall 安装 - 默认设置更改
- 卸载与 Symantec 系统中心位于同一台计算机上的 Symantec AntiVirus 服务器时出现通信问题
- SERVERNAME 客户端安装的 MSI 属性必须是一个有效名称
- 在安装接受管理的客户端的过程中使用的“服务器名称”字段必须是一个有效名称
- Symantec AntiVirus 服务器安装的 AMS 部分可能要花几分钟时间
迁移问题
- 在客户端迁移期间使用 Grc.dat 更新为新的父服务器
- 不支持从不接受管理到接受管理的客户端的迁移
- 在打开客户端或服务器用户界面时,版本 7.6.1 的迁移失败
- 从 Symantec AntiVirus 7.6x / 8.0x / 8.1x 客户端迁移到 Symantec AntiVirus 10.X 客户端
- 在 Windows Server 2003 或 Windows XP 上迁移的过程中,可能会意外终止 AMS 组件
可能会意外终止 AMS 组件
- 当在现有病毒定义过期的情况下进行迁移后,建议重新启动
- 在某些系统上,当从迁移重新启动后,可能会出现 Msiexec.exe 错误消息
使用第三方产品进行部署
- 使用高级权限部署基于用户的安装包失败
与管理相关的问题
- 备份一级服务器上的 \pki 目录
- 使用 FixFileTypes 工具解决非隐藏文件的扩展名未注册问题
- 恢复服务器系统日期将禁用服务器
- 停止 Symantec 进程会导致系统不稳定
- SAVRoam /nearest 命令需要 Windows 上的管理员权限
- 删除锁定的和空的服务器组
- 将组设置应用于不同步的客户端
- Symantec 系统中心提示受限用户复制服务器组证书
- 更改客户端的管理模式
- 不再允许用户修改调度的 LiveUpdate
- 只有重新启动后,有关用户登录域的信息才可用
- 锁定允许客户端修改 LiveUpdate 调度的设置
- 当客户端电子邮件应用程序使用一个收件箱文件时
- 只将锁定的设置传播到客户端
- 需要简单主机名称解析来管理 Symantec AntiVirus 服务器和客户端
- 更改登录证书设置后拖放服务器会导致通信丢失
- 将服务器提升为一级服务器时出现时间不同步错误
防病毒客户端和服务器问题
- 不扫描 Cookie
- 忽略 Internet 电子邮件自动防护端口的更改
- 调度扫描的客户端用户必须登录,扫描才能运行
- 提高客户端的重新启动性能
- 将文件添加到隔离区并将该文件从其原始位置删除
- 按类型扫描文件不再可用
- 清除风险及负面影响
- 清除蠕虫和特洛伊木马
- 启用防篡改时不使用第三方安全风险扫描程序
- 设置“客户端跟踪”选项
- 扫描安全风险的自动防护选项不应用于运行较早版本的 Symantec AntiVirus 的计算机
- 默认禁用客户端跟踪
NetWare 信息
- 扫描安全风险的自动防护选项不应用于运行 NetWare 的计算机
- NetWare 上不支持快速扫描
- 配置安全风险的特例
- 在服务器组的拖放操作过程中,NetWare 服务器可能无法通信
- 安全控制台需要为安装或升级添加搜索路径
- 在等待 Symantec AntiVirus 关闭的过程中如果发生超时,
将继续进行升级
- NetWare 日志文件现在存储在 SYS:install.log 中
- 默认情况下服务器控制台上的密码被禁用
- 安装命令不再试图修复已损坏的安装
- 重新生成证书
- 在 NetWare 上的 Symantec AntiVirus 服务器升级默认采用平构模式
- 如果已绑定 IPX 协议,则二级服务器的安装和迁移可能失败
- 在升级至 NetWare 6.5 Support Pack 4 后,上传 Symantec AntiVirus 10.0 时
Server.nlm 异常终止。
Symantec Client Firewall Administrator 问题
- OutOfMemory 错误
- 在没有位置感知预定义规则的情况下,不再支持“忽略预定义规则摘要值”选项
- 应用旧版策略之前先保存它们
防火墙问题
- CheckPoint VPN 客户端触发 Bla Worm 特洛伊木马规则
- 显示防火墙通知文本
64 位支持
- 防病毒客户端是唯一受支持的功能
- LiveUpdate 是唯一受支持的病毒定义文件更新方法
- 使用 Symantec 系统中心管理 64 位客户端
- 负面影响修复限制
文档问题
- “端口状态”和“端口状态报告”功能被丢弃
- 参考指南的“事件日志项”一章包含的信息不正确
- 安装指南错误地陈述了对 Itanium® II 处理器的支持
- 安装指南包含的客户端登录脚本安装信息不完整
其他问题
- 重新启动后 XP SP2 防火墙状态错误地报告为已启用
- 在运行 Windows XP 的计算机上使用系统还原功能
- Symantec AntiVirus 组件使用的 16 位文件
- 关于安全风险
- 关于 Cookie
- 安全风险的最佳处理方法
- 注意 - 中央隔离区性能注意事项
====================================================================================
====================================================================================
安装和卸载问题
====================================================================================
--------------------------------
不支持 Symantec Packager
--------------------------------
不支持使用 Symantec Packager 和 PMI 文件。
------------------------------------------------------------------------------------
如果已经安装相同版本的 Symantec Client Security,则无法将 Symantec Client Security
添加到用于 Active Directory ® 部署的软件安装组策略对象中
--------------------------------------------------------------------------------
如果计算机上安装了相同版本的应用程序,将无法创建用于软件安装的组策略对象 (GPO) 包。
在将 Symantec Client Security 安装到服务器之前,应先创建 Symantec Client Security
安装 GPO。
-------------------------------------------------------------------------
安装 Symantec Client Security、中央隔离区和 Symantec 系统中心需要重新启动
-------------------------------------------------------------------------
Symantec Client Security 将替换操作系统当前可能正在使用的系统文件和驱动程序。
Microsoft® Installer (MSI) 会确定是否需要重新启动,并相应地提示用户。
根据安装选项的不同,系统文件可能包括以下这些:
C:\WINDOWS\system32\
NavLogon.dll, S32EVNT1.DLL, SymNeti.dll, SymRedir.dll, atl70.dll, capicom.dll,
cba.dll, comctl32.ocx, loc32vc0.dll, msgsys.dll
msvci70.dll, msvcp70.dll, msvcr70.dll, nts.dll, and pds.dll
C:\WINDOWS\system32\drivers\
SYMEVENT.SYS, SymIDSCo.sys, symdns.sys, symfw.sys, symids.sys, symndis.sys,
symredrv.sys, and symtdi.sys
安装中央隔离区也可能需要重新启动,因为它也要更新系统文件。安装 Symantec 系统中心
也需要重新启动,因为它需要更新 Microsoft 管理控制台插件。如果安装了
Alert Management Service(2) 软件,则安装防病毒管理服务器时也需要重新启动。
-------------------------------------------------------------------------------
使用光盘从运行旧版 Symantec Client Firewall 的计算机部署软件可能需要禁用防火墙
-------------------------------------------------------------------------------
如果您尝试使用光盘从运行旧版 Symantec Client Firewall 的计算机部署最新的软件,
则规则库可能不允许远程部署所需的网络连接。要允许部署,必须创建允许所需网络连
接的规则,或者在部署期间禁用防火墙。安装指南中有关规划部署的章节列出了您必须
打开的端口号。
----------------------------------------------------------------------
如果安装了 Alert Management Service(2) 软件,则安装 Antivirus 服务器时
需要重新启动
----------------------------------------------------------------------
如果在安装防病毒管理服务器时选择安装 Alert Management Service(2) 软件,
则必须重新启动计算机,然后才能配置警报。
----------------------------------------------------------------
Symantec Client Firewall 安装 - 默认设置更改
----------------------------------------------------------------
Symantec Client Firewall 安装现在将自定义客户端防火墙级别设置为“中”
(以前为“高”),并且默认情况下禁用隐私控制。“中”级别的客户端防火墙
设置使用改进的入侵防护技术、特洛伊木马规则和一般规则,仍然可以保护客户机
免受特洛伊木马、入侵攻击及其他具有潜在危害的网络通信的侵害。现在允许没有
特别禁止的网络通信。如果禁用“隐私控制”,将允许发送 Web 浏览器信息。
要安装 Symantec Client Firewall 并保留其以前的默认自定义客户端防火墙级别
(高)和隐私控制(启用)设置,您可以从 Symantec Client Security 安装文件夹
中删除 CPOLICY.XML。如果将自定义客户端防火墙级别设置为“高”,将禁止没有特别
允许的网络通信。您可能发现在网络中初次实施 Symantec Client Firewall 时,
此设置过于严格。安装 Symantec Client Firewall 后,您可以根据企业的安全策略
和网络基础结构,确定客户机所需的安全级别。
删除 CPOLICY.XML
1. 导航到 Symantec Client Security 文件夹并双击它。
2. 在右窗格中,找到并突出显示 CPOLICY.XML。
3. 右键单击 CPOLICY.XML,然后单击“删除”。
4. 在“确认文件删除”对话框中,单击“是”。
--------------------------------------------------------------------
卸载与 Symantec 系统中心位于同一台计算机上的 Symantec AntiVirus 服务器
时出现通信问题
--------------------------------------------------------------------
如果卸载与 Symantec 系统中心位于同一台计算机上的 Symantec AntiVirus
服务器,然后再重新安装该服务器,则它将无法与 Symantec 系统中心进行通信。
要解决此问题,您可以卸载 Symantec AntiVirus 服务器和 Symantec 系统中心,
然后再次安装它们。
--------------------------------------------------------------------
SERVERNAME 客户端安装的 MSI 属性必须是一个有效名称
--------------------------------------------------------------------
SERVERNAME 属性指定将管理客户端的现有父服务器的名称。它必须是一个名称,
不能对该属性使用 IP 地址。
---------------------------------------------------------------------------
在安装接受管理的客户端的过程中使用的“服务器名称”字段必须是一个有效名称
---------------------------------------------------------------------------
在安装接受管理的客户端的过程中,使用的“服务器名称”字段指定将管理客户端的
现有父服务器的名称。它必须是一个名称,不能对该字段使用 IP 地址。如果您只
知道 IP 地址,请单击“浏览”按钮,然后单击“查找计算机”按钮,根据 IP 地址
进行搜索。
------------------------------------------------------------------------------------
Symantec AntiVirus 服务器安装的 AMS 部分的可能要花几分钟时间
------------------------------------------------------------------------------------
当部署 Symantec AntiVirus 服务器时,
完成部署的 AMS 部分的安装可能需要长达 5 分钟。
====================================================================================
迁移问题
====================================================================================
------------------------------------------------------------------------
在客户端迁移期间使用 Grc.dat 更新为新的父服务器
------------------------------------------------------------------------
如果将客户端从以前的版本迁移到当前版本,并将该客户端分配给新的父服务器,
则必须将新父服务器的名称添加到您所具有的 Grc.dat 文件中的 RoamManagingParentLevel0
项中。该项是逗号分隔的可用父服务器的列表。如果不将新父服务器的名称添加到该表中,
则迁移客户端将不使用您指定的新服务器。
----------------------------------------------------
不支持从不接受管理到接受管理的客户端的迁移
----------------------------------------------------
不支持从不接受管理的客户端到接受管理的客户端的迁移。要解决此问题,在通过不接受
管理的客户端安装接受管理的客户端时,您可以将 Grc.dat 文件(指定了由特定父服务器
管理的客户端)复制到适当的目录中。安装指南中的安装章节介绍了如何执行此转换。
如果您不希望使用 GRC.dat 文件,下面的过程也可以解决此问题:
1. 停止 RTVSCAN 服务。
2. 禁用 Symantec Client Firewall 中的两个入站 NETBIOS 规则。
3. 重新启动 RTVSCAN 服务。
4. 填充地址缓存后,请重新启用 Symantec Client Firewall 中的两个入站 NETBIOS 规则。
--------------------------------------------------------------------------
在打开客户端或服务器用户界面时,版本 7.6.1 的迁移失败
--------------------------------------------------------------------------
如果迁移版本 7.6.1 的服务器或客户端,而且用户界面是打开的,则迁移将失败。
要将版本 7.6.1 的服务器和客户端迁移到最新版本,请在开始迁移之前关闭用户界面。
---------------------------------------------------------------------------
从 Symantec AntiVirus 7.6x / 8.0x / 8.1x 客户端迁移到
Symantec AntiVirus 10.X 客户端
--------------------------------------------------------------------------
部署 Symantec AntiVirus 10.0(STM 或 MR1)
以升级现有的 Norton AntiVirus 7.6x 或 Symantec Antivirus 8.xx
的安装操作将可以正确进行,但只有在重新启动计算机已
完成安装后,新的 SAV 服务才会启动。因此,使用这种方式部署
的计算机在重启之前不会受到保护。
一种变通解决方法是强制客户端在升级结束时重新启动。
删在与客户端部署关联的 VPRemote.dat 文件中,除 REBOOT=ReallySuppress 参数。
注意:系统不会通知客户端计算机的用户将要重新启动计算机
(已部署的客户端安装在没有提示的情况下运行)。
------------------------------------------------------------------------------------
在 Windows Server 2003 或 Windows XP 上的迁移过程中,可能会意外终止 AMS 组件
------------------------------------------------------------------------------------
从 Symantec AntiVirus 服务器到 MR1 的迁移过程中,在安装新的版本之前,将终止
以前的 AMS 服务。这可能会导致在 Windows Server 2003 或 Windows XP 上意外终止
以前的 AMS 组件。在 Windows XP 上,迁移过程中可能会显示一条错误消息。
在 Windows Server 2003 上,重启计算机之后,可能会显示一条消息,
例如“<AMS 组件> 遇到了一个问题,需要关闭”。
尽管出现了这些消息,但迁移是成功的,AMS 服务将会正确运行。
与 MR1 一起安装的 AMS 版本修复了此问题,今后的迁移中将不会出现。
如果在迁移之前未安装 AMS,则应不会出现此错误。
------------------------------------------------------------------------------------
当在现有病毒定义过期的情况下进行迁移后,建议重新启动
------------------------------------------------------------------------------------
当在现有病毒定义过期的情况下从任意先前版本进行迁移后,将有一段时间(最长 15 分钟)
无法加载自动防护。例如,如果要迁移的系统运行的是 8 月份的病毒定义,而要迁移到的
Symantec AntiVirus 具有的是 9 月份的更新,则建议您重新启动。此问题是由于
Symantec AntiVirus 所加载的病毒定义与“实时防护”所加载的病毒定义存在冲突而引起的。
建议您重新启动是为了使“Symantec AntiVirus 定义监视器”服务能够检测并更正此问题。
------------------------------------------------------------------------------------
在某些系统上,当从迁移重新启动后,可能会出现 Msiexec.exe 错误消息
------------------------------------------------------------------------------------
在某些系统上,当从升至 Symantec AntiVirus 10.0.2 的迁移重新启动后,可能会看到以下消息:
msiexec.exe 遇到问题,需要关闭
应用程序事件日志中还可能会写入一个 Dr. Watson 错误。此错误并不会影响迁移过程,产品
仍旧是全功能的。Symantec 正在研究此问题,以期尽快找出一个解决方案。
使用高级权限部署基于用户的安装包失败
-------------------------------------------------------------------------
通过设置“总是使用高级权限安装”的 Active Directory 组策略,没有管理员权限的
用户将可以安装 Windows Installer 软件包。如果基于计算机进行安装,该设置有可
帮助安装成功。如果基于用户进行安装,该设置将导致安装失败。
====================================================================================
与管理相关的问题
====================================================================================
-------------------------------------------------
备份一级服务器上的 \pki 目录
-------------------------------------------------
如果您的服务器组中只包含一台服务器,则该服务器就是一级服务器并且管理该服务器组
的所有客户端。如果由于某种原因,您必须重新安装一级服务器上的服务器软件,将丢失
与客户端的所有通信。这是因为客户端不信任您创建的新服务器组根证书。
要缓解此潜在问题,请始终在服务器组中安装一台二级服务器,以便可以解除对服务器组
的锁定。另外,还应总是备份包含服务器软件的目录中的整个 \pki 子目录。如果重新安
装服务器软件后可还原 \pki 子目录,您就可以重新建立客户端通信。有关详细过程,
请与您的 Symantec 技术支持代表联系。
------------------------------------------------------------------------------------
使用 FixFileTypes 工具解决非隐藏文件的扩展名未注册问题
------------------------------------------------------------------------------------
Symantec Client Security 包含用于非隐藏文件的文件扩展名,这些扩展名
未在 Windows 操作系统上注册过。要将这些文件类型标记为隐藏,请在
Symantec Client Security CD 的 \Tools\FixFileTypes 文件夹中运行
FixFileTypes.exe。
-------------------------------------------------
恢复服务器系统日期将禁用服务器
-------------------------------------------------
如果将一级服务器上的系统日期恢复到服务器组根证书创建日期之前的某个日期,
则将无法使用该服务器。
----------------------------------------------
停止 Symantec 进程会导致系统不稳定
----------------------------------------------
如果停止在后台运行的 Symantec 进程,则该进程所在的计算机将变得不稳定。
有关 Symantec 进程的列表,请参考位于安装 CD 上的参考指南。
-----------------------------------------------------------------
SAVRoam /nearest 命令需要 Windows 上的管理员权限
-----------------------------------------------------------------
SAVRoam 通常配置为在一定时间以后及计算机重新启动之后查找新的父服务器。
但是,使用命令行命令 SAVRoam /nearest,您可以强制 SAVRoam 立即查找新的
父服务器。要使用此命令,用户必须具有 Windows 计算机上的管理员权限。
---------------------------------------
删除锁定的和空的服务器组
---------------------------------------
当您的服务器组只包含一台一级服务器时,如果您卸载该服务器,则无法解除该
服务器组的锁定并将其删除。
要删除该服务器组,请执行以下操作:
1. 在 Symantec 系统中心控制台中,单击“工具”>“搜索服务”。
2. 在“搜索服务属性”对话框中,单击“立即清除缓存信息”。
-------------------------------------------------
将组设置应用于不同步的客户端
-------------------------------------------------
默认情况下,如果客户端的系统时钟比一级管理服务器上设置的时间早 ±24 小时,
管理员将无法直接配置客户端设置。例如,您无法在Symantec 系统中心中右键单击
不同步的客户端,以及查看客户端日志。但是,不同步的客户端可以接受管理员应用
于组的设置。例如,如果您在 Symantec 系统中心中右键单击组并更改“客户端自动
防护选项”设置,则不同步的客户端将接受该新设置。
您无法直接配置客户端设置的原因是:系统使用的是登录证书,而该证书只在指定时间
内有效。您可以在 Symantec 系统中心中使用“配置登录证书设置”在组级别更改时间。
不同步的客户端之所以接受组级别的更改,是因为系统使用的是服务器证书,而该证书的
有效期为 5 年。
有关证书的更多信息,请参阅安装 CD 上 Docs 文件夹中的参考指南。
----------------------------------------------------------------------------
Symantec 系统中心提示受限用户复制服务器组证书
----------------------------------------------------------------------------
当您第一次解除服务器组的锁定时,Symantec 系统中心将提示您将服务器组根证书复制
到 Symantec 系统中心目录结构中。如果您随后使用管理员权限登录到运行 Symantec
系统中心的计算机并且解除服务器组的锁定,将不会提示您复制服务器组根证书。如果
随后使用低级别的用户权限登录到同一台计算机,将总是提示您复制服务器组根证书。
----------------------------------------
更改客户端的管理模式
----------------------------------------
如管理指南的第 2 章中所述,在将不接受管理的客户端更改为接受管理的客户端的
过程中,不再需要步骤 5 和步骤 6。如果客户端上的 pki\roots 文件夹为空,新的父
服务器现在会自动复制服务器组根证书,并且在您将 Grc.dat 文件复制到客户端并重新
启动该客户端后,将该证书放入客户端上的 pki\roots 文件夹中。如果该客户端上的
pki\roots 文件夹包含它以前的服务器组根证书,则应该先删除该证书,然后再将新的
Grc.dat 文件复制到客户端。
----------------------------------------------------------------------------
不再允许用户修改调度的 LiveUpdate
----------------------------------------------------------------------------
Symantec 系统中心的“病毒定义管理器”对话框上的“不允许客户端修改 LiveUpdate
调度”选项已被禁用。如果选中“不允许客户端手动启动 LiveUpdate”选项或“使用
LiveUpdate 安排客户端的自动更新”选项,用户则不得修改您配置的任何调度 LiveUpdate。
这种自动锁定功能可确保管理员调度的 LiveUpdate 总是能够传播到客户端,并且不会被
用户修改。
----------------------------------------------------------------------------
只有重新启动之后,有关用户登录域的信息才可用
----------------------------------------------------------------------------
初次安装客户端软件后,只有重新启动客户机,才会在 Symantec 系统中心显示用户的
登录域信息。重新启动之后,可以在 Symantec 系统中心的 Symantec AntiVirus 视图、
Symantec Client Firewall 视图、网络审核结果、事件日志、风险历史记录和改动历史
记录中找到该信息。在 Symantec AntiVirus 用户界面中,可以在事件日志、风险历史
记录和改动历史记录中找到该信息。
---------------------------------------------------------------------
锁定允许客户端修改 LiveUpdate 调度的设置
---------------------------------------------------------------------
Symantec 系统中心的“病毒定义管理器”窗口包含以下已锁定并且灰显的设置:
- 不允许客户端修改 LiveUpdate 调度
当同时禁用以下两个设置时,将自动取消选中并禁用锁定的设置:
- 使用 LiveUpdate 安排客户端的自动更新
- 不允许客户端手动启动 LiveUpdate
当选中并启用这两个设置中的一个或两个时,将自动选中并启用锁定的设置。如果该
设置未锁定,客户端用户则可以创建或修改与组策略相冲突的调度,并且不会收到组
调度的病毒定义更新。
-----------------------------------------------------------
当客户端电子邮件应用程序使用一个收件箱文件时
-----------------------------------------------------------
如果客户端使用的电子邮件应用程序(例如,Outlook Express、Eudora、Mozilla
和 Netscape)将所有电子邮件都存储在一个文件中,您可能希望将收件箱文件排除
在手动扫描和调度扫描之外。如果 Symantec AntiVirus 在手动扫描或调度扫描期间,
在收件箱文件中查到一个病毒,并且为该病毒配置的操作是隔离,则 Symantec AntiVirus
会隔离整个收件箱,这样用户就无法访问其电子邮件。
尽管定期从扫描中排除文件不是推荐的常规做法,但是从扫描中排除收件箱文件可以防止
该文件被隔离,同时仍然允许检测病毒。如果在您打开电子邮件时,而不是在下载邮件或
扫描过程中,Symantec AntiVirus 发现病毒,则它可以安全地隔离或删除该邮件,而不会
导致整个收件箱出问题。
----------------------------------------------
只将锁定的设置传播到客户端
----------------------------------------------
要更改客户端上的设置,必须锁定 Symantec 系统中心中的设置。如果更改客户端的设置,
并且该设置未锁定,则不会在该客户端上显示所做的更改。此功能还会影响使用 Symantec
系统中心中的客户端漫游功能进行的客户端安装。在安装期间,只能在客户端上配置已
更改且已锁定的设置。
--------------------------------------------------------------------
需要简单主机名称解析来管理 Symantec AntiVirus 服务器和客户端
--------------------------------------------------------------------
必须在环境中配置简单主机名称解析,才能管理 Symantec AntiVirus 服务器和客户端。
不需要完全合格的域名解析。
--------------------------------------------------------------
更改登录证书设置后拖放服务器会导致通信丢失
--------------------------------------------------------------
在 Symantec 系统中心中,如果您将“登录证书设置”对话框中两个选项的时间间隔设置
为大于 1 天(24 小时),来解决服务器和客户端之间的时间不同步问题,然后将服务器
拖放到一个新服务器组中,则该服务器与 Symantec 系统中心之间的通信将丢失。如果实
际的时间相差 24 小时或更少,则不会出现此问题。
------------------------------------------------------------------
将服务器提升为一级服务器时出现时间不同步错误
------------------------------------------------------------------
当您在 Symantec 系统中心中将服务器提升为一级服务器时,可能会出现登录证书时间
不同步错误。在大多数情况下,可以通过清除缓存信息,然后运行新的搜索来解决此问题。
然后就可以将服务器提升为一级服务器。
====================================================================================
防病毒客户端和服务器问题
====================================================================================
-----------------------
不扫描 Cookie
-----------------------
不对 Cookie 进行病毒、威胁或安全风险扫描。
-----------------------------------------------------
忽略对 Internet 电子邮件自动防护端口的更改
-----------------------------------------------------
“Internet 电子邮件高级选项”的防病毒客户端自动防护功能允许您更改 POP3 和 SMTP
端口。这两个端口的默认值分别为 110 和 25。防病毒客户端忽略对这些默认值的更改。
所有使用 POP3 和 SMTP(包括 Microsoft Outlook)的电子邮件程序均存在此问题。
如果您更改防病毒客户端的这些默认值,但是您的电子邮件程序却使用这些默认值,
则自动防护功能仍然会对电子邮件通信进行风险扫描。如果您的电子邮件程序不使用这
些默认值,并且您将自动防护端口更改为与电子邮件程序使用的端口匹配,自动防护功能
则不会对电子邮件通信进行风险扫描。
----------------------------------------------------------------------
调度扫描的客户端用户必须登录,扫描才能运行
----------------------------------------------------------------------
如果最终用户使用防病毒客户端用户界面调度扫描使其在不使用计算机时运行,则他们
必须登录到计算机,扫描才能运行。同样,如果调度的扫描已开始运行,用户随后注销,
扫描将停止运行。此问题的解决方法是让用户锁定计算机而不注销。调度在服务器组中
的客户端上运行的扫描不会受到影响,并且总是按调度时间运行。
------------------------------------
提高客户端的重新启动性能
------------------------------------
默认情况下,防病毒客户端软件在客户机重新启动时执行自动生成的快速扫描。快速扫描
包括一项扫描安全风险(如广告软件和间谍软件)的增强功能。此增强功能增加了重新启动
客户机所需的时间,并且不可以从 Symantec 系统中心配置。
要提高客户端的启动性能,请执行以下操作:
1. 在 Symantec AntiVirus 窗口的左窗格中,展开“启动扫描”,然后单击
“自动生成的快速扫描”。
2. 在右窗格中,单击“编辑”。
3. 在“扫描”对话框中的“快速扫描”选项卡上,单击“选项”。
4. 在“扫描选项”对话框中的“扫描增强”功能下,取消选中“扫描常见病毒和安全风险的踪迹”。
5. 单击“确定”。
6. 在“扫描”对话框中,单击“确定”。
--------------------------------------------------------
将文件添加到隔离区并将该文件从其原始位置删除
--------------------------------------------------------
在关闭自动防护之后,“将文件添加到隔离区”对话框中的“从原始位置上删除文件”
选项将不起作用。如果您使用“隔离区视图”图标将文件添加到隔离区,并且取消选中从
其原始位置删除文件的选项,该文件仍然被删除。
---------------------------------------------
按类型扫描文件不再可用
---------------------------------------------
在您配置任何扫描时,都无法再选择按类型扫描文件。将扫描所有类型的文件。任何迁移
到当前版本的以前配置的扫描也将扫描所有文件类型。管理指南中有关按选定的文件
类型进行扫描的所有信息都不再适用。
-------------------------------
清除风险及负面影响
-------------------------------
当 Symantec AntiVirus 处理复杂的风险及其负面影响时,有时它会将您配置的第一和
第二操作应用于该风险的不同部分。
例如,当 Symantec AntiVirus 检测到风险(例如 Trojan.QQMess 特洛伊木马)时,
如果配置的第一和第二操作分别是“清除威胁”和“不操作(仅记录)”,则看起来
好像是对已检测文件执行第一操作时失败,但其实该操作已应用于该风险的某些组件。
出现此问题的原因是,如果 Symantec AntiVirus 检测到受感染文件,但却无法将其清除,
Symantec AntiVirus 将采取第二操作,保留该文件。但是,Symantec AntiVirus 将应用
第一操作以清除该风险的负面影响,并将这些补救目标放入隔离区。
如果配置的第一和第二操作分别是“清除威胁”和“删除威胁”,并且 Symantec AntiVirus
无法清除文件,则 Symantec AntiVirus 会将第二操作应用于受感染的文件并将其删除。
并将第一操作应用于该风险的负面影响,清除这些影响并将补救目标放入隔离区。
--------------------------------
清除蠕虫和特洛伊木马
--------------------------------
如果对非宏病毒配置的第一操作是“清除威胁”,当 Symantec AntiVirus 通过手动扫描
或调度扫描检测到蠕虫和特洛伊木马时,它所采取的操作不同于与通过自动防护扫描检测
到相同风险时所采取的操作。
在极少数情况下,如果无法从文件中清除蠕虫或特洛伊木马,但是自动防护功能确定该蠕虫
或特洛伊木马非常危险,不能留在计算机上,Symantec AntiVirus 将删除受感染的文件,
即使为自动防护配置的第一操作是“清除威胁”,第二操作是“不操作(仅记录)”时,
也是如此。如果手动扫描或调度扫描配置了相同的操作并且检测到相同的无法清除的风险,
则清除操作将失败,文件将保留下来(配置的第二操作)。要从计算机中删除风险,您必须
将配置的操作更改为“删除威胁”或“隔离威胁”,或者必须手动删除这些文件。
--------------------------------------------------------------------
启用防篡改时不使用第三方安全风险扫描程序
--------------------------------------------------------------------
防病毒客户端和服务器具有一个称为“防篡改”的新的实时功能,该功能可防止对
Symantec 进程进行未经授权的访问和改动。如果您运行的第三方安全风险扫描程序会
检测和防御不需要的广告软件和间谍软件,则这些扫描程序通常会影响 Symantec 进程。
这样,防篡改会生成几十个甚至几百个警报和日志项。如果您希望使用第三方安全风险
扫描程序,请禁用防篡改。
-------------------------------
设置“客户端跟踪”选项
-------------------------------
在 Symantec 系统中心中,当您在“服务器调整选项”对话框中设置“客户端跟踪”选项时,
只有重新启动所配置的服务器上的 Rtvscan 服务后,所做的更改才会生效。
--------------------------------------------------------------------------
扫描安全风险的自动防护选项不应用于运行较早版本的 Symantec AntiVirus
的计算机
--------------------------------------------------------------------------
当在 Symantec 系统中心中配置自动防护选项时,“扫描安全风险”选项不应用于
运行较早版本的 Symantec AntiVirus 的计算机。
--------------------------------------
默认禁用客户端跟踪
--------------------------------------
在 Symantec AntiVirus 10.0.2 或更高版本中,默认禁用客户端跟踪。要启用此功能,必须在
父级服务器上创建以下 DWORD 注册表项,并将其值设置为 1:
HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\ClientTrack\Enabled
只有在服务器上重新启动 Rtvscan 服务后,此项更改才会生效。
====================================================================================
NetWare 信息
====================================================================================--------------------------------------------------------------------------
扫描安全风险的“自动防护”选项不应用于运行 NetWare 的计算机
--------------------------------------------------------------------------
当在 Symantec 系统中心中配置“服务器自动防护”选项时,“扫描安全风险”
选项不应用于运行 NetWare 的计算机。
------------------------------------
NetWare 上不支持快速扫描
------------------------------------
运行 NetWare 的计算机不支持快速扫描。
-----------------------------------------
配置安全风险的特例
-----------------------------------------
当在 Symantec 系统中心中为自动防护和其他扫描配置扫描选项时,如果父服务器
或一级服务器运行的是 NetWare,则“选择风险”对话框中的“可用风险”列表为空,
并且您无法配置特例。要解决此问题,请将运行 Windows 的计算机用作您的一级服务器
或父服务器,或者直接在由 NetWare 父服务器和一级服务器管理的计算机上配置特例。
------------------------------------------------------------------------------------
在服务器组的拖放操作过程中,NetWare 服务器可能无法通信
------------------------------------------------------------------------------------
某些情况下,在拖放服务器的操作过程中,
用 IP 和 IPX 协议配置的 NetWare 服务器可能无法通信。
解决方案如下:
1. 在要移动的服务器和新服务器组的主服务器上禁用 IPX 协议绑定。
2. 重新启动两台服务器,并在两台服务器控制台上输入以下命令:
Ping <其他服务器名>
验证网络通信和名称解析是否正常。
3. 执行移动操作。
在服务器拖放操作完成后,可在需要此协议的服务器上重新启用 IPX 协议绑定。
-------------------------------------------------------------------------
安全控制台需要为安装或升级添加搜索路径
-------------------------------------------------------------------------
NetWare 安全控制台功能可锁定文件服务器以使其只能从 SYS:SYSTEM 目录或
任意搜索路径加载 NLM。
因此,这会阻止运行 Symantec AntiVirus 安装或升级程序。
要解决此问题,在为安装或升级加载 vpstart 之前,
您必须将 Symantec AntiVirus 和临时部署目录
(例如 SYS:SAV\Deploy0)添加到搜索路径,
然后通过使用 /update 命令行从临时部署目录中启动 VPStart。
安装或升级完成后,可以从搜索路径中移除临时部署目录。
临时部署目录是用于安装的目标目录的一个子目录,
通常称作 Deploy0,例如,完整路径名为 SYS:SAV\Deploy0。
如果存在同名的目录,部署过程将尝试十个备用名称,
首先使用连续的数字,例如 Deploy1、Deploy2 等等,然后使用任意数字。
使用 NetWare 安全控制台执行升级的最简单的方法是
在执行部署并允许 vpstart 启动失败。此情况下,所有必要
的文件都驻留在服务器上,而且您知道临时部署目录的路径。
若要继续,除了添加目标目录之外,还要将此目录添加
到搜索路径中,然后使用以下命令重新运行 vpstart:
load <目标卷路径>\vpstart /update
例如:
load sys:sav\deploy0\vpstart /update
------------------------------------------------------------------------------------
在等待 Symantec AntiVirus 关闭的过程中如果发生超时,将继续进行升级
------------------------------------------------------------------------------------
在少数情况下,关闭 NetWare 的 Symantec AntiVirus 可能要花很长时间,
从而导致在升级进程中超时。若要完成升级,请在服务器上找到临时部署目录,
然后从该目录中运行 vpstart /update。在大多数情况下,
此临时部署目录将为 Deploy0 子目录,因此命令将如下所示:
load sys:sav\deploy0\vpstart /update
-----------------------------------------------------
NetWare 日志文件现在存储在 SYS:install.log 中
-----------------------------------------------------
NetWare 安装日志文件现在为 SYS:\install.log。
此文件用于安装、升级和卸载。
---------------------------------------------------------
默认情况下服务器控制台上的密码被禁用
---------------------------------------------------------
默认情况下服务器控制台上的关闭密码现在已被禁用。
通过使用“管理”菜单上的“设置密码”选项,可以还原密码。
-----------------------------------------------------------------------
安装命令不再试图修复已损坏的安装
-----------------------------------------------------------------------
/install 命令行参数不再修复已损坏的安装。
请注意,修复已损坏的安装功能不受支持,并且可能会导致产品的错误操作。
如果安装已损坏,Symantec 建议您卸载产品,然后重新安装。
在大多数情况下,安装损坏是由注册表文件损坏所导致的,
例如,计算机无法加载 Symantec AntiVirus。
已损坏的注册表文件无法修复,但是可以重新生成。
若要重新生成已损坏的注册表,需要执行以下步骤:
- 重新生成默认的注册表文件。
- 重新填充地址缓存。
- 更新 DomainGUID 以获取安全通信。
若要重新生成默认的注册表文件:
1. 在服务器控制台上键入:
unload vpreg.nlm
2. 删除 SYS:SYSTEM\VPREG 目录。
3. 在服务器控制台上键入:
load sys:sav\vpstart /regrepair
若要填充地址缓存,键入:
load sys:sav\vpstart runsection ResolveAddress
用于更新 DomainGUID 项的方法根据服务器类型的不同而变化。
如果服务器为主服务器,则可以从该服务器上的
证书文件的文件名称中提取域 GUID。
在这种情况下,键入以下命令:
load sys:sav\vpstart runsection SetDomainGUID
不过,如果服务器为辅助服务器,则 DomainGUID 必须匹配父服务器的 DomainGUID。
在这种情况下,必须使用一个不同的命令。
操作步骤:
1. 编辑 install.ini 文件的 SetDomainGUID 节。
2. 将 SetDomainGuid=cert 行替换为 SetDomainGuid=parent。
3. 保存文件。
4. 键入:
load sys:sav\vpstart runsection SetDomainGUID
-------------------------
重新生成证书
-------------------------
如果您需要重新生成证书,则可以通过使用一个 runsection 诊断命令完成。
请注意,重新生成证书会导致所有客户端和其他服务器拒绝与此服务器通信。
若要重新生成证书,请执行以下操作:
1. 关闭 Symantec AntiVirus for NetWare。
2. 键入:
load sys:sav\vpstart runsection CertGen
-----------------------------------------------------------------------
在 NetWare 上的 Symantec AntiVirus 服务器升级默认采用平构模式
-----------------------------------------------------------------------
如果已使用 NDS 安装早期版本的 Symantec AntiVirus 服务器,
则升级到当前版本时默认采用平构模式。
这可以通过检查 sys 根目录下的 install.log 文件中是否有以下消息来进行验证:
ActionsBinderyInstallScript
--------------------------------------------------------------
如果已绑定 IPX 协议,则可能无法更新辅助服务器
--------------------------------------------------------------
某些情况下,在服务器安装和迁移的过程中,用 IP 和 IPX 协议配置
的 NetWare 服务器可能无法通信。这是由协议和地址解析失败所引起的。
解决方案如下:
1. 在服务器上禁用 IPX 协议绑定。
2. 重新启动辅助服务器,并在辅助服务器控制台上输入以下命令:
Ping <服务器名>
验证网络通信和名称解析是否正常。
3. 卸载 Symantec AntiVirus 服务器。
4. 键入以下命令以重新生成服务器证书:
vpstart runsection certgen
5. 在 Symantec 系统中心控制台上运行网络发现,确保这些服务器都出现。
然后,可在需要 IPX 协议的服务器上启用 IPX 协议绑定。
------------------------------------------------------------------------------------
在升级至 NetWare 6.5 Support Pack 4 后,上传 Symantec AntiVirus 10.0 时 Server.nlm
异常终止。
------------------------------------------------------------------------------------
在安装 Symantec AntiVirus 10.0 后,您将 Novell NetWare 6.5 Support Pack 3 升至
NetWare 6.5 Support Pack 4。在执行此升级后再尝试上传 Rtvscan.nlm 时会导致 Server.nlm
异常终止。Symantec 正在研究此问题,以找出解决方案。有关此问题的最新信息,请访问以下
Symantec 知识库文章:
http://service1.symantec.com/SUPPORT/ent-s...005090916234248
====================================================================================
Symantec Client Firewall Administrator 问题
====================================================================================
-----------------
OutOfMemory 错误
-----------------
如果出现 OutOfMemory 错误,您可能需要增大 Java 虚拟机的最大堆内存。要增大
最大堆内存,需要修改快捷方式目标二进制文件中的 -Xmx128m 转换参数,其中 128
是默认的内存大小。您可以按 16 的倍数增加内存大小。
要增大最大堆内存,请执行以下操作:
1. 右键单击 Symantec Client Firewall Administrator 图标,然后单击“属性”。
2. 在“快捷方式”选项卡的目标框中,在文本“...javaw.exe”的右侧,找到并
增大 -Xmx128m 的值。
该条目应类似以下内容:
"C:\Program Files\Java\j2re1.4.1_05\bin\javaw.exe" -Xmx160m -DFre...
3. 单击“应用”,然后单击“确定”。
------------------------------------------------------------------------------
在没有位置感知预定义规则的情况下,不再支持“忽略预定义规则摘要值”选项
------------------------------------------------------------------------------
在没有位置感知预定义规则的情况下,不再支持“忽略预定义规则摘要值”选项。
这意味着具有在匹配条件中指定的所需摘要的任何预定义规则必须匹配该摘要值,
否则无法自动为应用程序创建规则。如果预定义规则没有所需的摘要并且符合其他条件,
则用一条警报通知用户,或者基于防火墙级别禁止或允许应用程序。如果显示警报,
用户则可以选择在此时为应用程序自动创建规则。
要自动创建预定义规则,而该规则没有在匹配条件中定义的所需摘要,或者没有在单独
的匹配部分中指定的所需摘要,可以使用位置感知预定义规则功能。在“预定义规则设置”
选项卡选择“配置要禁止的位置”,然后在“客户端设置”选项卡上启用“忽略预定义规则摘要值”
设置。注意,如果预定义规则具有指定的所需摘要,并且它不符合条件,则不会自动为
应用程序创建规则。
-------------------------------------------
应用旧版策略之前先保存它们
-------------------------------------------
必须使用当前版本的 Symantec Client Firewall Administrator 保存旧版策略,然后将其
应用于当前 Symantec Client Security 客户端。
=====================================================================================
防火墙问题
=====================================================================================
--------------------------------------------------------------
CheckPoint VPN 客户端触发 Bla Worm 特洛伊木马规则
--------------------------------------------------------------
作为其正常行为的一部分,CheckPoint VPN 客户端会触发 Bla Worm 特洛伊木马规则。如果
在同一计算机上同时运行 CheckPoint VPN 客户端和 Symantec Client Firewall,则需要执行
以下操作:
- 创建一个自定义策略文件,以允许 CheckPoint VPN-1 SecuRemote 在没有用户乾预的情况
下运行。
- 在 Symantec Client Firewall 部署中包含新策略。
在客户端防火墙部署中包含新策略:
1. 为 CheckPoint VPN 客户端创建一个程序规则,该规则包含运行 Symantec Client Firewall
的计算机上的 CheckPoint VPN 客户端可执行文件的名称和位置。
如果您无法确定 CheckPoint VPN 客户端可执行文件的名称和位置,可以删除 Bla Worm
特洛伊木马规则,但是,这会造成安全隐患。
2. 将策略文件保存为 Cpolicy.xml。
3. 将 Cpolicy.xml 复制到客户机上 Windows Installer (.msi) 包所在的文件夹中。
--------------------------------------
显示防火墙通知文本
--------------------------------------
如果用户界面的外观设置得太大或设置为超大字体,则防火墙通知可能无法显示全部文本。
=====================================================================================
64 位支持
=====================================================================================
------------------------------------------------------
防病毒客户端是唯一受支持的功能
------------------------------------------------------
防病毒客户端为客户端和服务器提供病毒防护和安全风险防护,并且是此版本中唯一受
支持的功能。所有其他组件、产品和工具均不受支持。
----------------------------------------------------------------------
LiveUpdate 是唯一受支持的病毒定义文件更新方法
----------------------------------------------------------------------
LiveUpdate 是唯一受支持的病毒定义文件更新方法。所有其他更新方法,包括病毒定义
传输方法均不受支持。
-------------------------------------------------------
使用 Symantec 系统中心管理 64 位客户端
-------------------------------------------------------
要使用 Symantec 系统中心管理 64 位客户端,请配置客户端设置以使客户端不接收自动的
病毒定义更新。配置客户端设置的最简单方法是配置一个客户端组,然后将您的 64 位客户端
放入该组。可以依靠用户来单击 LiveUpdate,也可以使用 Symantec 系统中心设置该组的
LiveUpdate 调度。
要使用 Symantec 系统中心管理 64 位客户端,请执行以下操作:
1. 创建一个客户端组。
2. 右键单击该客户端组。
3. 取消选中“继承服务器组的设置”。
4. 右键单击该客户端组,然后选择“所有任务”> Symantec AntiVirus >“病毒定义管理器”。
5. 在“病毒定义管理器”对话框中,取消选中“从父服务器更新病毒定义”。
6 请执行以下操作中的一个或两个:
- 取消选中“不允许客户端手动启动 LiveUpdate”。
- 选中“使用 LiveUpdate 安排客户端的自动更新”,单击“调度”,指定一个调度,
然后单击“确定”。
7. 单击“确定”。
在安装 64 位客户端软件之后,将客户机拖到该客户端组中。
-------------------------------
负面影响修复限制
-------------------------------
64 位防病毒客户端仅支持对 32 位病毒和安全风险(感染了 AMD®/64 和 EM64T 硬件上的 64
位操作系统的 WOW64 部分)的负面影响进行修复。目前不支持对 AMD/64 和 EM64T 硬件上 WOW64
之外的 64 位原生操作系统工具上的 64 位病毒和安全风险进行修复。
=====================================================================================
文档问题
=====================================================================================
-----------------------------------------------------------
“端口状态”和“端口状态报告”功能被丢弃
-----------------------------------------------------------
安装指南错误地将“端口状态”和“端口状态报告”作为 Symantec Client Firewall 的新功能
在“新增功能”部分中列出。
参考指南中的“事件日志项”一章包含的信息不正确
--------------------------------------------------------------------
参考指南中的“事件日志项”一章将错误的事件号与事件相关联。通常,在参考指南中,
40 以上的事件号之间相差一。
--------------------------------------------------------------------------
安装指南错误地陈述了对 Itanium® II 处理器的支持
--------------------------------------------------------------------------
系统要求部分错误地陈述了对 Itanium II 处理器的支持,已不再提供此类支持。只有支持
Intel Extended Memory 64 Technology (Intel EM64T) 的 Intel 处理器以及
AMD® 64-bit Opteron™ 和 Athlon™ 处理器在该版本中才能得到支持。
-------------------------------------------------------------------
安装指南包含的客户端登录脚本安装信息不完整
-------------------------------------------------------------------
“使用登录脚本安装客户端”一节介绍了如何编辑 vp_login.ini 以控制自动的客户端安装。
但是,使用这种方法,在重新启动 SAV 服务器后,对 vp_login.ini 所做的更改无法保留下来。
为了确保所做的更改能够保留,必须编辑 DoInstallOnWinNT 注册表值。有关更多信息,
请参见知识库文章:
Changes made to Vp_Login.ini are not saved after restarting the
Symantec AntiVirus service or the computer,网址为:
http://service1.symantec.com/SUPPORT/ent-s...005051211252348
其他问题
=====================================================================================
--------------------------------------------------------------------
重新启动后 XP SP2 防火墙状态错误地报告为已启用
--------------------------------------------------------------------
在特定情况下,Windows 防火墙可能会在实际没有启用的情况下,暂时将其自身报告为已启用。
如果按以下顺序进行安装,则会出现此问题:
1. 安装 XP SP1。
2. 安装 Symantec AntiVirus 并将其配置为禁用 Windows 防火墙(默认)。
3. 安装 XP SP2。
在这种情况下,Windows 安全中心将在等待一分钟后,将 Windows 防火墙正确显示为已禁用。
-----------------------------------------------------
在运行 Windows XP 的计算机上使用系统还原功能
-----------------------------------------------------
Symantec 服务 Rtvscan.exe 会禁用 Windows XP 的系统还原功能。
要在运行 Windows XP 的计算机上使用系统还原功能,请执行以下操作:
1. 断开计算机与网络的连接。
2. 显示称为“服务”的管理工具。
3. 在“服务”窗口中,停止 Symantec AntiVirus。
4. 使用系统还原功能将计算机还原为已知状态。
5. 重新启动计算机。
-------------------------------------------------
Symantec AntiVirus 组件使用的 16 位文件
-------------------------------------------------
以下 16 位文件作为随每个安装和定义更新一起分发的病毒定义文件的一部分包含在
Symantec AntiVirus 中。尽管 16 位操作系统不支持当前版本的 Symantec AntiVirus,
但是为了实现与可能仍然在使用的旧版 Symantec AntiVirus 的向后兼容,还是提供了
这些 16 位病毒定义文件。
与 NetWare 防护相关的文件存储在安装 Symantec 系统中心的计算机上。这些文件会
推送到支持 16 位 NetWare 客户端的 NetWare服务器上。这些 16 位文件只能在接收
它们的目标计算机上执行,而不会在管理计算机上执行。
受支持的 Windows 平台上的安装和更新可能包括以下这些:
目录:
C:\Program Files\Common Files\Symantec Shared\VirusDefs\BinHub\
C:\Program Files\Symantec\Quarantine\Server\Signatures\00027599\
文件:
ECBOOTIL.VXD
NAVENG.VXD
NAVENG16.DLL
NAVEX15.VXD
NAVEX16A.DLL
从 Symantec 系统中心推送到受支持的 NetWare 平台的 16 位文件可能包括以下这些:
管理计算机上的目录:
C:\Program Files\Symantec\Symantec System Center\Deployment\Server Rollout\
SERVER\NETWARE\LOGIN\
文件:
CTL3D.DLL
DY_LOH.DLL
I2_LDVP.DLL
LDRTSC16.386
MSCOMSTF.DLL
MSDETSTF.DLL
MSINSSTF.DLL
MSSHLSTF.DLL
MSUILSTF.DLL
NAVAPI16.DLL
SETUP.EXE
VPCCC16.EXE
VPDNUI.EXE
VPDN_FTP.EXE
VPDOWN.EXE
VPREMOVE.EXE
WPUSHPOP.EXE
--------------------
关于安全风险
--------------------
请尽量在安全风险的安装程序在系统中加载广告软件和间谍软件程序之前,检测并删除
该安装程序。如果安装程序仅用于将安全风险传送到主机,这将是一个有效的方法。
但是,用途更广泛的安装程序可以很好地与间谍软件或广告软件结合使用,而且无法禁止,
因为它们服务于各种应用程序类型。当无法禁止安全风险安装程序时,由于以下几个原因,
将允许间谍软件或广告软件应用程序加载到系统中。
首先,中断已部分安装的间谍软件程序可能会使主机处于不稳定状态,同时向用户显示错误
信息,或者在计算机上遗留下文件和文件夹。如果在删除这类程序之前安装已完成,则可以
分析安全风险的所有方面并正确将其删除,以使主机处于可预测的安全状态。
其次,间谍软件和广告软件程序的行为与正常的应用程序非常类似,与恶意软件通常表现出的
更加明显、异常的行为不同。因此,为了确保检测准确,允许先加载该程序,然后再完全
识别它,随后再将其删除或隔离。最后,安全风险可能是需要的程序,它是否值得接受完全
由用户或管理员的喜好决定。如果是这样,确保这类应用程序不被自动禁止是必要的。
尽管安全风险程序可以暂时加载到系统中,但如果已正确防护的主机上具有额外的安全措施,
那么这类程序几乎成功加载。例如,使用 SCS/NIS 的客户将从功能强大的防火墙防护中受益,
该防护将禁止应用程序在没有用户同意的情况下向家里打电话或以其他方式传输数据的企图。
因此,在安全风险得以加载与将其删除之间这段短暂的时间内,采取未经授权的操作的风险
将微乎其微。
我们相信这种方法与我们主要竞争对手的方法类似,而且目前我们尚未发现哪种方法可以准确
有效地检测并删除诸如广告软件或间谍软件之类的安全风险程序,而不对其进行充分地分析。
-------------
关于 Cookie
-------------
Cookie 是广泛用于维护网站会话期间和各会话之间的信息的一种技术。
Cookie 有几种主要形式,每一种都有各自的意图和用法。Cookie 之间的第一个
主要区别是,在您访问网站之后它们是否仍然存在于您的系统中。如果仍然存在
(作为小文本文件的一部分),则称为“永久性 Cookie”,网站使用这些 Cookie
在您下次访问该网站时,根据您以前的操作来定制您的体验。如果不存在,
则称为“会话 Cookie”或“临时 Cookie”,在您关闭浏览器之后将被删除。
Cookie 之间的第二个主要区别是第一方 Cookie 与第三方 Cookie 的区别。
第一方 Cookie 由您正在访问的网站提供,并且只有该网站可以使用。
第三方 Cookie 或跟踪 Cookie 由一个或多个网站提供,用于跟踪网站内或跨网站的
基本在线行为,通常是为了在线营销目的。虽然我们通常接受大多数类型的 Cookie,
但是有些人认为第三方 Cookie 是不良的,因为它们可能会将 Web 浏览习惯或更多
个人数据等信息泄漏给营销商。
虽然从 1996 年引入 Cookie 开始就一直存在隐私保护问题,但是随着人们对这项
技术的日益了解,而且 Web 浏览器也提供了允许用户明确选择如何处理 Cookie 的
选项,以前的担忧最终得到缓解。具体而言,当今常用的 Web 浏览器
(如 Internet Explorer)允许用户设置其隐私首选项,包括处理第三方 Cookie 的
详细方法,并且这些浏览器的默认设置可防止在未经用户明确同意的情况下
跟踪个人识别信息的做法。
除了对第三方 Cookie 的使用进行控制的现有功能外,即将出台的法规也规定不得在
受管制的软件或功能范围中包含 Cookie。最主要的联邦法案 SPY ACT 或 H.R. 29
最近进行了修正,从而将第三方 Cookie 排除在管制范围之外,以便准确地限制在线商务。
由于客户可以很容易地在如今的 Web 浏览器内控制 Cookie,以及更加严重的安全
风险(如间谍软件)的普遍性,因此 Symantec 目前不检测系统中是否存在 Cookie,
以便客户可以把精力重点放在最紧迫的安全问题上。
----------------------------
安全风险的最佳处理方法
----------------------------
- 如果客户不主动删除间谍软件或广告软件,Symantec 建议关闭对该类别的实时扫描。
- 删除间谍软件/广告软件可能需要终止某个进程(例如 Web 浏览器),在某些情况下,必须
重新启动系统才能完全清除它。
- 管理员可以允许最终用户选择何时终止/重新启动。
- 如果最终用户延迟此操作,实时防护将继续查找安全风险。
- 这样可起到主动提醒的作用。
-------------------------------------------------------
注意 - 中央隔离区性能注意事项
-------------------------------------------------------
在 9.0.4 和 2.0.4 版本中,中央隔离区中允许的最大可配置样本数已经从 2500 增加
到 5000 个;但是有一些性能问题需要注意。首先,因为样本数量的增多,导致中央
隔离区服务器上的工作量明显增加。在重负荷下,隔离区控制台查看器可能需要很长
时间才能加载列表,甚至在其他计算机上也是如此。其次,中央隔离区服务器可能需要
占用很大的处理器开销,而且此项活动会占用服务器上的大量磁盘空间。因此,
将样本数量增大到 2500 个以上会导致中央隔离区服务器的性能相对降低。
|
发表于 2006-11-24 13:11:04
发表于 2006-11-24 15:40:48