如何用好杀毒软件ppt-PowerPointPrese

如何用好我校Symantec杀毒软件张明胜现在教育技术中心网络部2004年12月26日一、Symantec软件介绍•1、我校购买的是SymantecAntiVirus企业版软件，它包括以下几个组件：•Symantec系统中心•SymantecAntiVirus企业版服务器•SymantecAntiVirus企业版客户端•LiveUpdate•中央隔离区•系统中心•管理控制台运行在MSWindows系统上，安装在我校网络部的服务器上，起到中心控制作用。SymantecAntiVirus企业版服务器•可以将配置和病毒定义文件更新分装到客户端上。SymantecAntiVirus企业版客户端•为联网及未联网的用户提供病毒防护，支持的系统主要是基于Windows系列的操作系统。LiveUpdate•是Symantec技术，它允许每台计算机从内部LiveUpdate服务器或直接从SymantecLiveUpdate服务器上自动提取病毒定义更新。中央隔离区•是“数字免疫系统”的一部分，它对启发式检测到的新病毒或不可识别的病毒提供自动响应。受感染的项目会在SymantecAntiVirus企业版服务器和客户端上被隔离，然后转发到“中央隔离区”。“中央隔离区”可以将可疑文件自动转发到“Symantec安全响应中心”，该中心开发并返回更新后的病毒定义。SymantecAntiVirus的用途•有效地部署防护•防护病毒•响应病毒•根据连接管理SymantecAntiVirus企业版客户端•集中管理和更新安全性•验证安全状态•建立和实施策略•查看历史和事件日志数据病毒定义代码库•Symantec所提供的病毒定义代码库始终是最新的，目前的代码库中已经具备了68549多条病毒信息，我们在安装后所看到的病毒定义代码库的版本号是官方发布的版本号，它不影响我们的使用，其中的病毒定义是始终是最新的，不要因为版本号而怀疑它的内容。针对病毒定义更新的通信•病毒定义传输方法，使用两种通信形式–SymantecAntiVirus企业版服务器与它们管理的客户端通信，以验证病毒定义是否为最新–需要更新病毒定义时，SymantecAntiVirus企业版服务器将新的病毒定义更新文件推送到它们管理的客户端。通信•SymantecAntiVirus企业版一级服务器定期与其二级服务器通信，以验证二级服务器上的病毒定义文件是否为最新。如果病毒定义不是最新，一级服务器则将新的病毒定义文件推送到受影响的计算机。同样，SymantecAntiVirus企业版父服务器定期与SymantecAntiVirus企业版客户端通信，以检查它们的病毒定义文件是否为最新，它们的客户端配置设置是否为最新。如果病毒定义不是最新，父服务器则将新的病毒定义和配置数据推送到受影响的计算机。病毒定义传输方法•网络上的一级服务器从Symantec或内部LiveUpdate服务器收到新的病毒定义后，即开始执行推送操作。一级服务器将病毒定义包传送到所有二级服务器。二级服务器自动提取病毒定义并将其放在相应目录下，然后再将病毒定义推送到它们管理的客户端上。•客户端提取病毒定义并将它们放在相应目录下。•除“病毒定义传输方法”外，还可使用LiveUpdate进行病毒定义更新。如果在客户端调度了LiveUpdate会话，或者用户手动执行LiveUpdate,就会自动进行LiveUpdate通信。在LiveUpdate会话过程中，客户端可设置为连接到内部LiveUpdate服务器，也可设置为连接到SymantecLiveUpdate服务器。如果病毒定义不是最新的，客户端将从LiveUpdate服务器提取病毒定义。针对状态信息的通信•SymantecAntiVirus企业版客户端向它们的父服务器提供状态信息。默认情况下，客户端每60分钟向其父服务器发送一个称为“保持活动包”的小数据包（小于1KB）.此数据包中有该客户端的配置信息。如果客户端的父服务器收到保持活动包表明客户端没有最新的病毒定义文件或配置数据，父服务器则将相应文件推送到该客户端。防护病毒•为所有运行SymantecAntiVirus企业版的计算机设置扫描选项并运行病毒扫描•为具有同一父服务器或均为同一服务器组或客户端组成员的计算机设置扫描选项并运行病毒扫描•配置运行SymantecAntiVirus企业版客户端的32位计算机来扫描以下应用程序的电子邮件附件：–。LotusNotes客户端–使用“消息处理应用程序编程接口”(MAPI)的MicrosoftExchange/Outlook客户端.实时防护•对于计算机的扫描，有连续扫描和过程分级扫描。•连续扫描所有文件是避免感染病毒的最安全方式，但却不实用。最佳方式是将扫描过程分级处理，将目标对准那些最可能含有病毒的文件或计算机区域。实时防护•从计算机读取文件和电子邮件数据或将其写入计算机时，实时扫描会连续不断地对其进行检查。默认情况下，启用实时防护。中央隔离区•“中央隔离区”是整个防病毒策略的关键组件。默认情况下，SymantecAntiVirus企业版客户端的配置是将受感染且无法修复的项目隔离到本地“隔离区”。此外，还可手动隔离任何可疑文件。二、如何安装客户端软件•、院、系级服务器•在各院、系的服务器上安装服务端防病毒程序，先同现代教育技术中心网络部进行联系，并告诉我你服务器的IP地址，在安装前注意以下几点：•系统只支持windows2000Server、windows2003server版本.•将服务器端的所有防病毒程序、防火墙完全卸载。先将系统的各种补丁打全，然后再安装。•在安装前，请将服务器密码改掉，在安装完以后再改回。•将你服务器上安装有系统的系统驱动器设为共享，比如Ｃ盘就设为C$•将你的winnt目录设为共享，名称为admin$,这些共享目录是windows的默认的共享。•打开你的控制面板，从“管理工具”里，打开“服务”工具，将RemoteProcedureCall(RPC)服务打开。•等待安装，大约需５分钟即可安装完成，完成后，恢复你的设置，然后重启动机器即可。•从start开始，进入“程序”打开Symantec，并打开，开启服务时，系统会要密码，要密码时，请同现代教育技术中心网络部联系。•在使用过程中，服务器端不要进行任何设置即可。2、对于家庭光纤用户和单位办公机器客户端的安装•请在矿大主页上有一个病毒公告，下载客户端软件.•最好先确认机器上所有的系统补丁尽可能的打全。•再将机器上的所有的杀毒软件删除，关闭防火墙。•安装已经下载的客户端软件.•安装过程中，根据提示进行选择安装即可，当安装到“邮件管理单元”选择时，如果你使用outlook，请选择要安装的管理单元为microsoftexchange/outlook(E)，否则就不选,在安装到“网络安装类型”时，请一定要选择“接受管理”，这样病毒定义代码升级时只从我校的服务器上进行升级了，否则升级要到国外才可以的，服务器名称为ANTIVIRUS,如果找不到的话，请查找服务器地址：202.119.199.100,然后继续安装即可。•安装完成以后，一般情况下是不需要进行手动升级的，系统会自动为客户升级。•当你打开任务管理器里，会发现在进程里增加了三个进程。在安装了Symantec客户端以后，将出现如下的进程：VPTray.exe4MBRtvscan.exe12.8MBDefWatch.exe1.6MB描述:NortonAnti-Virus扫描你的文件和email以检查病毒。对于各院系办公用机器客户端安装•先确认你所在的院、系服务器是否已经安装了服务器端程序。•如果所在的院、系服务器没有安装服务器端程序，则安装步骤完全同在家庭机器上的安装。•否则，如果你希望你的机器从院、系服务器上进行病毒代码的升级，则进行如下安装步骤：•前面的安装同上1到4，只是到第5步骤在安装到“网络安装类型”时，请一定要选择“接受管理”时，如果你想用院、系的服务器进行升级，则用服务器名称为院、系服务器名,如果找不到的话，请同院、系网络管理员联系，要院、系服务器的IP地址；然后继续安装即可。三、系统进程与注册表•简单地说，进程是程序在计算机上的一次执行活动。当你运行一个程序，你就启动了一个进程。进程又分为系统进程和用户进程。系统进程主要用于完成操作系统的功能，而QQ、Foxmail等应用程序的进程就是用户进程。•进程的重要性体现在可以通过观察它，来判断系统中到底运行了哪些程序，以及判断系统中是否入驻了非法程序。正确地分析进程能够帮助我们在杀毒软件不起作用时，手动除掉病毒或木马。•如何知道系统中目前有哪些进程？在Windows98/Me/2000/XP/2003中，按下“Ctrl+Alt+Delete”组合键就可以直接查看进程，或打开“Windows任务管理器”的“进程”选项来查看进程。通常来说，系统常见的进程有winlogon.exe，services.exe，explorer.exe，svchost.exe等。要熟悉进程，首先就要熟悉最常见的系统进程，这样当发现其它奇怪的进程名（如HELLO，GETPASSWORD，WINDOWSSERVICE等等）时就方便判断了。1、系统进程•alg.execsrss.exeddhelp.exe•dllhost.exeexplorer.exeinetinfo.exe•internat.exekernel32.dlllsass.exe•mdm.exemmtask.tskmprexe.exe•msgsrv32.exemstask.exeregsvc.exe•rpcss.exeservices.exesmss.exe•snmp.exespool32.exespoolsv.exe•stisvc.exesvchost.exesystem•taskmon.exetcpsvcs.exewinlogon.exe•winmgmt.exe2、一般程序•absr.exeacrobat.exeacrord32.exe•agentsvr.exeaim.exeairsvcu.exe•alogserv.exeavconsol.exeavsynmgr.exe•backWeb.exebcb.execalc.exe•ccapp.execdplayer.execharmap.exe•cidaemon.execisvc.execmd.exe•cmesys.exectfmon.exectsvccda.exe•cutftp.exedefwatch.exedevldr32.exe•directcd.exedreamweaver.exeemexec.exe•excel.exefindfast.exefrontpage.exe•gmt.exehh.exe•hidserv.exeicq.exeiexplore.exe•irmon.exekodakimage.exeloadqm.exe•loadwc.exemad.exemcshield.exe•mgabg.exemmc.exemobsync.exe•……,以下省略几个常用的WindowsXP系统进程•taskmgr.exe2.8MB•进程文件：taskmgrortaskmgr.exe•进程名称：TheWindowsTaskManager•描述：Windows任务管理器,是Windows任务管理执行者，这是任务管理器的系统进程，在正常情况下是没有的，只有当你使用Ctrl+Alt+del组合键以后才能激活的系统进程。explorer.exe•explorer.exe12MB有的达到31MB•进程名称：程序管理•描述：WindowsProgramManager或者WindowsExplorer用于控制W