NVWE部署案例

田剑辉江苏驻点工程师NVWE部署案例分享Copyright2007-TrendMicroInc.内容•NVWE在内网环境中如何对客户端进行强制策略•NVWE与上网行为设备的兼容性•TroubleShootingCopyright2007-TrendMicroInc.NVWE在内网环境中如何对客户端进行强制策略•政府网，不连外网•客户需要利用NVWE达到客户端强制安装OSCE客户端•要防ARP欺骗Copyright2007-TrendMicroInc.NVWE在内网环境中如何对客户端进行强制策略要点：•客户端每天需要访问OA服务器Copyright2007-TrendMicroInc.NVWE与行为管理设备的兼容性要点：客户端PEAGENT正常安装后，符合制定的策略，但是不能上网Copyright2007-TrendMicroInc.NVWE与行为设备的兼容性要点：上网行为设备会改变客户端的MAC地址，把我们设备放靠近三层核心设备Copyright2007-TrendMicroInc.TroubleShooting需要知道的：PC：1、PEAgent的安装日志：%windir%\PEAgentDeploylog.txt2、PEAgentReaccess日志：%windir%\PEAgent\PEAgentlog.txt3、HLKM\Software\TrendMicro\PolicyEnforcerNVWE：1、Web-Logs-EventLog/NetworkVirusLog/EndpointHistory2、超级终端-ViewSystemLogsCopyright2007-TrendMicroInc.NVWE光纤卡•NVWE的光口和电口可以共同工作•如何确认光纤卡是否被识别出来PORT6、7、8、9状态为DIS，而不是N/A•NVW支持5种光纤卡，分别如下：IntelPRO/1000MFDualPortServerAdapterIntelPRO/1000MFSinglePortServerAdapter(LX)SilicomDualPortFiber(SX)GigabitEthernetPIC-XBypassServerAdapterSilicomDualPortFiber(LX)GigabitEthernetPCI-XBypassServerAdapterSilicomDualPortCopperGigabitEthernetPCI-XBypassServerAdapter其中：Silicom的光纤卡为支持Lanbypass(FailOpen)模式的光纤卡Intel的光纤卡的控制芯片型号为：82546EB,82545EMand82545GMCopyright2007-TrendMicroInc.PortRedundency模式设置与FailOpen•PortRedundency与FailOpen在PortRedundency模式下，FailOpen的端口是成对对应的。Ports1and2Ports6and7Ports8and9•link-state的作用•FailOver模式注意事项FailOver模式必须保证2台设备的程序文件是一样的，型号一样。交换机必须启用STP(SpanningTreeProtocol)不要自动更新设备的程序文件Copyright2007-TrendMicroInc.客户端没有开始安装PEAgent(ActiveX)•策略没有设置好•防火墙导致问题(DISABLE设置)•强制策略只对第一个数据包进行检测。关闭ＩＥ重新打开•在Global的例外列表或者NetworkZone的例外列表中•网络路由有问题，NVWE静态路由配置问题•检查NVWE的EndpointHistory，确认客户端没有在符合策略的列表中。Copyright2007-TrendMicroInc.PEAgent为灰色图标灰色表示PEAgent无法与NVWE的5088端口进行通信，可能原因：1、NVWE的端口无法访问到。（管理VLAN的问题）2、PEAgent没有NVWE的IP和端口的信息。使用msi安装的PEAgent会发生这种情况。使用以下方式来解决：•PEAgent.exe/stop•PEAgent.exe/initpersistNVW_IP:5088•PEAgent.exe/stop•PEAgent.exe/startCopyright2007-TrendMicroInc.NVWE无法更新•DNS解析问题(由于电信查询结果异常导致，至内核察看更新日志）•NVWE在管理网段，该网段无法访问外网。•与外网隔离，无法访问Internet•解决方法：1、通过修改过配置的AURS进行更新2、手动搭建ActiveUpdate网站进行更新Copyright2007-TrendMicroInc.2台NVWE时的过程当一台客户端经过2台NVWE时会发生什么情况？•都有可能被2台NVWE管理到•PEAgent会在不同时期内指向不同的NVWE•此种情况下建议每台设备管理自己的网段，不要交叉管理。Copyright2007-TrendMicroInc.NVWE的时间设置1、NTP服务器2、通过TMCM服务器的NTP服务来更新时间。3、通过NVWE的BIOS进行时间设置a.在NVWE重新启动的时候，在自检过程中按DEL（和PC类似)进入BIOS界面。b.输入密码为qZTSpdumc.在BIOS界面中设置时间。d.超级终端参数设置：虚拟终端设置：ＮＶＷＥ启动时：虚拟终端选择ＶＴ１００Ｊ。进入ＢＩＯＳ后，虚拟终端选择ＡＵＴＯCopyright2007-TrendMicroInc.杀毒软件无法检测到•查看NVWE日志和PEAgent日志确认检测结果：%windir%\PEAgent\PEAgentlog.txt超级终端-ViewSystemLogs•提交客户端安装程序•一个月会有一次统一的更新Copyright2007-TrendMicroInc.杀毒软件侦测问题•客户启用了强制策略，发现在部分安装了OSCE8.0的客户端，PEAgent无法检测到OSCE。•查看客户端的PEAgent日志文件(%windir%\PEAgent\PEAgentlog.txt)文件，发现如下内容信息：2008-05-2616:53:50TmPEATaskAV:detectedAVproduct:[TrendMicroOfficeScanClient]2008-05-2616:53:51TmPEATaskAV:detectedAVproduct:[Kasperskyunknownproduct]Copyright2007-TrendMicroInc.杀毒软件侦测问题•解决方法：1、进入系统安全模式。2、执行netstopwinmgmt3、删除%windir%\system32\wbem\Repository目录下所有内容。4、重新启动计算机。5、再次确认检测是否存在问题。如果需要做一个脚本，则可以使用以下内容：@echooffnetstopwinmgmtdel/S/Q/F%windir%\system32\wbem\RepositoryCopyright2007-TrendMicroInc.部署NetworkViruswallEnforce2.1版本后，如何确认防arp功能是否有在工作？•1、确认在控制台上有启用预防ARP欺骗的功能。2、确认客户端PEAgent安装成功，并且有启用。3、检查客户端arp表：在命令行中输入arp-a在输出的arp表中，应看到网关的记录类似为静态(Static)Copyright2007-TrendMicroInc.•4、检查c:\windows\PEAgent\arpcorp.txt文件。如果日志中有如下内容，则表示arp欺骗监控工作正常。ARPCop:Readytoinstall:C:\WINDOWS\PEAgent\arpcopzip.exe-dir-silent-overwriteC:\WINDOWS\PEAgent\arpcopzip.exeARPCop:TheC:\WINDOWS\system32\wpcap.dllisalreadyexist.ItmaycauseARPCopmalfunctionARPCop:TheC:\WINDOWS\system32\Packet.dllisalreadyexist.ItmaycauseARPCopmalfunctionARPCop:TheC:\WINDOWS\system32\WanPacket.dllisalreadyexist.ItmaycauseARPCopmalfunctionARPCop:TheC:\WINDOWS\system32\drivers\npf.sysisalreadyexist.ItmaycauseARPCopmalfunctionARPCop:Initializing..MAC=[00:1d:60:82:7c:c8]ARPCop:Initializing..IP=[10.2.20.39]ARPCop:starttimerwithtimeout[30000].ARPCop:Getdevicename:rpcap://\Device\NPF_GenericDialupAdapterARPCop:Getdevicename:rpcap://\Device\NPF_{C65554B6-54F8-45E2-BB1A-0011B5B13507}Copyright2007-TrendMicroInc.启用arp欺骗监控后，PEAgent没有发现测试软件netcut.exe问题描述:用户使用netcut.exe攻击进行arp欺骗监控测试，但发现该软件没有被PEAgent终止。查看c:\windows\peagent\arpcorp.txt日志，发现如下错误信息：ARPCop:Readytoinstall:C:\WINDOWS\PEAgent\arpcopzip.exe-dir-silent-overwriteC:\WINDOWS\PEAgent\arpcopzip.exeARPCop:TheversoinofWinPCapisdifferent.Stopourtask.ARPCop:InitInstall()failed.解决方法：请确认该客户端没有安装winpcap软件或者带有npf.sys驱动的软件。如果有安装，请卸载该软件。然后再次重新启动计算机。Copyright2007-TrendMicroInc.部署NetworkViruswallEnforcer2.1版本的PEAgent后，检查%windir%\PEAgent\arpcorp.txt文件，发现防arp模块并没有加载，该如何解决？问题描述Copyright2007-TrendMicroInc.2020/2/2222ClassificationThankYou