Symantec AntiVirus10.x完全技术手册

1SymatecAntiVirus基础知识：1.1Symantec防病毒产品线单机版NortonAntiVirus2002/2003/2004/2005/2006/2007；NortonInternetSecurity2002/2003/2004/2005/2006/2007；NortonPersonalFirewall2006；Norton360；企业版SymantecAntiVirus7.6/8.1/9.0/10.0/10.1/10.2；SymantecClientSecurity1.0/2.0/3.0/3.1/3.2；1.2概述：SAV即SymantecAntiVirus（Symantec企业版防病毒产品）；1.3功能：增强对间谍软件、木马、钓鱼软件、广告软件等威胁的防护能力；新增“防篡改”功能，防止防病毒客户端的进程、服务被病毒结束；增强的病毒处理能力，可以结束病毒的进程，再对病毒文件、受影响注册表键值进行处理；新增报告服务器功能，可根据时间、病毒名称等，通过图形化报表的形式进行统计报告；防病毒客户端、服务器之间的通信采用PKI体系进行认证、加密。1.4版本：程序版本：10.1.5.5000、扫描引擎：71.1.0.11（当前状态，可随病毒库升级）；1.5系统组件：SymantecSystemCenter；SymantecAntiVirus服务器端；SymantecAntiVirus客户端；SymantecLiveupdate实用工具；Symantec报告服务器；Symantec中央隔离区服务器；1.6通讯端口：SAV10.X：TCP2967；SAV7.X、8.X、9.X：UDP2967；1.7通讯过程：具备SAV服务器的GRC.DAT文件（服务器标识）NETBIOS解析对方计算机名称；PKI证书认证对方是否可信；下载病毒库和策略配置；1.8通讯机制：SAV客户端每天第一次开机后会主动连接SAV服务器，；SAV服务器在自身更新完最新的病毒库后会主动向接受管理的SAV客户端推送此此病毒库和策略配置；SAV服务器和SAV客户端日常通信周期是每60分钟通信一次；1.9SAV常用程序路径说明：PKI证书路径：C:\ProgramFiles\SymantecAntiVirus\pki\roots病毒库文件路径：C:\ProgramFiles\CommonFiles\SymantecShared\VirusDefs日志文件路径：C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\SymantecAntiVirusCorporateEdition\7.5\Logs隔离区路径：C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\SymantecAntiVirusCorporateEdition\7.5\Quarantine迁移客户端操作：将新的SAV服务器的GRC.DAT文件拷贝到此SAV客户端：C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\SymantecAntiVirusCorporateEdition\7.51.10SAV主进程：Rtvscan.exe；1.11SAV主服务名称：SymantecAntivirus；2SymatecAntiVirus安装说明：2.1SAV10.1服务器安装准备：支持Win2000/2003Server操作系统；建议使用Xeon处理器、1G以上内存、60GB以上硬盘、单网卡的专用服务器；建议1台SAV服务器管理2000台以内的SAV客户端；建议设置复杂的操作系统密码、修补操作系统关键补丁程序；如：Win2000Server+SP4+IE6+IIS+SQL；如：Win2003Server+SP1+IIS+SQL；注意：安装时要启用网卡、开启Windows默认共享。2.2SAV10.1服务器的安装过程：2.3SAV10.1报告服务器安装前准备：必须安装IIS4.0以上的版本；建议安装SQLServer2000企业版，同时安装SP3或更高的补丁；建议设置复杂的SQLSA帐户的密码，同时将SQL安全性设置为：“SQLServer和Windows”选择“接受协议”，进行下一步的安装；配置报告服务器admin帐号的密码；选择“在本机数据库上安装”如果使用MSDE安装需设置SQLSA帐户密码；如果使用SQL2000安装输入SQLSA帐户密码；2.4SAV10.1客户端安装准备：不支持Windows98SE/NT操作系统；建议终端计算机的内存配置高于256MB；2.5SAV10.1系统中心的安装：选择“接受协议”，进行下一步的安装；选择安装组件，进行下一步的安装；配置安装程序路径；3SymatecAntiVirus策略配置：3.1将指定SAV服务器升级为一级服务器3.2客户端日志转发SSC－SAV服务器组－所有任务－SymantecAntiVirus－客户端日志转发3.3病毒定义管理器SSC－SAV服务器组－所有任务－SymantecAntiVirus－病毒定义管理器3.4客户端自动防护选项SSC－SAV服务器组－所有任务－SymantecAntiVirus－客户端自动防护选项3.5客户端防篡改选项SSC－SAV服务器组－所有任务－SymantecAntiVirus－客户端防篡改选项3.6客户端管理员专用选项SSC－SAV服务器组－所有任务－SymantecAntiVirus－客户端管理员专用选项3.7服务器调整选项SSC－SAV服务器组－所有任务－SymantecAntiVirus－服务器调整选项4SymatecAntiVirus日常维护：4.1SAV客户端部署注意事项：建议使用WINS或DNS等自动方式实现SAV客户端正常解析SAV服务器的计算机名称的要求；不支持Win98Se操作系统，支持Win2000/XP/2003等操作系统，建议终端计算机的内存配置在256MB以上时可部署SAV客户端；对于在局域网部署的可接受管理的SAV客户端，必须具备SAV服务器的GRC.DAT和PKI证书文件；对于已安装Norton单机版或其他防病毒、防火墙软件的客户端需先卸载后再安装SAV3.1客户端；建议设置复杂的操作系统管理员密码、修补操作系统关键系统补丁、关闭多余的系统后台服务、尽量只开放只读的共享目录；4.2SAV报告服务器的维护：定期登录报告服务器查看客户端日志；定期登录报告服务器生成客户端报告；4.3SAV系统中心的维护：此控制台可以安装在局域网内任意计算机上，只要保证可跟SAV服务器正常通讯即可；定期查看客户端感染病毒、木马等安全风险的状态；定期查看客户端病毒定义库升级清苦；定期查看指定服务器的客户端总数；4.4SAV服务器的病毒库升级维护：通过SSC的策略配置实现SAV服务器定时自动的更新病毒库；SAV病毒库升级的3种方式：SAV客户端每天第一次开机后会主动连接SAV服务器，如有比SAV客户端本地的病毒库更新的病毒库时，即会自动下载并更新的；SAV服务器在自身更新完最新的病毒库后会主动向接受管理的SAV客户端下发此最新的病毒库的；SAV服务器和SAV客户端日常通信周期是每60分钟通信一次；手动升级SAV服务器病毒库方式：访问Symantec官方病毒库下载地址：下载XDB文件并拷贝到SAV服务器的以下目录：C:\ProgramFiles\SAV\SymantecAntiVirus再重启SAV服务器的SymantecAntiVirus服务即可；4.5SAV防病毒策略维护：配置SAV服务器定时自动升级病毒库；兼容低版本的SAV客户端管理方式；强制SAV客户端防病毒策略；修改卸载密码；5SymatecAntiVirus常见问题处理：5.1如何解决SAV服务器无法升级病毒库问题：解析Symantec升级地址正常：liveupdate.symantecliveupdate.com排错时查看SAV服务器的系统日志，确定升级失败的可能性；5.2如何解决SAV客户端无法升级病毒库问题：保证SAV客户端解析SAV服务器的计算机名称正常；保证SAV客户端具备SAV服务器的PKI证书；手动重启SAV客户端的SymantecAntiVirus服务以加快升级速度；排错时可以查看SAV客户端的系统日志，确定升级失败的可能性5.3如何解决SAV报告服务器无法登录问题：登录报告服务器（ReportingServer）时提示帐号锁定或禁用导致无法登录：解决方法：登录到SAV10.1服务器，进入CMD命令行模式下。osql–EUseReporting;UpdateadminusersetLocked=’’whereusername=’admin’;goexit5.4如何安全彻底的查杀病毒：断开网络；关闭WindowsXP系统还原功能；升级到最新的病毒库；进入操作系统的安全模式下查杀病毒；对于特定病毒可以使用专杀工具；设置复杂的操作系统管理员密码；修补操作系统关键系统补丁；6SymatecAntiVirus版本升级操作：6.1升级的原因SymantecAntiVirus10.1.0.394版本的防病毒系统存在技术漏洞（SYM06-010漏洞），并且已有W32.SpyBot.Worm的变种病毒已利用此漏洞，可能造成此版本的防病毒系统缓冲区堆栈溢出，从而导致SAV服务意外终止和远程攻击者获得本地管理员权限；受影响的SymantecAntiVirus版本：10.0.2.2010、10.0.2.2020、10.1.0.394；解决方法：升级至SAV10.1.5.5000版本；6.2如何将SAV服务器从SAV10.1.0.394升级到SAV10.1.5.5000版本卸载SAV10.1.0.394版的服务器端程序；控制面板—添加删除程序—SymantecAntiVirus—卸载；卸载SAV10.1.0.394版的SSC系统控制台程序；控制面板—添加删除程序—SymantecSystemCenter—卸载；卸载SAV10.1.0.394版的报告服务器程序；控制面板—添加删除程序—ReportingServer—卸载；安装SAV10.1.5.5000版的服务器端程序；安装SAV10.1.5.5000版的SSC系统控制台程序；安装SAV10.1.5.5000版的报告服务器程序；“注意备份SAV10.1服务器的PKI证书文件夹，默认路径：C:\ProgramFiles\SAV\PKI”6.3如何将SAV服务器从SAV7.X、8.X、9.X升级到SAV10.1.5.5000版本卸载SAV7.X、8.X、9.X版的服务器端程序；控制面板—添加删除程序—SymantecAntiVirus—卸载；卸载SAV7.X、8.X、9.X版的SSC系统控制台程序；控制面板—添加删除程序—SymantecSystemCenter—卸载；安装SAV10.1.5.5000版的服务器端程序；安装SAV10.1.5.5000版的SSC系统控制台程序；安装SAV10.1.5.5000版的报告服务器程序；“SAV7.X、8.X、9.X可以在不卸载的情况下，采取更新安装的方式升级到SAV10.1.5.5000版本”“注意备份SAV10.1服务器的PKI证书文件夹，默认路径：C:\ProgramFiles\SAV\PKI”6.4如何恢复对原有SAV10.1客