1、防毒墙网络版OfficeScan,趋势科技沈赟,内容概要,技术及互联网安全现状 网络版防毒墙OfficeScan 8.0概述 OfficeScan 8.0 服务器端的安装方式 OfficeScan 8.0 客户端的安装方式 OfficeScan 8.0 的建议配置 OfficeScan 8.0 常见问题的处理 OfficeScan 10.0 新增功能,技术及互联网安全现状,2009年中国计算机病毒疫情调查技术分析报告,国家计算机病毒应急处理中心,计算机病毒造成的主要危害,浏览器配置被篡改 密码、帐号被盗 系统(网络)无法使用 受到非法远程控制,Web威胁,间谍软件威胁,跟踪您访问的站点 监视键
2、盘输入 扫描并读取cookies中的信息 向第三方转发信息 弹出式窗口的狂轰乱炸 改变浏览器设置 在桌面上创建不需要的图标和链接,零日攻击,Microsoft Video ActiveX Control 零日攻击 Office Web Components ActiveX 零日攻击 Adobe 零日攻击 Mozilla JIT零日攻击仅一个月内就发生四起!,蠕虫病毒,WORM_DOWNAD2009头号蠕虫病毒通过微软系统漏洞MS08-067或被挂马下载相关的病毒入侵 随机连接恶意网站下载病毒组件到内网计算机中 自动生成Autorun.inf与病毒程序,通过USB自动执行功能感染其他电脑 利用猜
3、测系统弱口令密码的方式通过共享快速扩散,OfficeScan 8.0 概述,企业桌面安全解决方案,整体桌面端安全解决方案 支持Windows Vista/7/2008操作系统 集成Web信誉评估服务 全面支持X64客户端 病毒爆发预防策略 创新的U盘病毒解决方案 安全的移动的Web管理方式 完全支持Cisco NAC,整体桌面端安全解决方案,网络版的防病毒软件 网络版的软件防火墙 网络版的桌面端IDS 网络版的防间谍软件 网络版的Web威胁防御技术,支持Windows Vista/7/2008操作系统,通过微软认证 在四个核心领域方面符合要求,可靠性、安全性、兼容于Windows 全面支持 W
4、indows 2000/2003/2008 Srv Windows 2000 pro/XP/Vista/7,集成Web信誉评估服务,采用创新性的Web信誉服务技术 基于个人DNS域名信誉进行动态评估 阻断有威胁的站点,全面支持X64客户端,全面支持X64客户端 包括 防病毒 防间谍软件 防火墙 损害清除服务 病毒爆发防御策略,病毒爆发预防策略,新病毒爆发而病毒码仍在制作 根据 病毒特征 传播方式 采取动作 封阻端口 封闭共享文件夹 阻止系统文件被修改 禁止特定病毒文件写入,创新的U盘病毒解决方案,自动禁用所有磁盘(除光盘)的autorun功能 解决双击无法打开磁盘的问题 根据autorun.i
5、nf,反向查杀(已知&未知)病毒体文件和进程 检测可疑autorun.inf文件,并阻止对该文件访问 可以阻止U盘病毒通过autorun.inf激活,抑制传播,安全的移动的Web管理方式,采用Web浏览器的移动管理方式 支持SSL安全化的Web管理,完全支持Cisco NAC,集成的策略服务器 for Cisco Network Admission Control (NAC) 评估安装了OfficeScan网络版客户机上防毒组件的状态 在具有防病毒风险客户机上执行强制执行操作,OfficeScan 8.0产品架构,OfficeScan服务器端的功能,部署客户端程序到客户机 对客户机进行设置和管
6、理 更新客户端防毒软件和病毒码 设置客户端的扫描设置和调用客户机的扫描工作 接收来自客户端机器的状态信息并查看防毒活动的日志报告 接收在网络上的中毒通知和中毒警报,以及报警 部署病毒防范策略等等.,OfficeScan 服务器端的安装方式,软件需求,操作系统 MS Windows 2000 Server/Advanced Server with SP 3/4 MS Windows Server 2003 or SP1 MS Windows Server 2003 R2 32/64-bit MS Windows Storage Server 2003 32/64-bit MS Cluster S
7、erver 2000/2003 Web服务器 Microsoft IIS Windows 2000:5.0或以上 Windows 2003:6.0或以上 Apache 2.0或以上,安装前的准备工作(一),检查服务器(Windows 2000/2003)是否安装了最新的微软补丁? 确定Web Server准备使用IIS还是Apache? RPC 服务以及远程注册服务是否已经打开,安装前的准备工作(二),检查C$,ADMIN$默认共享是否打开?可以通过运行如下命令打开 net share C$=c: net share ADMIN$,安装前的准备工作(三),服务器连入网络,分配合适的IP地址 如
8、果服务器不是新装的,如曾经感染过病毒,请使用Sysclean工具对系统进行清毒处理 Sysclean需要和最新的病毒码放在同一文件夹下运行 下载地址:http:/ 本地安装 远程安装 升级 (本地或远程) 本机安装客户端,安装步骤,补丁安装,Service Pack补丁包,对于产品程序的BUG(错误)进行了重新改正后发布在其的官方网站上,供客户下载,对程序进行升级 Patch 小的程序补丁包 Hotfix 修改特定的程序bug,只修复一个程序问题,补丁的部署,服务器端自动部署到客户端 部署后修改程序的 版本号 Build号,确认安装是否成功,服务器端服务管理器 OfficeScan Maste
9、r Service 通过Web控制台可以打开并登录 https:/Server_IP:Server_Port/officescan,OfficeScan 客户端的安装方式,OfficeScan 8.0客户端灵活的安装方式,客户端安装包 Web 安装 Email 通知 远程安装 TMVS 登陆脚本 镜像安装,安装前的准备,使用具有本机管理员权限的账号登陆安装 C$, ADMIN$已开启RPC, Remote Registry服务已启动,客户端打包安装方式,由管理员制作安装包 打包工具路径 .PccsrvAdminUtilityClientPackagerClnPack.exe 源文件选择.Pcc
10、srvofcscan.ini文件 通过移动设备、网络共享等方式分发给用户执行安装,安装包制作步骤,Web安装方式,客户端必须能够解析服务器的机器名 浏览器安全级别设置 允许ActiveX控件的下载和执行 浏览器Internet选项-安全-自定义-ActiveX控件和插件 下载已签名的ActiveX控件,选择提示 运行ActiveX控件和插件,选择启用 服务器端和客户端的%windir%temp文件夹 EveryOne访问权限 读写执行权限,Web方式安装过程,登录Web管理控制台 https:/:,安装后的检查,客户端相关服务是否启动客户端图标状态 Web控制台上客户端图标状态 使用eicar
11、进行防病毒测试 eicar下载地址:www.eicar.org,OfficeScan 8.0 的建议配置,手动扫描,实时扫描,预设扫描,立即扫描,扫描例外,分别添加实时/手动/预设扫描的例外目录 针对Win NT/2000/2003/XP计算机 C:Program FilesTrend MicroOfficeScan ClientBackup C:Program FilesTrend MicroOfficeScan ClientSuspect 针对服务器 添加数据库(如MS SQL Server)的目录 添加邮件服务器(如Domino)的目录 添加特殊应用的程序目录(可选),验证连接,确保客户
12、端和服务器端的连接,服务器端更新设置,服务器端更新 从TMCM进行更新,更新源为http:/TMCM_Server_IP/tvcsdownload/activeupdate( TMCM_Server_IP为TMCM服务器IP),客户端更新设置,客户端更新 自动更新,每小时一次或每天一次 客户端采用标准更新,权限设置,非活动客户机管理,删除超过7天的非活动客户机,全局设置,手动扫描快捷方式 取消评估模式 取消报警 日志合并,爆发阻止策略,阻止共享文件夹 封闭端口 拒绝写入文件,注册到TMCM,注册到子TMCM,日志管理,保留45天日志,数据库备份,每周备份一次,Web信誉服务,对外开启Web信誉
13、,WTP 通知信息,OfficeScan 8.0 常见问题的处理,客户端看守程序,防黑模式 随机命名进程以阻止恶意程序的识别和终止,如何移动客户端(方法一),迁移所有的客户端到另外一台服务器 更改所有客户端与服务端联系的端口 该迁移动作必须通知到客户端才会生效 方法控制台管理连接设置,如何移动客户端(方法二),迁移大量客户端到另一台服务器 方法:控制台联网计算机客户机管理选择客户机管理客户机树移动客户机,如何移动客户端(方法三),对单台客户端迁移 在客户端上使用ipxfer工具迁移 方法: 复制服务器端Trend MicroOfficeScanPCCSRVAdminUtilityIpXferI
14、pXfer.exe到客户端Trend MicroOfficeScan Client目录下 在客户端使用命令行方式运行ipxfer命令加上相应参数,TMVS工具,用来评估网络中未被保护的计算机,客户机通知,当检测到病毒/恶意软件时,客户机上弹出通知消息 不希望弹出该信息框 Web控制台-客户机管理 选中需要下发命令的客户机或组 选择设置-实时扫描设置-处理措施,客户端任务栏图标显示断线状态(一),确认客户端和服务器端记录的服务器信息是否一致 客户端HKEY_LOCAL_MACHINESOFTWARETrendMicroPC-cillinNTCorpCurrentVersion下 服务器地址:Se
15、rver键值 服务器端口号:ServerPort键值 服务器端Trend MicroOfficeScanPCCSRV下ofcscan.ini文件 服务器地址:Master_DomainName参数 服务器端口号:Master_DomainPort参数 在客户端上telnet服务器端端口检测连接状况 运行cmd进入命令行模式 输入:telnet 成功黑色窗口 失败,客户端任务栏图标显示断线状态(二),验证连接 Web控制台-联网计算机-连接验证查看日志 日志-连接验证,控制台上找不到已连接的客户端(一),客户端显示在线图标参考“客户端图标显示断线状态” 检查客户端和服务器上记录的客户机信息是否一
16、致 客户端HKEY_LOCAL_MACHINESOFTWARETrendMicroPC-cillinNTCorpCurrentVersion下 客户端端口号:LocalServerPort键值 服务器端Trend MicroOfficeScanPCCSRV下ofcscan.ini文件 客户端端口号:Client_LocalServer_Port参数 在服务器端上telnet服务器端端口检测连接状况 运行cmd进入命令行模式 输入:telnet ,控制台上找不到已连接的客户端(二),找两台问题客户端计算机 打开客户端控制台,检查是否使用了相同的GUID 出现在使用Ghost等方式镜像安装的客户端
17、 使用ImgSetup工具更改问题计算机的GUID 详细说明可参考 Web控制台-工具-客户机工具-镜像安装实用程序,客户端更新失败,验证通讯状态 客户端任务栏图标显示正常 控制台上可以找到已连接的客户端 检查server.ini文件是否可以下载 浏览器地址栏输入 http:/:/OfficeScan/download/server.ini 若无法下载检查服务器或网络设置是否有阻止某类文件的下载 清空临时文件 清空产品更新目录 Trend MicroOfficeScan ClientAU_* 清空Windows临时目录 Documents and SettingsLocal SettingsT
18、emporary Internet Files,隔离目录的更改,如何更改默认的隔离目录? 在officescan服务器上新建一个文件夹(例d:virus) 共享该文件夹,并在”安全”中,给予everyone读写和运行权限 在扫描选项中,将隔离目录设为Server_IPvirus 更改.PCCSRVofcscan.ini文件 quarantine_folder=d:virus 注意:在扫描选项中使用unc路径格式,而在修改ofcscan.ini时需采用本地路径,存在流量限制的环境,网络中存在严格的流量限制或带宽比较小的环境下如何设置客户端尽快地获得病毒码的更新? 及时更新病毒码,尽可能使用增量更
19、新的方式 设置更新代理,使不同客户端从不同更新源获取更新 设置非高峰时间进行组件更新 客户端更新时,大量的并发更新连接是否会对网络有影响?如何根据实际的网络情况设置具体的客户端更新连接? 可以使用SvrTune服务器调整程序,设定并发的更新连接数量,连接超时时间,冲突问题,遇到安装了OfficeScan客户端后系统发生异常状况如何排错? 依次停止OfficeScan客户端服务,确认引起问题的模块 检查是否存在关键应用没有列入例外扫描列表 检查应用程序和系统日志的报错 检查问题发生时间点是否设置过预设任务,CDT工具介绍,功能 收到officescan 调试日志 应用场景 当程序出现异常情况 技
20、术支持要求提供调试日志 下载 http:/ 选择所要调试的问题类别,开启调试模式(start debug mode) 重现问题,等待问题重现后,关闭调试模式Stop Debug Mode,提取日志,提取日志,OfficeScan 10.0 新增功能,新功能概览,云安全扫描 (文件信誉服务) 设备控制 行为监测 (Behavior Monitoring) CPU 性能控制 Active Directory 支持 基于角色的管理 系统支持,效益更高的防毒解决方案,问题与挑战 客户抱怨病毒查杀能力不够强 病毒码占用太多终端资源以及影响到用户体验 病毒码部署太大,部署病毒码太慢并占用太多带宽资源 每两
21、秒钟一支新病毒 病毒码逐渐增长 解决方案 基于云安全2.0文件信誉技术的OfficeScan 10 云安全扫描,优势 零病毒码更新 零增长资源占用 零防护部署,价值 减少病毒清除工作 减少IT设备上的开支和投资,控制储存设备的使用,问题与挑战 阻止U盘病毒的传播 公司数据在未经授权下被复制 解决方案 OfficeScan 10 设备控制,优势 够阻止U盘病毒的传播 帮助公司阻止数据泄露,价值 少一个需要担心的病毒感染途径 更有效地监控数据泄露,保护公司秘密,降低病毒扫描对用户的影响,问题与挑战 客户抱怨手动或预设扫描过程中,计算机性能降低以及应用反应变迟缓 没办法停止或延后全机扫描 解决方案 CPU 性能控制,优势 管理员/用户可以自由选择执行预设扫描或全盘扫描的时间,价值 减少用户对防毒软件的抱怨 提升对防毒安全政策的支持度,THANK YOU!,
