Symantec Antivirus 8.1

Symantec Antivirus Symantec Antivirus 8.18.1

諮安科技 技術服務處賴秋愷（馬蓋）　maguy@secureuni.com

Page 2

AgendaAgenda ：關於簡報：關於簡報 病毒簡介

Symantec 的防護理念• 多層次的病毒防護系統• Symantec 的防毒技術• 病毒定義檔的架構及更新方式

Symantec 的管理方式• SSC （ Symantec System Center ）• Server & Client 安裝介紹

SCS 簡介

Page 3

AgendaAgenda ：關於實作：關於實作 安裝管理員工具

• SSC （ SAV 8.1 版新功能及注意事項 Demo ）• 熟悉 SSC 操作介面

安裝伺服器• 透過 SSC 的“ AV 伺服器傳送”

安裝 Client• Packager （ Demo ）• Web Server• 光碟片直接安裝（ GRC.DAT ）

更新病毒定義檔• VDTM• *.xdb 的更新方式（手動與自動）• 下載檔案認証（ MD5 Demo ）

Page 4

Virus VS WormVirus VS Worm

VIRUS ：• 一種會複製自己並依附在其他的物件上的程式• 在物件被存取或執行時啟動• 跟隨著物件的移動而進行擴散

WORM ：• 一種會“自行”複製並傳送至下一個系統的電腦程式• 不需透過其依附物件的移動進行擴散• “ 自行”尋找下一個目標

Page 5

WormWorm 病蟲：病蟲：1. 病蟲是一獨立程式，可從一台電腦複製到另一電腦 .

2. 不像病毒 , 電腦病蟲不需寄生和電腦傳播

3. 具網路或網際際網路特性

4. 同時快速傳播給多台電腦

5. 不需依靠人類傳播

如 : VBS.LoveLetter.A;Nimda;Goner;Klez….

Page 6

Firewall

Gateway

Groupware

Server

Desktop•Desktop 層級

–for Windows 95/98//ME/XP 中文版–for NT/2K Pro Workstations 中文版–for Windows 3.x/DOS

•Desktop 層級–for Windows 95/98//ME/XP 中文版–for NT/2K Pro Workstations 中文版–for Windows 3.x/DOS

•Server 層級–for Windows NT/2K Servers 中文版– for OS/2 – for NetWare

•GroupWare 層級–Symantec AntiVirus for Lotus Notes–Symantec Mail Security for Microsoft Exchange

•Gateway 層級– Symantec AntiVirus for SMTP Gateways

•FireWall 層級–Symantec Web Security 多層次病毒防護系統

Page 7

• Symantec Client/Server 管理架構

SAV Client SAV Client SAV Client

Windows NT ServerWindows NT Workstation

Windows 2000 ServerWindows 2000 Professional

Windows 95/98Windows 3.1/DOS

SAV Server SAV ServerWindows NT Server

Windows NT WorkstationWindows 2000 Server

Windows 2000 ProfessionalNetware Server

Symantec System Center

Win/NT ServerWin/NT Workstation

Win/2000 ServerWin/2000 Professional

( Symantec AntiVirus 企業網路版 )

管理介面

被控者

控管者

Page 8

SSC 5.0 架構

Firewall SMTP Notes

Exchange W2K Server

NetWare

Windows 9x

Windows NT

Windows 2K

NT Server

Symantec System Center

Page 9

SSC 5.0 SSC 5.0 架構─集中控管各分公司防毒群組架構─集中控管各分公司防毒群組

SymantecSystemCenter

台北 Group

高雄 Group

台中 GroupSymantec

SystemCenter

SymantecSystemCenter

Page 10

企業防毒伺服器及用戶端的平台企業防毒伺服器及用戶端的平台

NetWare Server

NT/W2K Workstation

NT/W2K Server

次要 SAV 伺服器

SAV 用戶端

主要 SAV 伺服器

NetWare Server

NT/W2K Workstation

NT/W2K Server

Win9x(No win95)

NT(sp6a)/W2K Workstation

NT/W2K Server/XP

DOS/Win3x

SAV SAV 防毒主機群組防毒主機群組

Page 11

賽門鐵克防毒的技術賽門鐵克防毒的技術

SAV 企業版實現防毒解毒自動化處理• 賽門鐵克的獨家技術：

—Bloodhound 未知病毒偵測技術—掃描與傳送（ Scan & Deliver ）—Symantec AntiVirus Research Automation

（ SARA ）自動解毒機制—NAV Extensions （ NAVEX ）病毒定義檔架構

Page 12

Bloodhound Bloodhound 啟發式技術啟發式技術放棄傳統的病毒碼比對方式，改採賽門鐵克專利的啟發性

技術 (Heuristic Technology) 來檢視疑似病毒的行為

為諾頓防毒軟體內建對付未知病毒的標準功能。• 可偵測 95% 的未知巨集型病毒• 可偵測 90% 的未知開機型病毒• 可偵測 80% 的未知檔案型病毒• 已開發出偵測未知 script 型病毒的技術

Page 13

Multi-tier AV solution, single extensible Multi-tier AV solution, single extensible engine & best-of-breed utilitiesengine & best-of-breed utilities

Technology and Consulting

Systems & policymanagement

The Best of 3 WorldsThe Best of 3 Worlds…

Page 14

˙ 透過 Internet 自動將可疑的檔案傳送給 SARA

進 行分析與接受解決方案

˙ 配合保密需求，可自動將文件型檔案的內容在傳送

前移除，僅傳送可疑的巨集樣本。

掃描與傳送（掃描與傳送（ Scan & DeliveryScan & Delivery））

Page 15

賽門鐵克數位免疫系統—封閉迴路自動化機制

某企業網路

其它單位網路個人用戶工作站

工作站

工作站網路管理者主機

NAVCE 主機/ 中央隔離所

工作站

病毒警示工作站

工作站

工作站

IBM主機

病毒培養皿

分析病毒的行為與結構

取得特徵

製造解藥

12

3

5

6

7

4

病毒定義檔的架構病毒定義檔的架構

Page 17

NAVEX (Norton AntiVirus Extension)•將掃描引擎自掃描軟體中分離出來成為一個可迅速以 LiveUpdate 更新的模組。

• 所有諾頓防毒軟體均共用同一個模組。• 掃描引擎更新後無須重新啟動電腦。

掃毒應用軟體

NAVEX 掃描引擎

病毒定義檔

諾頓防毒軟體

病毒定義檔案更新通常較容易且迅速

掃描引擎必須與掃毒軟體一起更新

掃毒軟體更新較複雜且須長時間測試掃毒應用軟體

掃描引擎

病毒定義檔

其他防毒軟體

NAVEXNAVEX

Page 18

如何更新病毒定義檔？如何更新病毒定義檔？1.VDTM1.VDTM （自動）（自動）

• 主要 NAV 防毒伺服器更新後，整個群組的次要 NAV 防毒伺服器與 NAV 防毒用戶端全部全部自動背景更新自動背景更新。

2.LiveUpdate2.LiveUpdate （自動）（自動）• 所有賽門鐵克產品的最佳後援服務• 單鍵產品與病毒檔更新

3.3. 企業內 企業內 LiveUpdate LiveUpdate 伺服器（自動）伺服器（自動）• 可包含所有賽門鐵克的產品• 解決網際網路頻寬與版本一致問題

4.4. 下載病毒定義檔（自動或手動）下載病毒定義檔（自動或手動）• *.xdb 的更新方式（此方式僅適用於 SAV 8.1 版）

Page 19

1.VDTM (1.VDTM (VVirus irus DDefinition efinition TTransport ransport MMethod)ethod)

次要 SAV 伺服器

SAV 用戶端

主要 SAV 伺服器

架設 SAV 防毒群組Internet

Page 20

2.2. 透過 透過 InternetInternet 執行 執行 LiveUpdateLiveUpdate

賽門鐵克產品

賽門鐵克產品

Page 21

3.3. 架設企業集團企業內部 架設企業集團企業內部 LiveUpdateLiveUpdate 伺服器伺服器

賽門鐵克產品

賽門鐵克產品

LiveUpdate 伺服器

Page 22

4-1.4-1. 自動下載病毒定義檔 自動下載病毒定義檔 http://www.symantec.com.tw/

Page 23

4-2.4-2. 手動下載病毒定義檔 手動下載病毒定義檔 Http://www.symantec.com

Page 24

用戶端安裝：• 部署安裝• 登入檔安裝• Packager• Web Install• 網路分享SAV Client SAV Client

Primary SAV ServerSymantec System Center

Secondary SAV Server

部署安裝

Server & Client InstallationServer & Client Installation

Page 25

伺服器升級及安裝前的注意事項1. 先瞭解企業中作業系統的平台及網路架構2. 防毒伺服器請避免為該公司之網域控制站、 Mail Server或

是存 有資料庫之伺服器 3. 防毒伺服器請避免安裝二片 (含 )以上的網路卡4. 防毒伺服器請設定固定 IP位址，並確保 Computer Name解

析正常 ( 可透過 DNS ； WINS ； LMHOSTS ； HOSTS）5. 若規劃該伺服器為 Norton AntiVirus 7.x升級時 :

a. 請先移除舊版本之 Symantec System Center及其元件b. 請先移除舊版本之 Norton AntiVirus 7.x Server

c. 為避免升級後用戶端與防毒伺服器有失聯情況，升級前可在伺服器上將用戶端資料匯出

Page 26

用戶端升級及安裝前的注意事項1. 確認用戶端的作業系統是否符合 SAV 8.x之需求2. 確認用戶端的硬碟空間是否足夠 3. 確認用戶端是否可正確解析出防毒伺服器的電腦名稱4. 作業系統若為 NT/2000/2003/XP時，請確認使用者權限

6. 安裝確實關閉系統中正在執行之應用程式

5. 由於 SAV 8.x是使用 MSI 2.0模式進行安裝，因此安裝時會先更 新 MSI版本，作業系統若為 Win9x時，安裝過程中需重新啟動系統多次。

Page 27

用戶端與伺服器的溝通方式（一）用戶端與伺服器的溝通方式（一）

SAV 伺服器

SAV 用戶端

1K Status Report

用戶端預設自開機後每 60 分鐘傳送 1K 的狀態封包給伺服器。

如果一切正確，伺服器不回應。

Page 28

用戶端與伺服器的溝通方式（二）用戶端與伺服器的溝通方式（二）

SAV 伺服器

SAV 用戶端

GRC.DAT (3K)

如果設定不相符，伺服器會傳送 GRC.DAT 檔案給用戶端。

用戶端收到並自動處理 GRC.DAT 後會將其刪除。

Page 29

用戶端與伺服器的溝通方式（三）用戶端與伺服器的溝通方式（三）

SAV 伺服器

SAV 用戶端

Def. Request

如果 GRC.DAT 檔案指出病毒定義必須更新，則用戶端會向伺服器提出更新要求。

伺服器會依照要求先後順序依次排列。

Page 30

用戶端與伺服器的溝通方式（四）用戶端與伺服器的溝通方式（四）

SAV 伺服器

SAV 用戶端

Def. File (80K)

伺服器傳送定義檔案給用戶端。

用戶端自動更新掃描引擎與定義檔案

Page 31

SSC-SSC--- 集中式管理主控台集中式管理主控台提供單一管理主控台，可以容易地安裝與管理企業中多種混合平台：

- MS-DOS/Windows 3.x

- Windows 9x

- Windows NT/2000/XP

- Novell NetWare

自動地將最新的 Symantec AntiVirus 軟體、病毒定義與產品組態檔案，散佈至

用戶端與其他伺服器。（ WinXP Home & Win95 不支援）

嵌入 Microsoft Management Console （ MMC ），提供標準中文介面給使用者

。

Page 32

• 組態集中管理：– 整合用戶端管理– 邏輯群組管理，方便設定

不同部門的安全政策

諮安科技

業務部

研發部

管理部

系統部

財務部

– 鎖定政策管理，給予管理 者較彈性的政策管理– 採用累進式更新技術 --約 80k

– 持續 LiveUpdate – 只要 定義檔超過預定日期未更 新，將自動啟動背景更新– 電池檢查 – 在電池供電時，不執行定期掃描

統一管理主控台

Page 33

SSC--遠端作業與即時管理 直接地由 SSC 檢視網域內所有伺服器與用戶端，以及啟動整個企

業環境內的病毒掃除、手動或排程掃描，節省時間與力氣。

Page 34

SSC--強制執行政策˙提供完全的控制權，可以由遠端設定與監視用戶端 /伺服器的

組態，以確定已強制執行企業安全政策。

˙鎖定用戶端組態或隱藏使用者

介面，以防止使用者建立

或修改防毒設定值。

˙̇降低病毒因使用者降低病毒因使用者

違反防毒政策而侵違反防毒政策而侵

入系統的機會入系統的機會

Page 35

集中警訊與報表管理集中警訊與報表管理˙提供完整且集中化事件記錄功能，可以查詢、儲存與檢視病毒問題

˙可以快速地且徹底地辨認與移除病毒威脅，以增加系統的執行時間

與 IT 的威信

˙當發現系統中有病毒活動時，立即透過下列方法發出警示：• Internet 電子郵件 • 執行特殊程式或 SNMP警訊• 對網域、系統或使用者發出網路廣播警示

Page 36

PC 安裝與設定

OS 昇級

集中控管個人 PC設定

災難回復

緊急應變計畫緊急應變計畫 ----使用使用 GhostGhost備份電腦資料與環備份電腦資料與環境境

累加式備份

軟體派送

Page 37

VS

客戶用戶端

Intrusion Detection

AntivirusFirewall

Symantec Client

Security

Management Console

賽門鐵克提供更好的解決方案。單靠防毒產品不足以有效對抗駭客攻擊與混合式威脅 － 必須增加防火牆與入侵

偵測

。在眾多的客戶端安裝與管理多套安全產品成本甚高

。旦遭受攻擊時，想要同時從不同廠商處取得並安裝病毒定義、防火牆規則與入

侵特徵風險過大

ZoneAlarm Firewall

Management Console

Management Console

Management Console

McAfee Virus

ISS IDS

Page 38

Symantec Client Security 包含

Symantec AntiVirus 8.0 +Symantec System Center 5.0 +Symantec Client Firewall 3.0 +

Symantec Packager 1.0

Page 39

1. 防火牆規則進行連線程式控管，避免病蟲擴散2. 入侵偵測特徵，攔截並抓出亂源

1 2

Symantec 的解決方案 --SCS

Page 40

單一產品同時整合防毒、 防火牆、入侵偵測功能1.彼此會互相交談的安全防護功能─形成互相聯防的防護網2.單一部署機制─降低安裝的複雜度與部署成本3.單一管理主控台─降低用戶端防護的管理負擔和人力成本4.單一更新機制─當企業遭遇到攻擊時，提供快速反應，

整合式用戶端安全解決方案整合安全應變機制

集中式管理

Symantec Client Security 概要

Page 41

整合性的防護─不是將不同廠商產品裝在同一用戶端上

範例：

即使防毒系統被關閉，防火牆仍會自動呼叫病毒掃描功能！

針對攻擊行為的來源，入侵偵測系統會命令防火牆阻斷交通！

需具備 彼此交談 的防護技術Klez

自動呼叫防毒軟體，掃描可疑對外連線。

Page 42

• 一次更新 ( 由LiveUpdate):– 病毒定義檔– 防火牆規則– 入侵偵測特徵

單一更新機制

Page 43

完整的安全防護方案

Firewall SMTP Notes

Exchange W2K Server

NetWare

Windows 9x

Windows NT

Windows 2K

NT Server

DesktopGateway ServerGroupware

SWS Gateway

SCS用戶端安全防護

SCS用戶端安全防護

SCS用戶端安全防護

SAVSAV

Ex/Notes

Page 44

技術支援服務技術支援服務澳洲免付費技術支持中心

• 0080-1611-389 （請準備 License ID ）

Symantec Knowledge Base• http://www.symantec.com/techsupp/ （英）• http://www.symantec.com.tw/region/tw/techsupp/index.html（中）

經銷商技術服務中心

諮安科技技術服務中心• 高浩然： andy_k@secureuni.com• 賴秋愷： maguy@secureuni.com

　（請提供產品名稱；軟體版本；問題描述；作業系統；聯絡資訊；經銷商）

問題與討論