Embed Size (px)
DESCRIPTION
Symantec Antivirus 8.1. 諮安科技 技術服務處 賴秋愷 (馬蓋) [email protected]. Agenda :關於簡報. 病毒簡介 Symantec 的防護理念 多層次的病毒防護系統 Symantec 的防毒技術 病毒定義檔的架構及更新方式 Symantec 的管理方式 SSC ( Symantec System Center ) Server & Client 安裝介紹 SCS 簡介. Agenda :關於實作. 安裝管理員工具 SSC ( SAV 8.1 版新功能及注意事項 Demo ) - PowerPoint PPT Presentation
Citation preview
Page 2
AgendaAgenda :關於簡報:關於簡報 病毒簡介
Symantec 的防護理念• 多層次的病毒防護系統• Symantec 的防毒技術• 病毒定義檔的架構及更新方式
Symantec 的管理方式• SSC ( Symantec System Center )• Server & Client 安裝介紹
SCS 簡介
Page 3
AgendaAgenda :關於實作:關於實作 安裝管理員工具
• SSC ( SAV 8.1 版新功能及注意事項 Demo )• 熟悉 SSC 操作介面
安裝伺服器• 透過 SSC 的“ AV 伺服器傳送”
安裝 Client• Packager ( Demo )• Web Server• 光碟片直接安裝( GRC.DAT )
更新病毒定義檔• VDTM• *.xdb 的更新方式(手動與自動)• 下載檔案認証( MD5 Demo )
Page 4
Virus VS WormVirus VS Worm
VIRUS :• 一種會複製自己並依附在其他的物件上的程式• 在物件被存取或執行時啟動• 跟隨著物件的移動而進行擴散
WORM :• 一種會“自行”複製並傳送至下一個系統的電腦程式• 不需透過其依附物件的移動進行擴散• “ 自行”尋找下一個目標
Page 5
WormWorm 病蟲:病蟲:1. 病蟲是一獨立程式,可從一台電腦複製到另一電腦 .
2. 不像病毒 , 電腦病蟲不需寄生和電腦傳播
3. 具網路或網際際網路特性
4. 同時快速傳播給多台電腦
5. 不需依靠人類傳播
如 : VBS.LoveLetter.A;Nimda;Goner;Klez….
Page 6
Firewall
Gateway
Groupware
Server
Desktop•Desktop 層級
–for Windows 95/98//ME/XP 中文版–for NT/2K Pro Workstations 中文版–for Windows 3.x/DOS
•Desktop 層級–for Windows 95/98//ME/XP 中文版–for NT/2K Pro Workstations 中文版–for Windows 3.x/DOS
•Server 層級–for Windows NT/2K Servers 中文版– for OS/2 – for NetWare
•GroupWare 層級–Symantec AntiVirus for Lotus Notes–Symantec Mail Security for Microsoft Exchange
•Gateway 層級– Symantec AntiVirus for SMTP Gateways
•FireWall 層級–Symantec Web Security 多層次病毒防護系統
Page 7
• Symantec Client/Server 管理架構
SAV Client SAV Client SAV Client
Windows NT ServerWindows NT Workstation
Windows 2000 ServerWindows 2000 Professional
Windows 95/98Windows 3.1/DOS
SAV Server SAV ServerWindows NT Server
Windows NT WorkstationWindows 2000 Server
Windows 2000 ProfessionalNetware Server
Symantec System Center
Win/NT ServerWin/NT Workstation
Win/2000 ServerWin/2000 Professional
( Symantec AntiVirus 企業網路版 )
管理介面
被控者
控管者
Page 8
SSC 5.0 架構
Firewall SMTP Notes
Exchange W2K Server
NetWare
Windows 9x
Windows NT
Windows 2K
NT Server
Symantec System Center
Page 9
SSC 5.0 SSC 5.0 架構─集中控管各分公司防毒群組架構─集中控管各分公司防毒群組
SymantecSystemCenter
台北 Group
高雄 Group
台中 GroupSymantec
SystemCenter
SymantecSystemCenter
Page 10
企業防毒伺服器及用戶端的平台企業防毒伺服器及用戶端的平台
NetWare Server
NT/W2K Workstation
NT/W2K Server
次要 SAV 伺服器
SAV 用戶端
主要 SAV 伺服器
NetWare Server
NT/W2K Workstation
NT/W2K Server
Win9x(No win95)
NT(sp6a)/W2K Workstation
NT/W2K Server/XP
DOS/Win3x
SAV SAV 防毒主機群組防毒主機群組
Page 11
賽門鐵克防毒的技術賽門鐵克防毒的技術
SAV 企業版實現防毒解毒自動化處理• 賽門鐵克的獨家技術:
—Bloodhound 未知病毒偵測技術—掃描與傳送( Scan & Deliver )—Symantec AntiVirus Research Automation
( SARA )自動解毒機制—NAV Extensions ( NAVEX )病毒定義檔架構
Page 12
Bloodhound Bloodhound 啟發式技術啟發式技術放棄傳統的病毒碼比對方式,改採賽門鐵克專利的啟發性
技術 (Heuristic Technology) 來檢視疑似病毒的行為
為諾頓防毒軟體內建對付未知病毒的標準功能。• 可偵測 95% 的未知巨集型病毒• 可偵測 90% 的未知開機型病毒• 可偵測 80% 的未知檔案型病毒• 已開發出偵測未知 script 型病毒的技術
Page 13
Multi-tier AV solution, single extensible Multi-tier AV solution, single extensible engine & best-of-breed utilitiesengine & best-of-breed utilities
Technology and Consulting
Systems & policymanagement
The Best of 3 WorldsThe Best of 3 Worlds…
Page 14
˙ 透過 Internet 自動將可疑的檔案傳送給 SARA
進 行分析與接受解決方案
˙ 配合保密需求,可自動將文件型檔案的內容在傳送
前移除,僅傳送可疑的巨集樣本。
掃描與傳送(掃描與傳送( Scan & DeliveryScan & Delivery))
Page 15
賽門鐵克數位免疫系統—封閉迴路自動化機制
某企業網路
其它單位網路個人用戶工作站
工作站
工作站網路管理者主機
NAVCE 主機/ 中央隔離所
工作站
病毒警示工作站
工作站
工作站
IBM主機
病毒培養皿
分析病毒的行為與結構
取得特徵
製造解藥
12
3
5
6
7
4
病毒定義檔的架構病毒定義檔的架構
Page 17
NAVEX (Norton AntiVirus Extension)•將掃描引擎自掃描軟體中分離出來成為一個可迅速以 LiveUpdate 更新的模組。
• 所有諾頓防毒軟體均共用同一個模組。• 掃描引擎更新後無須重新啟動電腦。
掃毒應用軟體
NAVEX 掃描引擎
病毒定義檔
諾頓防毒軟體
病毒定義檔案更新通常較容易且迅速
掃描引擎必須與掃毒軟體一起更新
掃毒軟體更新較複雜且須長時間測試掃毒應用軟體
掃描引擎
病毒定義檔
其他防毒軟體
NAVEXNAVEX
Page 18
如何更新病毒定義檔?如何更新病毒定義檔?1.VDTM1.VDTM (自動)(自動)
• 主要 NAV 防毒伺服器更新後,整個群組的次要 NAV 防毒伺服器與 NAV 防毒用戶端全部全部自動背景更新自動背景更新。
2.LiveUpdate2.LiveUpdate (自動)(自動)• 所有賽門鐵克產品的最佳後援服務• 單鍵產品與病毒檔更新
3.3. 企業內 企業內 LiveUpdate LiveUpdate 伺服器(自動)伺服器(自動)• 可包含所有賽門鐵克的產品• 解決網際網路頻寬與版本一致問題
4.4. 下載病毒定義檔(自動或手動)下載病毒定義檔(自動或手動)• *.xdb 的更新方式(此方式僅適用於 SAV 8.1 版)
Page 19
1.VDTM (1.VDTM (VVirus irus DDefinition efinition TTransport ransport MMethod)ethod)
次要 SAV 伺服器
SAV 用戶端
主要 SAV 伺服器
架設 SAV 防毒群組Internet
Page 20
2.2. 透過 透過 InternetInternet 執行 執行 LiveUpdateLiveUpdate
賽門鐵克產品
賽門鐵克產品
Page 21
3.3. 架設企業集團企業內部 架設企業集團企業內部 LiveUpdateLiveUpdate 伺服器伺服器
賽門鐵克產品
賽門鐵克產品
LiveUpdate 伺服器
Page 22
4-1.4-1. 自動下載病毒定義檔 自動下載病毒定義檔 http://www.symantec.com.tw/
Page 23
4-2.4-2. 手動下載病毒定義檔 手動下載病毒定義檔 Http://www.symantec.com
Page 24
用戶端安裝:• 部署安裝• 登入檔安裝• Packager• Web Install• 網路分享SAV Client SAV Client
Primary SAV ServerSymantec System Center
Secondary SAV Server
部署安裝
Server & Client InstallationServer & Client Installation
Page 25
伺服器升級及安裝前的注意事項1. 先瞭解企業中作業系統的平台及網路架構2. 防毒伺服器請避免為該公司之網域控制站、 Mail Server或
是存 有資料庫之伺服器 3. 防毒伺服器請避免安裝二片 (含 )以上的網路卡4. 防毒伺服器請設定固定 IP位址,並確保 Computer Name解
析正常 ( 可透過 DNS ; WINS ; LMHOSTS ; HOSTS)5. 若規劃該伺服器為 Norton AntiVirus 7.x升級時 :
a. 請先移除舊版本之 Symantec System Center及其元件b. 請先移除舊版本之 Norton AntiVirus 7.x Server
c. 為避免升級後用戶端與防毒伺服器有失聯情況,升級前可在伺服器上將用戶端資料匯出
Page 26
用戶端升級及安裝前的注意事項1. 確認用戶端的作業系統是否符合 SAV 8.x之需求2. 確認用戶端的硬碟空間是否足夠 3. 確認用戶端是否可正確解析出防毒伺服器的電腦名稱4. 作業系統若為 NT/2000/2003/XP時,請確認使用者權限
6. 安裝確實關閉系統中正在執行之應用程式
5. 由於 SAV 8.x是使用 MSI 2.0模式進行安裝,因此安裝時會先更 新 MSI版本,作業系統若為 Win9x時,安裝過程中需重新啟動系統多次。
Page 27
用戶端與伺服器的溝通方式(一)用戶端與伺服器的溝通方式(一)
SAV 伺服器
SAV 用戶端
1K Status Report
用戶端預設自開機後每 60 分鐘傳送 1K 的狀態封包給伺服器。
如果一切正確,伺服器不回應。
Page 28
用戶端與伺服器的溝通方式(二)用戶端與伺服器的溝通方式(二)
SAV 伺服器
SAV 用戶端
GRC.DAT (3K)
如果設定不相符,伺服器會傳送 GRC.DAT 檔案給用戶端。
用戶端收到並自動處理 GRC.DAT 後會將其刪除。
Page 29
用戶端與伺服器的溝通方式(三)用戶端與伺服器的溝通方式(三)
SAV 伺服器
SAV 用戶端
Def. Request
如果 GRC.DAT 檔案指出病毒定義必須更新,則用戶端會向伺服器提出更新要求。
伺服器會依照要求先後順序依次排列。
Page 30
用戶端與伺服器的溝通方式(四)用戶端與伺服器的溝通方式(四)
SAV 伺服器
SAV 用戶端
Def. File (80K)
伺服器傳送定義檔案給用戶端。
用戶端自動更新掃描引擎與定義檔案
Page 31
SSC-SSC--- 集中式管理主控台集中式管理主控台提供單一管理主控台,可以容易地安裝與管理企業中多種混合平台:
- MS-DOS/Windows 3.x
- Windows 9x
- Windows NT/2000/XP
- Novell NetWare
自動地將最新的 Symantec AntiVirus 軟體、病毒定義與產品組態檔案,散佈至
用戶端與其他伺服器。( WinXP Home & Win95 不支援)
嵌入 Microsoft Management Console ( MMC ),提供標準中文介面給使用者
。
Page 32
• 組態集中管理:– 整合用戶端管理– 邏輯群組管理,方便設定
不同部門的安全政策
諮安科技
業務部
研發部
管理部
系統部
財務部
– 鎖定政策管理,給予管理 者較彈性的政策管理– 採用累進式更新技術 --約 80k
– 持續 LiveUpdate – 只要 定義檔超過預定日期未更 新,將自動啟動背景更新– 電池檢查 – 在電池供電時,不執行定期掃描
統一管理主控台
Page 33
SSC--遠端作業與即時管理 直接地由 SSC 檢視網域內所有伺服器與用戶端,以及啟動整個企
業環境內的病毒掃除、手動或排程掃描,節省時間與力氣。
Page 34
SSC--強制執行政策˙提供完全的控制權,可以由遠端設定與監視用戶端 /伺服器的
組態,以確定已強制執行企業安全政策。
˙鎖定用戶端組態或隱藏使用者
介面,以防止使用者建立
或修改防毒設定值。
˙̇降低病毒因使用者降低病毒因使用者
違反防毒政策而侵違反防毒政策而侵
入系統的機會入系統的機會
Page 35
集中警訊與報表管理集中警訊與報表管理˙提供完整且集中化事件記錄功能,可以查詢、儲存與檢視病毒問題
˙可以快速地且徹底地辨認與移除病毒威脅,以增加系統的執行時間
與 IT 的威信
˙當發現系統中有病毒活動時,立即透過下列方法發出警示:• Internet 電子郵件 • 執行特殊程式或 SNMP警訊• 對網域、系統或使用者發出網路廣播警示
Page 36
PC 安裝與設定
OS 昇級
集中控管個人 PC設定
災難回復
緊急應變計畫緊急應變計畫 ----使用使用 GhostGhost備份電腦資料與環備份電腦資料與環境境
累加式備份
軟體派送
Page 37
VS
客戶用戶端
Intrusion Detection
AntivirusFirewall
Symantec Client
Security
Management Console
賽門鐵克提供更好的解決方案。單靠防毒產品不足以有效對抗駭客攻擊與混合式威脅 - 必須增加防火牆與入侵
偵測
。在眾多的客戶端安裝與管理多套安全產品成本甚高
。旦遭受攻擊時,想要同時從不同廠商處取得並安裝病毒定義、防火牆規則與入
侵特徵風險過大
ZoneAlarm Firewall
Management Console
Management Console
Management Console
McAfee Virus
ISS IDS
Page 38
Symantec Client Security 包含
Symantec AntiVirus 8.0 +Symantec System Center 5.0 +Symantec Client Firewall 3.0 +
Symantec Packager 1.0
Page 39
1. 防火牆規則進行連線程式控管,避免病蟲擴散2. 入侵偵測特徵,攔截並抓出亂源
1 2
Symantec 的解決方案 --SCS
Page 40
單一產品同時整合防毒、 防火牆、入侵偵測功能1.彼此會互相交談的安全防護功能─形成互相聯防的防護網2.單一部署機制─降低安裝的複雜度與部署成本3.單一管理主控台─降低用戶端防護的管理負擔和人力成本4.單一更新機制─當企業遭遇到攻擊時,提供快速反應,
整合式用戶端安全解決方案整合安全應變機制
集中式管理
Symantec Client Security 概要
Page 41
整合性的防護─不是將不同廠商產品裝在同一用戶端上
範例:
即使防毒系統被關閉,防火牆仍會自動呼叫病毒掃描功能!
針對攻擊行為的來源,入侵偵測系統會命令防火牆阻斷交通!
需具備 彼此交談 的防護技術Klez
自動呼叫防毒軟體,掃描可疑對外連線。
Page 42
• 一次更新 ( 由LiveUpdate):– 病毒定義檔– 防火牆規則– 入侵偵測特徵
單一更新機制
Page 43
完整的安全防護方案
Firewall SMTP Notes
Exchange W2K Server
NetWare
Windows 9x
Windows NT
Windows 2K
NT Server
DesktopGateway ServerGroupware
SWS Gateway
SCS用戶端安全防護
SCS用戶端安全防護
SCS用戶端安全防護
SAVSAV
Ex/Notes
Page 44
技術支援服務技術支援服務澳洲免付費技術支持中心
• 0080-1611-389 (請準備 License ID )
Symantec Knowledge Base• http://www.symantec.com/techsupp/ (英)• http://www.symantec.com.tw/region/tw/techsupp/index.html(中)
經銷商技術服務中心
諮安科技技術服務中心• 高浩然: [email protected]• 賴秋愷: [email protected]
(請提供產品名稱;軟體版本;問題描述;作業系統;聯絡資訊;經銷商)
問題與討論
