大型网络中使用IIS发布ESET NOD32更新镜像

大型网络中使用IIS发布ESETNOD32更新镜像在ESETNOD32企业版中，客户端升级病毒库可以采用2种方式：1.使用共享文件夹更新；（客户端升级地址类似为:file://serverip\share）2.发布内部HTTP更新镜像。(客户端升级地址类似为：)ESETNOD32企业版默认是采用发布HTTP镜像来提供升级服务，其自带的HTTP镜像在中小型网络中使用很方便，但是在大型网络中却存在一定的局限性，例如不能够灵活定制某个网段客户端的升级权限。下面就为大家介绍如何变换发布方法，使用IIS来发布ESETNOD32更新镜像。采用IIS提供更新文件的发布，大大降低了终端升级对系统资源的占用，同时通过IIS发布服务运行更加稳定，假死现象及终端无法顺利下载等问题完全消失。具体步骤如下。第一步：首先在建立的ESETNOD32网络防毒体系中的同步服务器上打开ESETNOD32程序，然后选择F5进入“高级设置”，在选择“其它”—“许可证”,将企业版的授权许可证导入进去，按确定。再次返回高级设置窗口，选择“更新”-“镜像”标签，然后取消“通过内部HTTP服务器提供更新文件”前的对勾，这样NOD32将不再利用自己的发布程序来提供更新文件服务。第二步：默认情况下NOD32网络版升级文件都存储在C:\DocumentsandSettings\AllUsers\ApplicationData\ESET\ESETSmartSecurity\mirror目录下，因此我们变换发布选择IIS时也主要针对此目录即可。最好的测试办法就是在该目录下添加一个名为index.htm的文件，可以用记事本建立一个TXT文本文件输入几个字符，然后将其名称与后缀名强行修改为index.htm并保存退出。第三步：接下来启动服务器上的IIS，然后通过“新建网站”建立一个站点，这个站点的主目录就是上文提到的C:\DocumentsandSettings\AllUsers\ApplicationData\ESET\ESETSmartSecurity\mirror目录。同时TCP发布端口也要与之前配置的终端升级端口相符，一般默认端口为2221（具体数字可以到服务器NOD32的“通过内部HTTP服务器提供更新文件”-“高级设置”查询）第四步：发布主目录标签下选择“读取”权限即可，不需要给予写入或目录浏览等权限，否则容易带来安全问题。第五步：发布完毕后我们进行调试，选择“浏览”网站如果可以看到index.htm文件中填写的文本内容即可。第六步：我们可以在终端计算机上通过http://服务器地址:发布端口来访问，如果也能够看到index.htm文件中填写的文本内容就说明发布工作彻底成功了。不过我们还需要针对IIS发布文件的MIME类型进行配置，如果不配置终端升级病毒库时会出现“找不到升级文件”的错误提示。在服务器IIS管理器中选择“HTTP头”标签，然后点“MIME类型”按钮。第七步：在MIME类型窗口中通过新建建立三个MIME文件扩展条目，第一个扩展名是.nup，类型是application；第二个扩展名是.ver，MIME类型是application；第三个扩展名是.mod，MIME类型是application。建立完毕后确定即可。第八步：添加MIME类型后我们的终端就可以顺利更新了。实际上这是因为默认情况下IIS无法识别.nup与.ver和.mod升级文件，默认并不容易他们被IIS来宾所访问，添加MIME后上述问题解决，终端计算机才可以顺利的通过升级文件，从而顺利的更新病毒库升级问。二．高级功能在经过上面的基本设置后，ESETNOD32的客户端就可以连接到服务器升级病毒库了，如果我们还需要一些更加高级的设置，例如设置客户端连接到服务器升级需要用户名和密码、仅仅允许某个网段内的机器升级病毒库等等，则需要参照如下部分：（1）针对IP地址进行管理与控制：第一步：我们依旧按照上文所说的方法通过IIS来发布病毒库更新文件，接下来在对应的发布站点属性窗口中选择“目录安全性”，然后点IP地址和域名限制右下角的“编辑”按钮，在这里我们可以针对访问该站点（病毒库升级文件）的源IP地址范围进行限制，例如设置默认情况下所有计算机都将被“拒绝访问”，同时“添加”某个网段计算机的授权访问。第二步：添加过程中是支持针对网段进行管理与控制的，例如笔者选择只容许192.168.1.0255.255.255.0这个网段的主机通过本服务器进行NOD32病毒库升级。第三步：确认完毕后最终效果就是默认情况下所有计算机都将被拒绝访问本服务器发布的病毒库文件升级目录，除了192.168.1.0255.255.255.0这个网段内的主机可以顺利升级。图11第四步：这样当源地址不是合法IP段的NOD32终端机升级病毒库时，即使服务器地址，端口等信息填写正确，在升级时也会出现“病毒库无法更新，未经授权的访问”这个错误提示，从而最大限度的解决了非授权终端的非法升级问题。（2）针对用户名和密码进行管理与控制：上文介绍的通过地址进行限制固然是个好办法，但是在实际中可能服务器地址被公开，如果不设置用户名和密码，则任何知道服务器IP的人都可以连接到服务器升级病毒库，解决的方法就是通过IIS的帐户验证功能我们可以实现只有知道了合法的用户名和密码的终端才能够顺利的通过内网同步更新服务器来升级病毒库。具体操作如下。第一步：我们继续打开IIS发布的NOD32病毒库升级站点的“属性”窗口，选择“目录安全性”标签，然后点身份验证和访问控制旁边的“编辑”按钮，将默认的“启用匿名访问”前的对勾去掉。第二步：在用户访问需经过身份验证处选择“集成身份验证”。然后确定。第三步：接下来建立一个具备一定权限的系统帐户，当然不推荐使用“管理员权限”，选择C:\DocumentsandSettings\AllUsers\ApplicationData\ESET\ESETSmartSecurity\mirror目录，设置其“安全属性”，添加该帐户对MIRROR目录有“读取和运行，列出文件夹目录，读取”权限。第四步：确定后我们在终端上升级病毒库时就需要身份验证了，必须输入了与之前添加的系统帐户一致的信息才能够实现更新功能。例如笔者之前添加的系统帐户是antivirusserver，密码为111111。那么添加后终端升级时出现的“许可证详细信息”窗口中也要填写用户名antivirusserver，密码111111。第五步：输入正确的身份验证信息后终端NOD32才能够顺利更新病毒库文件。总结：由于ESETNOD32企业版中内置的更新服务器在默认没有开启http服务身份验证，而且使用其自带的HTTP镜像发布工具不能限制某些网段的计算机访问。如果此服务器拥有公开IP,并且对外开放了相应端口，就有可能被公司以外的其它人连接上来升级。而在这种情况下我们就可以利用本文介绍的方法，通过单独架设IIS或者Apache服务器来增加身份验证，包括帐户验证以及源IP地址验证等，不管哪种方式都能够最大限度的解决默认设置产生的安全与管理缺陷。