中国石化Symantec_SEP110_防病毒培训教材

中国石化SymantecSEP11.0防病毒培训教材主讲人：焦宏亮2009年08月24日目录1、SEP11.0产品功能和优势简介2、SEP11.0安装部署说明3、SEP11.0策略配置说明4、SEP11.0日常运维说明5、SEP11.0常见技术问题解决方法6、SEP11.0客户端常见安装问题解决方法7、SEP11.0SEPM服务器灾难恢复处理方法8、资料获取、技术支持、操作演示和现场答疑2•Symantec防病毒与先进的威胁防护技术结合起来•单一的解决方案提供终端安全防护•单代理、单控制台结果:降低了成本、复杂度，减少了风险的暴露增强了保护、控制和管理性防病毒防间谍软件防火墙(主机)入侵防护设备控制应用控制(网络)入侵防护3SNAC11.0防病毒及防间谍软件网络威胁防护主主动性威胁防护网络准入控制Symantec端点安全管理器防病毒及防间谍软件检测、拦截和移除病毒间谍软件Rootkits其他恶意软件主动性威胁防护针对零时差攻击提供保护基于策略拦截对设备的访问网络威胁防护检测和拦截外部威胁进出数据访问控制位置感知的策略网络访问控制强制端点遵守安全策略拦截未授权的端点的访问行为防护来自远程办公员工带来的危害SEP11.0模块4LaptopsDesktopsSQL数据库-Policies-Events&Logs-SecurityContent-ReportingData-StateInformation-UpdatesandPatchesJava控制台-PolicyManagement-AgentManagement-RolesandAdministration-LaunchReports-ViewAlertsServers客户端SymantecEndpointClient管理服务器SymantecEndpointProtectionManager(SEPM)HTTPStoApacheHTTPtoIISforReportsSEP11.0架构5防病毒和防间谍软件的主要功能•最好的防护恶意软件的产品•强化了实时保护和拦截功能•自动清除•强化了对间谍软件的防护•新增的rootkit保护功能,裸磁盘扫描•改善了性能，为系统提供更好的保护，同时降低了对系统的影响犯罪软件间谍软件蠕虫病毒防病毒及防间谍软件的主要功能6用户模式内核模式Windows文件系统卷管理器删除器物理磁盘MS文件系统API直接卷访问现在的删除器Rootkit挂点间谍软件和Rootkit引擎•可扩展的“清除器”修复引擎，•自动更新，能够持续不断的改善•不依赖于新版本发布•提高病毒查杀能力•SEP11.0的强化•更底层的rootkit检测•直接裸硬盘扫描-用户模式Rootkits影响用户模式安全软件和用户模式操作系统-内核模式Rootkits影响文件系统和操作系统内核间谍软件检测和移除的改善7网络威胁防护的主要特性•最好的基于规则的应用防火墙•IPS引擎•对漏洞利用攻击的一般性拦截(GEB)•基于包或流的IPS•定制的IPS签名，与Snort™类似•位置感知缓存溢出后门101010110101011010101混合型威胁对已知漏洞的利用网络威胁防护的主要功能8个人防火墙功能•基于规则的应用防火墙引擎•防火墙规则触发器•应用、主机、服务、时间•完全支持TCP/IP•TCP,UDP,ICMP,RawIPProtocol，ARP•支持以外网协议•能够拦截协议驱动•例如：VMware,WinPcap个人防火墙的主要功能9SSHIMSMTPFTPHTTPRCPruletcp,tcp_flag&ack,daddr=$LOCALHOST,msg=[182.1]RPCDCOMbufferoverflowattemptdetected,content=\x05\x00\x00\x03\x10\x00\x00\x00(0,8)定制的签名引擎签名的IPSGEBSSHIMSMTPFTPHTTPRCP入侵防护功能•通用漏洞利用攻击拦截GEB(主动防护技术)•深入的包检查•IPS引擎允许管理员创建他们自己的签名•使用类似于SNORT™的签名格式•抵御普通的和高级的逃避技术入侵防护系统的主要功能10AutoLocation触发器•IP地址(访问或掩码)•DNS服务器•DHCP服务器•WINS服务器•网关地址•TMP令牌(硬件令牌)•DNS名称解析到IP•连接了管理服务器•网络连接类型(无线、VPN,以太网,拨号)支持和/或关系测试:办公策略:远程企业LAN远程位置(家,咖啡馆，宾馆等)位置感知策略，自动处所切换11主动性威胁防护的主要功能•行为的威胁防护•与WholeSecurityConfidenceOnline完全集成•非基于签名的恶意软件检测和拦截•防护零日攻击和未知威胁•设备控制•拦截外设，拦截读写执行•系统锁定和操作系统保护•增强了对本地文件系统和应用的保护系统设备零日漏洞利用，未知威胁系统权限主动威胁防护的主要功能12应用行为分析监控行为或应用进程执行控制阻止有害程序运行文件访问控制拦截对文件和文件夹的非法访问注册表访问控制控制对注册表键值的访问和写入模块及DLL加载控制阻止应用程序加载模块应用程序控制的主要功能13系统锁定功能•在受保护的系统中，阻止任何未授权代码的运行•恶意软件•未授权的应用•创建系统的指纹•工具Checksum.exe建立这个清单•追踪每个可执行文件的运行痕迹(exe,com,dll,ocx,etc.)•对任何不在列表上的执行文件进行拦截系统锁定的主要功能14心怀不满的员工/内部攻击者自动运行的漏洞利用攻击,rootkits,间谍软件等设备拦截端口支持所有常用端口•USB•红外•蓝牙•串口•并口•火线(Firewire)•SCSI•PCMCIA设备保护的功能•按类型拦截设备(WindowsClassID)•拦截来自移动设备的读/写/运行设备控制的主要功能15SEP11.0客户端界面截图16SEP11.0产品特点总结17•应对当前复杂的安全威胁提供多层次的终端安全保护•主动威胁防护防范零日攻击和未知威胁•一个客户端一个控制台，更简单，更容易管理，更低成本，更多保护•可管理的终端安全•与SNAC无缝结合防病毒防间谍软件防火墙入侵防护设备控制目录1、SEP11.0产品功能和优势简介2、SEP11.0安装部署说明3、SEP11.0策略配置说明4、SEP11.0日常运维说明5、SEP11.0常见技术问题解决方法6、SEP11.0客户端常见安装问题解决方法7、SEP11.0SEPM服务器灾难恢复处理方法8、资料获取、技术支持、操作演示和现场答疑18SEP11.0安装部署说明•SQLServer2005安装和配置说明–SQLServer2005安装说明–SQLServer2005SP2补丁安装说明–SQLServer2005配置说明•SEP11.0SEPM服务器端安装说明–安装组件–环境要求–SEP11.0SEPM服务器端安装说明19SQLServer2005安装和配置要点•SQLServer2005安装要点：–建议将SQLServer2005安装在D盘等非系统分区；–使用“命名实例”，例如“SEPM”；–使用“混合模式”身份认证模式，并牢记SA账户的密码；–使用“SQL排序规则”：字典顺序，不区分大小写，用于1252字符集；•SQLServer2005配置要点：–禁用“TCP动态端口”，建议使用“TCP端口：1433”；20SQLServer2005安装截图SQLServer2005SP2补丁安装截图22SQLServer2005配置截图23SEP11.0SEPM服务器端安装组件•Windows2003企业版+SP2；•SQLServer2000+SP4或SQLServer2005+SP2；•IIS6.0（Windows2003自带组件）；•IE6.0（Windows2003自带组件）；24SEP11.0环境要求25SEP11.0SEPM服务器推荐配置26SEP11.0客户端推荐配置27SEP11.0SEPM服务器端安装要点•建议将SEP11.0SEPM程序安装在D盘等非系统分区•自定义IISWeb网站端口，建议使用2967；•牢记SEPM加密密码；•牢记Sem5数据库帐户密码；•牢记admin帐户密码；•选择SQLServer数据库，并输入正确的实例名；28SEP11.0SEPM服务器端安装截图29SEP11.0客户端安装注意事项•安装注意事项–操作系统要求，目前总部计算机的操作系统均符合安装要求；–WindowsXPSP1IE6以上–Windows2000SP3IE6以上–Windows2003IE6以上–WindowsVista–Windows2008•包含32位和64位操作系统，在Server版的操作系统只能安装防病毒模块。•要求安装客户端的磁盘分区至少要有1G的剩余空间，内存512－1G；•安装前提醒用户保存当前的工作信息，重新启动计算机，初步判断用户的操作系统没有严重问题；•卸载原有计算机上非Symantec10防病毒客户端程序，如360、卡巴斯基、瑞星、金山等防病毒和防火墙类产品；30SEP防病毒系统客户端安装记录表31SEP防病毒系统客户端安装记录表部门：序号房间号码电话IP地址网络工位号MAC安装日期安装人员计算机类型（台式机或笔记本）用户签字1234567891011SEP11.0客户端安装说明创建和使用SEP客户端安装包•登陆SEPM策略管理器，选择“管理员”——“安装软件包”——“客户端安装软件包”，选择针对操作系统类型（32位或64位），右键选择“导出”；–默认是SEP所有功能（也可根据情况导出部分功能）–默认是无人参与方式安装3233SEP11.0客户端安装截图目录1、SEP11.0产品功能和优势简介2、SEP11.0安装部署说明3、SEP11.0策略配置说明4、SEP11.0日常运维说明5、SEP11.0常见技术问题解决方法6、SEP11.0客户端常见安装问题解决方法7、SEP11.0SEPM服务器灾难恢复处理方法8、资料获取、技术支持、操作演示和现场答疑34SEP基本策略配置添加和管理客户端分组•根据各单位的组织结构，手工建立客户端分组，系统默认是仅有DefaultGroup组。•操作方法：SEPM控制台——客户端——添加组，输入组名即可。35SEP基本策略配置配置站点Liveupdate升级策略•配置SEP服务器的Liveupdate升级策略，系统默认是每4小时升级一次。•操作方法：SEPM控制台——管理员——本地站点——右键“编辑属性”——Liveupdate，选择“简体中文”，根据实际情况配置Liveupdate调度升级时间。–同时建议在“下载内容”内取消“客户端更新”。37SEP基本策略配置配置定时备份站点数据库•配置站点数据库的备份设置，系统默认是不执行调度备份。•操作方法：SEPM控制台——管理员——数据库服务器——编辑备份设置，根据实际情况配置站点数据库备份调度时间。39SEP基本策略配置配置客户端密码保护•配置SEP客户端在打开客户端用户界面、停止客户端服务、导入或导出策略和卸载客户端时是否启用密码保护功能，系统默认是不启用密码保护的。•操作方法：SEPM控制台——客户端——常规设置——安全设置——客户端密码保护。–注意：此策略是客户端的分组策略，默认每个分组是继承父组MyCompany策略的，所以如果各分组策略都一致，管理员可在父组MyCompany完成此配置；如果各分组策略不同意，管理员可在具体分组上完成此配置。4041SEP基本策略配置配置客户端防篡改保护•配置客户端防篡改保护，防止病毒或其他应用程序篡改或关闭Symantec安全软件。•操作方法：SEPM控制台——客户端——常规设置——防篡改。4243SEP基本策略配置配置客户端通信策略•配置SEP客户端与SEP服务器下载策略和更新内容的通信方式，系统默认是推模式。•操作方法：SEPM控制台——客户端——通讯设置。–注意：此策略是客户端的