450 likes | 741 Views
Symantec Antivirus 8.1. 諮安科技 技術服務處 賴秋愷 (馬蓋) maguy@secureuni.com. Agenda :關於簡報. 病毒簡介 Symantec 的防護理念 多層次的病毒防護系統 Symantec 的防毒技術 病毒定義檔的架構及更新方式 Symantec 的管理方式 SSC ( Symantec System Center ) Server & Client 安裝介紹 SCS 簡介. Agenda :關於實作. 安裝管理員工具 SSC ( SAV 8.1 版新功能及注意事項 Demo )
E N D
Symantec Antivirus 8.1 諮安科技 技術服務處 賴秋愷(馬蓋) maguy@secureuni.com
Agenda:關於簡報 • 病毒簡介 • Symantec的防護理念 • 多層次的病毒防護系統 • Symantec的防毒技術 • 病毒定義檔的架構及更新方式 • Symantec的管理方式 • SSC(Symantec System Center) • Server & Client 安裝介紹 • SCS 簡介
Agenda:關於實作 • 安裝管理員工具 • SSC(SAV 8.1版新功能及注意事項Demo) • 熟悉 SSC 操作介面 • 安裝伺服器 • 透過SSC的“AV伺服器傳送” • 安裝Client • Packager(Demo) • Web Server • 光碟片直接安裝(GRC.DAT) • 更新病毒定義檔 • VDTM • *.xdb 的更新方式(手動與自動) • 下載檔案認証(MD5 Demo)
Virus VS Worm • VIRUS : • 一種會複製自己並依附在其他的物件上的程式 • 在物件被存取或執行時啟動 • 跟隨著物件的移動而進行擴散 • WORM: • 一種會“自行”複製並傳送至下一個系統的電腦程式 • 不需透過其依附物件的移動進行擴散 • “自行”尋找下一個目標
Worm病蟲: • 1.病蟲是一獨立程式,可從一台電腦複製到另一電腦. • 2.不像病毒, 電腦病蟲不需寄生和電腦傳播 • 3.具網路或網際際網路特性 • 4.同時快速傳播給多台電腦 • 5.不需依靠人類傳播 • 如: VBS.LoveLetter.A;Nimda;Goner;Klez….
多層次病毒防護系統 Firewall • FireWall層級 • Symantec Web Security Gateway • Gateway層級 • Symantec AntiVirusfor SMTP Gateways Groupware • GroupWare層級 • Symantec AntiVirus for Lotus Notes • Symantec Mail Security for Microsoft Exchange Server • Server層級 • for Windows NT/2K Servers 中文版 • for OS/2 • for NetWare Desktop • Desktop層級 • for Windows 95/98//ME/XP 中文版 • for NT/2K Pro Workstations 中文版 • for Windows 3.x/DOS
Win/NT Server Win/NT Workstation Win/2000 Server Win/2000 Professional Symantec System Center Windows NT Server Windows NT Workstation Windows 2000 Server Windows 2000 Professional Netware Server SAV Server SAV Server Windows NT Server Windows NT Workstation Windows 2000 Server Windows 2000 Professional Windows 95/98 Windows 3.1/DOS SAV Client SAV Client SAV Client • Symantec Client/Server 管理架構 ( Symantec AntiVirus 企業網路版 )
SSC 5.0 架構 Firewall SMTP Notes NT Server Windows 9x Exchange W2K Server Windows NT NetWare Windows 2K Symantec System Center
SSC 5.0 架構─集中控管各分公司防毒群組 台北 Group SymantecSystemCenter 台中 Group SymantecSystemCenter 高雄 Group SymantecSystemCenter
NT/W2K Workstation NT/W2K Server NetWare Server NT/W2K Workstation NT/W2K Server NetWare Server NT(sp6a)/W2K Workstation NT/W2K Server/XP Win9x(No win95) DOS/Win3x 企業防毒伺服器及用戶端的平台 SAV 防毒主機群組 主要 SAV 伺服器 次要 SAV 伺服器 SAV 用戶端
賽門鐵克防毒的技術 • SAV企業版實現防毒解毒自動化處理 • 賽門鐵克的獨家技術: • Bloodhound 未知病毒偵測技術 • 掃描與傳送(Scan & Deliver) • Symantec AntiVirus Research Automation(SARA)自動解毒機制 • NAVExtensions(NAVEX)病毒定義檔架構
Bloodhound 啟發式技術 • 放棄傳統的病毒碼比對方式,改採賽門鐵克專利的啟發性技術 (Heuristic Technology)來檢視疑似病毒的行為 • 為諾頓防毒軟體內建對付未知病毒的標準功能。 • 可偵測 95% 的未知巨集型病毒 • 可偵測 90% 的未知開機型病毒 • 可偵測 80% 的未知檔案型病毒 • 已開發出偵測未知 script 型病毒的技術
Multi-tier AV solution, single extensible engine & best-of-breed utilities Technology and Consulting Systems & policymanagement The Best of 3 Worlds…
掃描與傳送(Scan & Delivery) • ˙透過 Internet 自動將可疑的檔案傳送給 SARA 進 行分析與接受解決方案 • ˙配合保密需求,可自動將文件型檔案的內容在傳送前移除,僅傳送可疑的巨集樣本。
1 2 5 6 3 4 7 賽門鐵克數位免疫系統—封閉迴路自動化機制 病毒警示 工作站 病毒培養皿 NAVCE主機 / 中央隔離所 IBM 主機 分析病毒的 行為與結構 工作站 某企業網路 取得特徵 工作站 工作站 製造解藥 網路管理者主機 工作站 工作站 工作站 個人用戶 其它單位網路
其他防毒軟體 諾頓防毒軟體 掃毒應用軟體 掃毒應用軟體 掃描引擎 NAVEX 掃描引擎 病毒定義檔 病毒定義檔 NAVEX • NAVEX (Norton AntiVirus Extension) • 將掃描引擎自掃描軟體中分離出來成為一個可迅速以 LiveUpdate 更新的模組。 • 所有諾頓防毒軟體均共用同一個模組。 • 掃描引擎更新後無須重新啟動電腦。 掃毒軟體更新較複 雜且須長時間測試 掃描引擎必須與掃 毒軟體一起更新 病毒定義檔案更新 通常較容易且迅速
如何更新病毒定義檔? • 1.VDTM(自動) • 主要 NAV 防毒伺服器更新後,整個群組的次要 NAV 防毒伺服器與 NAV 防毒用戶端全部自動背景更新。 • 2.LiveUpdate(自動) • 所有賽門鐵克產品的最佳後援服務 • 單鍵產品與病毒檔更新 • 3.企業內 LiveUpdate 伺服器(自動) • 可包含所有賽門鐵克的產品 • 解決網際網路頻寬與版本一致問題 • 4.下載病毒定義檔(自動或手動) • *.xdb 的更新方式(此方式僅適用於SAV 8.1 版)
Internet 1.VDTM (Virus Definition Transport Method) 架設 SAV防毒群組 主要 SAV 伺服器 次要 SAV 伺服器 SAV 用戶端
2.透過 Internet執行 LiveUpdate 賽門鐵克產品 賽門鐵克產品
3.架設企業集團企業內部 LiveUpdate伺服器 LiveUpdate 伺服器 賽門鐵克產品 賽門鐵克產品
部署安裝 • 用戶端安裝: • 部署安裝 • 登入檔安裝 • Packager • Web Install • 網路分享 Server & Client Installation Secondary SAV Server Primary SAV Server Symantec System Center SAV Client SAV Client
伺服器升級及安裝前的注意事項 • 先瞭解企業中作業系統的平台及網路架構 • 防毒伺服器請避免為該公司之網域控制站、Mail Server或是存 有資料庫之伺服器 • 防毒伺服器請避免安裝二片(含)以上的網路卡 • 防毒伺服器請設定固定IP位址,並確保Computer Name解析正常(可透過DNS;WINS;LMHOSTS;HOSTS) • 若規劃該伺服器為Norton AntiVirus 7.x升級時: • 請先移除舊版本之Symantec System Center及其元件 • 請先移除舊版本之Norton AntiVirus 7.x Server • 為避免升級後用戶端與防毒伺服器有失聯情況,升級前可在伺服器上將用戶端資料匯出
用戶端升級及安裝前的注意事項 • 確認用戶端的作業系統是否符合SAV 8.x之需求 • 確認用戶端的硬碟空間是否足夠 • 確認用戶端是否可正確解析出防毒伺服器的電腦名稱 • 作業系統若為NT/2000/2003/XP時,請確認使用者權限 5. 由於SAV 8.x是使用MSI 2.0模式進行安裝,因此安裝時會先更 新MSI版本,作業系統若為Win9x時,安裝過程中需重新啟動系統多次。 6. 安裝確實關閉系統中正在執行之應用程式
如果一切正確, 伺服器不回應。 用戶端預設自開機後 每60分鐘傳送1K的 狀態封包給伺服器。 1K Status Report 用戶端與伺服器的溝通方式(一) SAV 伺服器 SAV 用戶端
如果設定不相符,伺服器會傳送GRC.DAT檔案給用戶端。如果設定不相符,伺服器會傳送GRC.DAT檔案給用戶端。 GRC.DAT (3K) 用戶端收到並自動處理GRC.DAT後會將其刪除。 用戶端與伺服器的溝通方式(二) SAV 伺服器 SAV 用戶端
伺服器會依照要求先後順序依次排列。 如果GRC.DAT檔案指出病毒定義必須更新,則用戶端會向伺服器提出更新要求。 Def. Request 用戶端與伺服器的溝通方式(三) SAV 伺服器 SAV 用戶端
伺服器傳送定義檔案給用戶端。 Def. File (80K) 用戶端自動更新掃描引擎與定義檔案 用戶端與伺服器的溝通方式(四) SAV 伺服器 SAV 用戶端
SSC--集中式管理主控台 • 提供單一管理主控台,可以容易地安裝與管理企業中多種混合平台: - MS-DOS/Windows 3.x - Windows 9x - Windows NT/2000/XP- Novell NetWare • 自動地將最新的 Symantec AntiVirus 軟體、病毒定義與產品組態檔案,散佈至用戶端與其他伺服器。(WinXP Home & Win95 不支援) • 嵌入 Microsoft Management Console(MMC),提供標準中文介面給使用者。
諮安科技 • 組態集中管理: • 整合用戶端管理 • 邏輯群組管理,方便設定不同部門的安全政策 業務部 研發部 • 鎖定政策管理,給予管理 • 者較彈性的政策管理 • 採用累進式更新技術--約 • 80k • 持續 LiveUpdate – 只要 • 定義檔超過預定日期未更 • 新,將自動啟動背景更新 • 電池檢查– 在電池供電時,不執行定期掃描 管理部 系統部 財務部 統一管理主控台
SSC--遠端作業與即時管理 • 直接地由SSC檢視網域內所有伺服器與用戶端,以及啟動整個企業環境內的病毒掃除、手動或排程掃描,節省時間與力氣。
SSC--強制執行政策 • ˙提供完全的控制權,可以由遠端設定與監視用戶端/伺服器的組態,以確定已強制執行企業安全政策。 • ˙鎖定用戶端組態或隱藏使用者 • 介面,以防止使用者建立 • 或修改防毒設定值。 • ˙降低病毒因使用者違反防毒政策而侵入系統的機會
集中警訊與報表管理 • ˙提供完整且集中化事件記錄功能,可以查詢、儲存與檢視病毒問題 • ˙可以快速地且徹底地辨認與移除病毒威脅,以增加系統的執行時間 • 與 IT 的威信 • ˙當發現系統中有病毒活動時,立即透過下列方法發出警示: • Internet 電子郵件 • 執行特殊程式或 SNMP警訊 • 對網域、系統或使用者發出網路廣播警示
緊急應變計畫--使用Ghost備份電腦資料與環境 OS 昇級 災難回復 軟體派送 累加式備份 PC 安裝與設定 集中控管個人PC設定
Symantec Client Security Management Console Management Console Management Console Management Console McAfee Virus Antivirus Firewall Intrusion Detection ZoneAlarm Firewall ISS IDS 賽門鐵克提供更好的解決方案 • 。單靠防毒產品不足以有效對抗駭客攻擊與混合式威脅 - 必須增加防火牆與入侵偵測 • 。在眾多的客戶端安裝與管理多套安全產品成本甚高 • 。旦遭受攻擊時,想要同時從不同廠商處取得並安裝病毒定義、防火牆規則與入侵特徵風險過大 VS 客戶用戶端
Symantec Client Security 包含 Symantec AntiVirus 8.0 + Symantec System Center 5.0 + Symantec Client Firewall 3.0 + Symantec Packager 1.0
Symantec 的解決方案--SCS 1.防火牆規則進行連線程式控管,避免病蟲擴散2.入侵偵測特徵,攔截並抓出亂源 2 1
Symantec Client Security概要 • 單一產品同時整合防毒、 防火牆、入侵偵測功能 • 彼此會互相交談的安全防護功能─形成互相聯防的防護網 • 單一部署機制─降低安裝的複雜度與部署成本 • 單一管理主控台─降低用戶端防護的管理負擔和人力成本 • 單一更新機制─當企業遭遇到攻擊時,提供快速反應, 整合式用戶端安全解決方案 整合安全應變機制 集中式管理
Klez 自動呼叫防毒軟體, 掃描可疑對外連線。 整合性的防護─不是將不同廠商產品裝在同一用戶端上 需具備 彼此交談 的防護技術 範例: 即使防毒系統被關閉,防火牆仍會自動呼叫病毒掃描功能! 針對攻擊行為的來源,入侵偵測系統會命令防火牆阻斷交通!
單一更新機制 • 一次更新 (由LiveUpdate): • 病毒定義檔 • 防火牆規則 • 入侵偵測特徵
完整的安全防護方案 SAV Ex/Notes SCS 用戶端安全防護 SAV Firewall SMTP Notes NT Server Windows 9x SCS 用戶端安全防護 Gateway SWS Exchange W2K Server Windows NT SCS 用戶端安全防護 NetWare Windows 2K Gateway Groupware Server Desktop
技術支援服務 • 澳洲免付費技術支持中心 • 0080-1611-389 (請準備 License ID) • Symantec Knowledge Base • http://www.symantec.com/techsupp/(英) • http://www.symantec.com.tw/region/tw/techsupp/index.html(中) • 經銷商技術服務中心 • 諮安科技技術服務中心 • 高浩然:andy_k@secureuni.com • 賴秋愷:maguy@secureuni.com (請提供產品名稱;軟體版本;問題描述;作業系統;聯絡資訊;經銷商)