趋势科技服务器深度安全防护系统 9.6 安装指南（VMware vShield）

Size: px

Start display at page:

Download "趋势科技服务器深度安全防护系统 9.6 安装指南（VMware vShield）"

笠急姜
7 years ago
Views:

2 趋势科技 ( 中国 ) 有限公司保留对本文档以及此处所述产品进行更改而不通知的权利在安装及使用本软件之前, 请阅读自述文件发布说明和最新版本的适用用户文档, 这些文档可以通过趋势科技的以下 Web 站点获得 : Trend Micro Trend Micro t- 球徽标 Deep Security Control Server Plug-in Damage Cleanup Services eserver Plug-in InterScan Network VirusWall ScanMail ServerProtect 和 TrendLabs 是趋势科技 ( 中国 ) 有限公司 /Trend Micro Incorporated 的商标或注册商标所有其他产品或公司名称可能是其各自所有者的商标或注册商标文档版本 :1.0 文档编号 :APCM97018/ 发布日期 :2015 年 7 月文档生成时间 :Aug 13, 2015 (17:14:08)

3 目录简介... 5 关于本文档... 6 关于趋势科技服务器深度安全防护系统... 8 新功能系统要求准备所需条件 (VMware vshield) 数据库部署注意事项部署 DSVA 所需的最低 VMware 权限 (vshield) 选择无客户端防护或组合模式为无客户端防护准备 vshield 环境安装安装趋势科技服务器深度安全防护系统管理中心手动安装趋势科技服务器深度安全防护系统客户端安装和配置已启用中继的客户端在 vshield 环境中部署无客户端防护安装趋势科技服务器深度安全防护系统通知程序升级规划升级升级至完全的无客户端防护升级至无客户端防恶意软件和完整性监控升级至组合模式从 vcns 5.5 升级至附录趋势科技服务器深度安全防护系统管理中心内存使用趋势科技服务器深度安全防护系统虚拟设备内存使用趋势科技服务器深度安全防护系统管理中心性能特点升级多节点趋势科技服务器深度安全防护系统管理中心创建 SSL 认证证书... 76

4 趋势科技服务器深度安全防护系统管理中心静默安装趋势科技服务器深度安全防护系统管理中心设置属性文件启用多租户多租户 ( 高级 ) 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 从 vshield 环境中卸载趋势科技服务器深度安全防护系统

5 简介

关于本文档关于本文档趋势科技服务器深度安全防护系统安装指南 (VMware vshield) 本文档介绍如何安装和配置趋势科技服务器深度安全防护系统基础软件组件 1. 趋势科技服务器深度安全防护系统管理中心 2. 趋势科技服务器深度安全防护系统虚拟设备 3. 趋势科技服务器深度安全防护系统客户端 ( 带中继功能 ) 4. 趋势科技服务器深度安全防护系统通知程序本文档内容包括 : 1.

6 关于本文档关于本文档趋势科技服务器深度安全防护系统安装指南 (VMware vshield) 本文档介绍如何安装和配置趋势科技服务器深度安全防护系统基础软件组件 1. 趋势科技服务器深度安全防护系统管理中心 2. 趋势科技服务器深度安全防护系统虚拟设备 3. 趋势科技服务器深度安全防护系统客户端 ( 带中继功能 ) 4. 趋势科技服务器深度安全防护系统通知程序本文档内容包括 : 1. 系统要求 2. 准备 3. 数据库配置指南 4. 安装趋势科技服务器深度安全防护系统管理中心管理控制台 5. 安装已启用中继的趋势科技服务器深度安全防护系统客户端 6. 集成趋势科技服务器深度安全防护系统与 VMware vshield 环境 7. 使用趋势科技服务器深度安全防护系统保护策略和漏洞扫描 ( 推荐设置 ) 实施趋势科技服务器深度安全防护系统防护 8. 监控和维护趋势科技服务器深度安全防护系统安装的指南目标受众本文档面向想在 VMware vshield 环境中实施无客户端趋势科技服务器深度安全防护系统防护的任何人其中信息是针对经验丰富的系统管理员编写的, 这些管理员熟悉虚拟机技术和虚拟数据中心操作本文档假设读者熟悉 VMware Infrastructure 5.x, 包括 VMware ESXi vcenter Server 和 vsphere Web Client 6

7 关于本文档其他趋势科技服务器深度安全防护系统文档您可以从获取其他趋势科技服务器深度安全防护系统文档, 包括适用于其他平台的安装指南和管理员文档此外, 趋势科技服务器深度安全防护系统管理中心还包含帮助系统, 您可以从趋势科技服务器深度安全防护系统管理中心控制台中访问该帮助系统 7

8 关于趋势科技服务器深度安全防护系统关于趋势科技服务器深度安全防护系统趋势科技服务器深度安全防护系统针对物理虚拟或云服务器提供了高级服务器安全无需紧急修补即可保护企业应用程序和数据免遭破坏和业务中断这种全面的集中管理平台可帮助您简化安全操作, 同时确保管理合规并加快推进虚拟化和云项目的 ROI 以下紧密集成的模块可轻松扩展此平台, 确保物理虚拟或云服务器以及虚拟桌面的服务器应用程序及数据安全性防护模块防恶意软件与 VMware 环境集成以进行无客户端防护, 或提供在本地模式下可保护物理服务器和虚拟桌面的客户端集成新的 VMware vshield Endpoint API 可为 VMware 虚拟机提供无客户端防恶意软件防护, 无需占用客户虚拟机帮助避免完全系统扫描和特征码更新过程中常见的安全漏洞另外, 还提供基于客户端的防恶意软件, 可在本地模式下保护物理服务器基于 Hyper-V 和 Xen 的服务器公共云服务器以及虚拟桌面协调无客户端和基于客户端的服务器规格的保护, 提供自适应安全防护, 以便在服务器在数据中心和公共云之间移动时保护虚拟服务器 Web 信誉趋势科技 Web 信誉服务可阻止对恶意 Web 站点的访问趋势科技可根据 Web 站点的存在时间历史位置变化和通过恶意软件行为分析发现的可疑活动迹象等因素来分配信誉评分 Web 信誉服务 : 阻止用户访问受危害站点或受感染站点阻止用户与犯罪分子所利用的通信和控制服务器 (C&C) 通信阻止用户访问犯罪分子注册用于实施网络犯罪的恶意域防火墙减少物理和虚拟服务器的攻击面使用双向状态防火墙对服务器防火墙策略进行集中式管理支持虚拟机分区, 阻止拒绝服务攻击针对所有基于 IP 的协议和帧类型, 以及端口和 IP 及 MAC 地址的细粒度过滤提供广泛的覆盖范围入侵防御在已知漏洞修复之前, 屏蔽漏洞以免遭受无限制的入侵帮助实现对已知和零时差攻击的及时防护使用漏洞规则屏蔽已知漏洞 ( 例如 Microsoft 每月公布的漏洞 ), 以免遭受无限制的入侵针对 100 多个应用程序 ( 包括数据库 Web 电子邮件和 FTP 服务器 ) 提供现成的漏洞防护自动提供屏蔽数小时内新发现漏洞的规则, 并在几分钟内将此规则推送至数千台服务器, 无需重新启动系统抵御 Web 应用程序漏洞确保符合 PCI 要求 6.6, 以保护 Web 应用程序及其处理的数据抵御 SQL 注入攻击跨站点脚本攻击以及其他 Web 应用程序漏洞屏蔽漏洞直到代码修复完成识别访问网络的恶意软件 8

9 关于趋势科技服务器深度安全防护系统加强对访问网络的应用程序的监视或控制识别访问网络的恶意软件, 减少服务器的漏洞入侵完整性监控实时检测并报告对文件和系统注册表的恶意及意外更改使管理员能够跟踪对实例进行的授权和未授权更改检测未授权更改的功能是云安全策略中的关键部分, 因为该功能可监视可能指示实例被损坏的更改日志审查显示日志文件中隐藏的重要安全事件优化对整个数据中心多个日志条目中隐藏的重要安全事件的识别功能将可疑事件转发到 SIEM 系统或集中式日志记录服务器, 以进行关联报告及归档利用并增强开放源代码软件的功能 ( 该软件位于 OSSEC) 趋势科技服务器深度安全防护系统组件趋势科技服务器深度安全防护系统包含以下一组组件, 这些组件协同起来提供防护 : 趋势科技服务器深度安全防护系统管理中心, 是管理员用来配置安全策略以及向强制组件部署防护的基于 Web 的集中式管理控制台 : 趋势科技服务器深度安全防护系统虚拟设备和趋势科技服务器深度安全防护系统客户端趋势科技服务器深度安全防护系统虚拟设备是针对 VMware vsphere 环境构建的安全虚拟机, 可为虚拟机以无客户端的方式提供防恶意软件 Web 信誉服务防火墙入侵防御和完整性监控防护趋势科技服务器深度安全防护系统客户端是一种直接部署在计算机上的安全客户端, 可为安装了它的计算机提供防恶意软件 Web 信誉服务防火墙入侵防御完整性监控和日志审查防护趋势科技服务器深度安全防护系统客户端包含中继模块中继模块已启用中继的客户端在趋势科技服务器深度安全防护系统组件组成的整个网络中分发软件和安全更新趋势科技服务器深度安全防护系统通知程序是一种 Windows 系统托盘应用程序, 可在本地计算机上传达有关安全状态和事件的信息, 对于已启用中继的客户端, 还可以提供有关正从本地计算机分发的安全更新的信息趋势科技服务器深度安全防护系统管理中心趋势科技服务器深度安全防护系统管理中心 ( 以下简称管理中心 ) 是一个强大的基于 Web 的集中式管理系统, 安全管理员可以通过它来创建和管理全面的安全策略, 跟踪威胁并记录针对这些威胁所采取的预防处理措施趋势科技服务器深度安全防护系统管理中心可与数据中心的不同部分 ( 包括 VMware vcenter 和 Microsoft Active Directory) 进行集成为了帮助部署和集成到客户和合作伙伴的环境中, 趋势科技服务器深度安全防护系统提供了公开的 Web 服务 API, 允许使用不依赖任何语言的简单方法从外部访问数据和编程配置策略策略是可指定要为一台或多台计算机自动配置和执行的设置和安全规则的模板这些易于管理的精简规则集可以轻松提供全面安全, 而无需费心去管理上千条规则缺省策略可提供大量常用计算机配置的必要规则控制台使用可定制的基于 Web 的 UI 可轻松地快速导航至特定信息并对其进行详细分析它将提供 : 大范围的系统事件和计算机报告主要度量的图表, 包含趋势 9

10 关于趋势科技服务器深度安全防护系统详细事件日志保存多个个性化控制台版面配置的功能内置安全通过基于角色的访问, 多个管理员 ( 或用户, 每个管理员或用户均拥有不同的访问权限集和编辑权限 ) 可编辑和监控系统的不同部分, 并收到相应的信息数字签名用于认证系统组件并验证规则的完整性会话加密可保护在组件之间交换的信息的机密性趋势科技服务器深度安全防护系统虚拟设备趋势科技服务器深度安全防护系统虚拟设备作为 VMware 虚拟机运行并保护同一 ESXi Server 上的其他虚拟机, 且每台虚拟设备均拥有各自的安全策略趋势科技服务器深度安全防护系统客户端趋势科技服务器深度安全防护系统客户端 ( 以下简称客户端 ) 是精巧型的高性能软件组件, 安装在计算机上可提供防护趋势科技服务器深度安全防护系统客户端包含中继模块 ( 缺省情况下关闭 ) 任何趋势科技服务器深度安全防护系统安装中都必须有至少一个已启用中继的客户端, 以便在整个趋势科技服务器深度安全防护系统网络中分发安全更新和软件更新可以启用多个已启用中继的客户端并将它们组织到层次组中, 从而更有效地在整个网络中分发更新趋势科技服务器深度安全防护系统通知程序趋势科技服务器深度安全防护系统通知程序是一个 Windows 系统托盘应用程序, 可将趋势科技服务器深度安全防护系统客户端和已启用中继的客户端的状态传达给客户端计算机趋势科技服务器深度安全防护系统客户端开始扫描时, 或者阻止恶意软件或阻止访问恶意 Web 页面时, 通知程序会显示弹出式用户通知该通知程序还提供了一个控制台工具, 方便用户查看事件和配置是否显示弹出通知 10

11 新功能新功能趋势科技服务器深度安全防护系统 9.6 VMware vsphere 6 支持趋势科技服务器深度安全防护系统 9.6 现在支持 vsphere 6 NSX 支持和集成 : 无客户端防恶意软件完整性监控防火墙和入侵防御随 NSX 一起提供 vcns 支持 : 无客户端防恶意软件和完整性监控可用于 vcns 组合模式的无客户端防恶意软件和完整性监控以及基于客户端的防火墙支持和入侵防御支持适用于 Linux 的 SAP 防护趋势科技服务器深度安全防护系统已将 SAP 适配器集成到趋势科技服务器深度安全防护系统客户端中 SAP 适配器可以无缝地与 SAP VSI 接口 ( 也称为 NW-VSI-2.0) 配合工作 VSI 接口在诸如 NetWeaver HANA 和 Fiori 等应用程序和平台中可用 SAP 适配器已作为 Red Hat Enterprise Linux 和 SUSE Enterprise Linux Build 的一部分完全融合到了趋势科技服务器深度安全防护系统 9.6 中, 现在可以直接通过趋势科技服务器深度安全防护系统管理中心授权 IBM QRadar 支持趋势科技服务器深度安全防护系统现在可以输出日志事件扩展格式 (LEEF 2.0) 以与 IBM QRadar 集成适用于 CloudLinux 的实时防恶意软件实时防恶意软件可用于 CloudLinux 7 其他平台支持趋势科技服务器深度安全防护系统 9.6 增加了对以下平台的支持 : Debian 6 和 7 Windows 2012 Server Core CloudLinux 7 Oracle Linux 7 SUSE Enterprise Linux 12 适用于 Oracle 12c 的趋势科技服务器深度安全防护系统数据库支持趋势科技服务器深度安全防护系统管理中心现在支持将 Oracle 12c 用于其后端数据库 11

12 新功能登录时的 Active Directory 同步在 Active Directory 中创建的新用户现在可以在运行 Active Directory 同步任务之前登录到趋势科技服务器深度安全防护系统管理中心趋势科技服务器深度安全防护系统中继从趋势科技下载专区进行下载在趋势科技服务器深度安全防护系统中继无法直接访问趋势科技服务器深度安全防护系统管理中心的情况下, 中继现在可从趋势科技下载专区下载更新次要的报告增强功能安全模块使用情况报告现在增加了计算机组和实例大小两个列 ( 对于 AWS 工作负载 ) 联机帮助的自动更新趋势科技服务器深度安全防护系统联机帮助现在可以通过新的联机帮助软件包在趋势科技服务器深度安全防护系统管理中心中进行无缝更新 12

13 系统要求系统要求趋势科技服务器深度安全防护系统管理中心内存 :8GB, 其中包括 : 4GB 堆内存 1.5GB JVM 开销 2GB 操作系统开销磁盘空间 :1.5GB( 建议使用 5GB) 操作系统 : Windows Server 2012(64 位 ) Windows Server 2012 R2(64 位 ) Windows Server 2008(64 位 ) Windows Server 2008 R2(64 位 ) Windows 2003 Server SP2(64 位 ) Windows 2003 Server R2(64 位 ) Red Hat Linux 5/6(64 位 ) 您只能在 AWS Linux 实例上安装 AWS Marketplace 版本的趋势科技服务器深度安全防护系统管理中心数据库 : Oracle Database 12c Oracle Database 11g Oracle Database 11g Express Microsoft SQL Server 2014 Microsoft SQL Server 2014 Express Microsoft SQL Server 2012 Microsoft SQL Server 2012 Express Microsoft SQL Server 2008 Microsoft SQL Server 2008 Express Microsoft SQL Server 2008 R2 Microsoft SQL Server 2008 R2 Express Web 浏览器 :Firefox 24+ Internet Explorer 9.x Internet Explorer 10.x Internet Explorer 11.x Chrome 33+ Safari 6+ ( 启用 Cookie ) 显示器 : 采用 256 色或更高时, 分辨率为 1024 x 768 趋势科技服务器深度安全防护系统客户端内存 : 具有防恶意软件防护 :512MB 没有防恶意软件防护 :128MB 磁盘空间 : 具有防恶意软件防护 :1GB 没有防恶意软件防护 :500MB 启用中继功能 :8GB Windows: Windows Server 2012(64 位 ) Windows Server 2012 R2(64 位 )- Full Server 或 Server Core Windows 8.1(32 位和 64 位 ) Windows 8(32 位和 64 位 ) 13

14 系统要求 Windows 7(32 位和 64 位 ) Windows Server 2008(32 位和 64 位 ) Windows Server 2008 R2(64 位 ) Windows Vista(32 位和 64 位 ) Windows Server 2003 SP1(32 位和 64 位 ), 带有 patch "Windows Server 2003 Scalable Networking Pack" Windows Server 2003 SP2(32 位和 64 位 ) Windows Server 2003 R2 SP2(32 位和 64 位 ) Windows XP(32 位和 64 位 ) 启用中继功能 : 所有上述 64 位 Windows 版本 Linux: Red Hat 5(32 位和 64 位 ) Red Hat 6(32 位和 64 位 ) Red Hat 7(64 位 ) Oracle Linux 5(32 位和 64 位 ) Oracle Linux 6(32 位和 64 位 ) Oracle Linux 7(64 位 ) CentOS 5(32 位和 64 位 ) CentOS 6(32 位和 64 位 ) CentOS 7(64 位 ) Debian 6(64 位 ) Debian 7(64 位 ) SUSE 10 SP3 和 SP4(32 位和 64 位 ) SUSE 11 SP1 SP2 和 SP3(32 位和 64 位 ) SUSE 12(64 位 ) CloudLinux 5(32 位和 64 位 ) CloudLinux 6(32 位和 64 位 ) CloudLinux 7(64 位 ) Amazon AMI Linux EC2(32 位和 64 位 ) Ubuntu LTS(64 位 ) Ubuntu LTS(64 位 ) Ubuntu LTS(64 位 ) 启用中继功能 : 所有上述 64 位 Linux 版本 CentOS 客户端软件包括在 Red Hat 客户端软件包中要在 CentOS 上安装趋势科技服务器深度安全防护系统客户端, 需使用 Red Hat 客户端安装程序有关软件平台支持的趋势科技服务器深度安全防护系统功能的列表, 请参阅趋趋势科技服务器深度安全防护系统 9.6 支持的功能和平台台文档有关各个平台所支持的特定 Linux 内核列表, 请参阅标题为趋势科技服务器深度安全防护系统 9.6 支持的 Linux 内核的文档趋势科技服务器深度安全防护系统虚拟设备内存 :4GB( 内存要求因受保护的虚拟机的数量而异 ) 14

15 系统要求磁盘空间 :20GB VMware 环境 : NSX 环境 : VMware vcenter 5.5 与 ESXi 5.5 VMware vcenter 6.0 与 ESXi 5.5 或 6.0 vshield 环境 : VMware vcenter 或 5.5, 与 ESXi 或 5.5 其他 VMware 工具 : vshield 环境 : VMware Tools VMware vshield Manager 或 5.5 VMware vshield Endpoint Security 或 5.5( 适用于 vshield Endpoint 驱动程序的 ESXi5 patch ESXi 或更高版本 ) 虚拟设备可提供保护的受支持客户虚拟机平台 : 并非所有平台都支持所有趋势科技服务器深度安全防护系统功能有关软件平台支持的趋势科技服务器深度安全防护系统功能的列表, 请参阅趋势科技服务器深度安全防护系统 9.6 支持的功能和平台文档 Windows: Windows Vista(32 位 ) Windows 7(32 位和 64 位 ) Windows XP SP3 或更高版本 (32 位 ) Windows 2003 SP2 或更高版本 (32 位和 64 位 ) Windows 2003 R2(32 位和 64 位 ) Windows 2008(32 位和 64 位 ) Windows 2008 R2(32 位和 64 位 ) Windows 8(32 位和 64 位 )( 仅 vsphere 5.5) Windows 8.1(32 位和 64 位 )(vsphere ESXi build 或更高版本 ) Windows 2012(64 位 )( 仅 vsphere 5.5) Windows 2012 R2(64 位 )(vsphere ESXi build 或更高版本 ) Linux: Red Hat Enterprise 5(32 位和 64 位 ) Red Hat Enterprise 6(32 位和 64 位 ) CentOS 5(32 位和 64 位 ) CentOS 6(32 位和 64 位 ) Oracle Linux 5(32 位和 64 位 )- RedHat 内核 Oracle Linux 6(32 位和 64 位 )- RedHat 内核 Oracle Linux 5(64 位 )- Unbreakable 内核 Oracle Linux 6(64 位 )- Unbreakable 内核 SUSE 10 SP3 SP4(32 位和 64 位 ) SUSE 11 SP1 SP2 SP3(32 位和 64 位 ) Ubuntu LTS(64 位 ) Ubuntu LTS(64 位 ) Ubuntu LTS(64 位 ) CloudLinux 5(32 位和 64 位 ) CloudLinux 6(32 位和 64 位 ) VMware vcenter 必须是 NSX 环境或 vshield 环境, 不得是两者的混合如果您想同时使用 NSX 和 vshield 两者, 则它们必须位于单独的 vcenter 中可将多个 vcenter 添加到趋势科技服务器深度安全防护系统管理中心 15

16 系统要求趋势科技服务器深度安全防护系统虚拟设备使用 64 位 CentOS/Red Hat( 包含在虚拟设备软件包中 ) 由于趋势科技服务器深度安全防护系统虚拟设备与趋势科技服务器深度安全防护系统客户端使用相同的防护模块插件, 因此将更新导入到 64 位 Red Hat 客户端软件中时会出现一条通知, 提示有可用于 Red Hat 客户端的新软件可用于虚拟设备如果使用 MTU 9000(jumbo 帧 ), 则必须使用 ESXi build 或更高版本趋势科技服务器深度安全防护系统虚拟设备的 ESXi 要求除了 ESXi 标准系统要求外, 还必须符合以下规范 : CPU:64 位, 存在 Intel-VT 或 AMD-V 并在 BIOS 中启用支持的 vswitch: NSX:vSphere 分布式交换机 (vds) vshield:vsphere 标准交换机 (vss) 或第三方 vswitch (Cisco Nexus 1000v) VMware 不支持在生产环境中运行嵌套的 ESXi Server 有关更多信息, 请参阅此 VMware 知识库文章趋势科技服务器深度安全防护系统通知程序系统要求 Windows:Windows Server 2012 R2(64 位 ) Windows Server 2012(64 位 ) Windows 8.1(32 位和 64 位 ) Windows 8(32 位和 64 位 ) Windows 7(32 位和 64 位 ) Windows Server 2008 R2(64 位 ) Windows Server 2008(32 位和 64 位 ) Windows Vista(32 位和 64 位 ) Windows Server 2003 SP2(32 位和 64 位 ) Windows Server 2003 R2(32 位和 64 位 ) Windows XP(32 位和 64 位 ) 在受虚拟设备保护的 VM 上, 必须对防恶意软件模块进行授权和启用, 趋势科技服务器深度安全防护系统通知程序才能显示信息 16

17 准备

18 所需条件 (VMware vshield) 所需条件 (VMware vshield) 趋势科技服务器深度安全防护系统软件包从趋势科技下载专区下载以下软件安装包 : 趋势科技服务器深度安全防护系统管理中心趋势科技服务器深度安全防护系统虚拟设备趋势科技服务器深度安全防护系统客户端任何趋势科技服务器深度安全防护系统安装, 无论其是否提供无客户端或基于客户端的防护, 都要求安装至少一个已启用中继的客户端, 以下载和分发安全和软件更新任何 64 位 Windows 或 Linux 客户端都可提供中继功能趋势科技服务器深度安全防护系统通知程序下载专区网址 : 要手动确认您拥有的每个安装包是否是合法版本, 请使用哈希计算器计算已下载软件的哈希值并将其与趋势科技下载专区 Web 站点上发布的值相比较安装趋势科技服务器深度安全防护系统管理中心后, 您即需要将虚拟设备从本地目录手动导入管理中心导入趋势科技服务器深度安全防护系统虚拟设备软件 : 1. 从趋势科技下载专区 ( 将软件包下载至趋势科技服务器深度安全防护系统管理中心主机 2. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 本地页面, 然后在工具栏中单击导入..., 将软件包导入趋势科技服务器深度安全防护系统 ( 之后, 趋势科技服务器深度安全防护系统管理中心将自动下载最新的 64 位 Red Hat 客户端软件包, 该软件包随后将用于升级虚拟设备的防护模块 ) 要导入趋势科技服务器深度安全防护系统客户端软件, 请参阅安装趋势科技服务器深度安全防护系统客户端 ( 第 37 页 ) 和安装和配置已启用中继的客户端 ( 第 48 页 ) 趋势科技服务器深度安全防护系统通知程序是一个可选组件, 可安装在受保护的 Windows 虚拟机上它在通知区域中显示系统事件的本地通知使用授权 ( 激活码 ) 如果要完成安装, 则防护模块需要趋势科技服务器深度安全防护系统激活码, 多租户需要单独的激活码 (VMware 组件还需要 VMware 使用授权 ) 管理员 /Root 权限必须在将安装趋势科技服务器深度安全防护系统软件组件的计算机上拥有管理员 /Root 权限 18

19 所需条件 (VMware vshield) SMTP 服务器您将需要 SMTP 服务器发送警报电子邮件缺省情况下,DSM 使用端口 25 来连接到 SMTP 服务器可用端口在趋势科技服务器深度安全防护系统管理中心上您必须确保托管趋势科技服务器深度安全防护系统管理中心的计算机上的以下端口处于打开状态且未保留用于其他目的 : 端口 4120: 波动信号端口, 趋势科技服务器深度安全防护系统客户端和设备使用该端口与趋势科技服务器深度安全防护系统管理中心进行通信 ( 可配置 ) 端口 4119: 浏览器使用其连接到趋势科技服务器深度安全防护系统管理中心还用于来自 ESXi 的通信端口 1521: 双向 Oracle Database 服务器端口端口 1433 和 1434: 双向 Microsoft SQL Server 数据库端口端口和 3268: 连接到 LDAP 服务器以集成 Active Directory( 可配置 ) 端口 25: 与 SMTP 服务器通信来发送电子邮件警报 ( 可配置 ) 端口 53: 用于 DNS 查询端口 514: 与 Syslog 服务器双向通信 ( 可配置 ) 端口 443: 与 VMware vcloud vcenter vshield/nsx Manager Amazon AWS Microsoft Azure 及其他云帐户通信有关趋势科技服务器深度安全防护系统如何使用每个端口的更多详细信息, 请参阅联机帮助或管理员指南的参考一节中的趋势科技服务器深度安全防护系统所使用的端口趋势科技服务器深度安全防护系统所使用的端口在已启用中继的客户端客户端和设备上您必须确保托管已启用中继的客户端的计算机上的以下端口处于打开状态且未保留用于其他目的 : 端口 4122: 中继与客户端 / 设备之间的通信端口 4118: 管理中心与客户端之间的通信端口 4123: 用于内部通信不应对外开放端口 80 和 443: 连接到趋势科技更新服务器和云安全智能防护服务器端口 514: 与 Syslog 服务器双向通信 ( 可配置 ) 趋势科技服务器深度安全防护系统管理中心自动实施特定防火墙规则, 来打开托管已启用中继的客户端客户端和设备的计算机上的所需通信端口网络通信缺省情况下, 趋势科技服务器深度安全防护系统管理中心与已启用中继的客户端客户端 / 设备和虚拟机监控程序通信时, 使用 DNS 主机名为了成功部署趋势科技服务器深度安全防护系统客户端 / 设备, 必须确保每台计算机均可以解析趋势科技服务器深度安全防护系统管理中心和已启用中继的客户端的主机名这可能要求趋势科技服务器深度安全防护系统管理中心和已启用中继的客户端计算机拥有 DNS 项或在客户端 / 设备计算机的 hosts 文件中存在对应项系统将要求您在趋势科技服务器深度安全防护系统管理中心安装过程中提供此主机名如果没有 DNS, 请在安装期间输入 IP 地址 19

20 所需条件 (VMware vshield) 可靠时间戳运行趋势科技服务器深度安全防护系统软件的所有计算机均应与可靠的时间源保持同步例如, 定期与网络时间协议 (NTP) 服务器通信性能建议请参阅趋势科技服务器深度安全防护系统管理中心性能特点 ( 第 73 页 ) 趋势科技服务器深度安全防护系统管理中心和数据库硬件很多趋势科技服务器深度安全防护系统管理中心操作 ( 例如更新和漏洞扫描 ( 推荐设置 ) ) 需要使用较高的 CPU 和较多的内存资源趋势科技建议高规格环境中的每个管理中心节点均拥有 4 个核心和足够的内存数据库应该安装在与性能最好的趋势科技服务器深度安全防护系统管理中心节点的规格相同或更高的硬件之上为了实现最高的性能, 数据库应拥有 8-16GB 内存并且可以快速访问本地或网络连接存储器在可能的情况下, 应咨询数据库管理员有关数据库服务器的最佳配置, 并且应实施维护计划有关更多信息, 请参阅数据库部署考虑事项 ( 第 21 页 ) 专用服务器如果最终部署预期不超过 1000 台计算机 ( 实体或虚拟 ), 则可以在同一计算机上安装趋势科技服务器深度安全防护系统管理中心和数据库如果您认为可能会超过 1000 台计算机, 则应在专用服务器上安装趋势科技服务器深度安全防护系统管理中心和数据库数据库和趋势科技服务器深度安全防护系统管理中心位于拥有 1GB LAN 连接的同一网络中也很重要, 这样可确保在两者之间进行顺畅的通信同样的情况适用于其他趋势科技服务器深度安全防护系统管理中心节点建议管理中心和数据库之间的连接延迟为 2 毫秒或更低高可用性环境如果使用 VMware 高可用性 (HA) 功能, 请确保在开始安装趋势科技服务器深度安全防护系统之前建立了 HA 环境必须在所有 ESXi 虚拟机监控程序 ( 包括用于恢复操作的 ESXi 虚拟机监控程序 ) 上部署趋势科技服务器深度安全防护系统在所有虚拟机监控程序上部署趋势科技服务器深度安全防护系统将确保在 HA 恢复操作之后防护仍然有效如果在使用 VMware 分布式资源计划程序 (DRS) 的 VMware 环境中部署虚拟设备, 重要的是在 DRS 进程中该设备不与虚拟机一起 vmotion 必须将虚拟设备固定到其特定的 ESXi Server 您必须主动将所有虚拟设备的 DRS 设置更改为手动或禁用 ( 推荐 ), 以便 DRS 不会对其 vmotion 如果虚拟设备( 或任何虚拟机 ) 已设置为禁用, 则 vcenter Server 不会迁移该虚拟机或为其提供迁移建议这称为将虚拟机绑定到其注册的主机这是对 DRS 环境中的虚拟设备的推荐操作过程另一种方法是将虚拟设备部署到本地存储, 而不是共享存储将虚拟设备部署到本地存储后,DRS 将无法对其进行 vmotion 有关 DRS 以及将虚拟机绑定到特定 ESXi Server 的更多信息, 请查看 VMware 文档如果虚拟机由 DRS 从受 DSVA 保护的 ESXi vmotion 到不受 DSVA 保护的 ESXi, 则该虚拟机将不受保护如果随后将虚拟机 vmotion 回原始 ESXi, 则其不会再次自动受到保护, 除非您创建了基于事件的任务来激活和保护已通过可用 DSVA vmotion 到 ESXi 的计算机 20

21 数据库部署注意事项数据库部署注意事项有关数据库安装和部署的说明, 请参阅数据库提供商的文档, 但是在与趋势科技服务器深度安全防护系统集成时, 请记住以下注意事项在趋势科技服务器深度安全防护系统之前安装在安装趋势科技服务器深度安全防护系统管理中心之前, 必须安装数据库软件为趋势科技服务器深度安全防护系统创建数据库实例 ( 如果您不想使用缺省实例 ), 以及为趋势科技服务器深度安全防护系统创建用户帐户位置数据库必须位于与趋势科技服务器深度安全防护系统管理中心相同的网络上, 在 LAN 上的连接速度为 1Gb/s ( 不建议使用 WAN 连接 ) 专用服务器应将数据库安装在单独的专用计算机上 Microsoft SQL Server 启用远程 TCP 连接 ( 请参阅趋势科技服务器深度安全防护系统管理中心使用的数据库帐户必须具有 db_owner 权限如果使用多租户, 则趋势科技服务器深度安全防护系统管理中心使用的数据库帐户必须具有 dbcreator 权限为数据库选择简单恢复模型属性 ( 请参阅 Oracle Database 启动 Oracle 监听器服务并确保其接受 TCP 连接必须为趋势科技服务器深度安全防护系统管理中心使用的数据库帐户授予 CONNECT 和 RESOURCE 角色, 以及 UNLIMITED TABLESPACE CREATE SEQUENCE CREATE TABLE 和 CREATE TRIGGER 系统权限如果使用多租户, 则必须为趋势科技服务器深度安全防护系统管理中心使用的数据库帐户授予 CREATE ALTER USER GRANT ANY PRIVILEGE 和 GRANT ANY ROLE 系统权限 USER DROP USER 传输协议建议的传输协议为 TCP 如果使用命名管道连接到 SQL Server, 则趋势科技服务器深度安全防护系统管理中心的主机与 SQL Server 主机之间必须存在经适当认证的 Microsoft Windows 通信通道此通道在以下情况下已存在 : SQL Server 与趋势科技服务器深度安全防护系统管理中心位于同一主机上两台主机为同一域的成员两台主机之间存在信任关系如果不存在此通信通道, 则趋势科技服务器深度安全防护系统管理中心将无法通过命名管道与 SQL Server 进行通信 21

22 数据库部署注意事项趋势科技服务器深度安全防护系统管理中心安装期间使用的连接设置在趋势科技服务器深度安全防护系统管理中心安装期间, 系统将要求您提供数据库连接详细信息在主机名下输入数据库主机名, 并在数据库名称下输入为趋势科技服务器深度安全防护系统预创建的数据库安装支持 SQL 和 Windows 认证使用 Windows 认证时, 单击高级按钮以显示其他选项避免在数据库用户名中出现特殊字符 (Oracle) 虽然 Oracle 允许在用引号括起来的数据库对象名称中使用特殊字符, 但趋势科技服务器深度安全防护系统不支持在数据库对象名称中使用特殊字符 Oracle Web 站点上的以下页面介绍了不带引号的名称中允许使用的字符 : 保持数据库名称简短 (SQL Server) 使用多租户时, 保持主数据库名称简短可使租户的数据库名称更易于读取 ( 即, 如果主数据库是称将是 "MAINDB_1", 第二个租户的数据库名称将是 "MAINDB_2", 依此类推 ) "MAINDB", 则第一个租户的数据库名如果您针对 AWS Marketplace 版本的趋势科技服务器深度安全防护系统管理中心, 使用按使用情况付费的使用授权, 则不支持多租户 Oracle RAC 支持趋势科技服务器深度安全防护系统支持 : SUSE Linux Enterprise Server 11 SP1 和 Oracle RAC 11g R2 (v ) Red Hat Linux Enterprise Server 5.8 和 Oracle RAC 11g R2 (v ) 将缺省 Linux 服务器趋势科技服务器深度安全防护系统策略应用于 Oracle RAC 节点时, 应该不会造成与 Oracle 自动存储管理 (ASM) 和群集服务的通信问题但是, 如果出现问题, 请尝试根据 Oracle RAC 文档中的端口要求定制防火墙设置, 或完全禁用防火墙高可用性只要未对数据库架构进行任何修改, 趋势科技服务器深度安全防护系统数据库便会与数据库故障转移保护兼容例如, 某些数据库复制技术会在复制期间向数据库表中添加列, 从而导致严重故障因此, 建议使用数据库镜像, 而不要进行数据库复制 22

23 部署 DSVA 所需的最低 VMware 权限 (vshield) 部署 DSVA 所需的最低 VMware 权限 (vshield) 以下各表列出了 VMware 角色所需的 VMware 环境权限, 该 VMware 角色被分配给趋势科技服务器深度安全防护系统管理中心部署趋势科技服务器深度安全防护系统虚拟设备所使用的帐户 ( 该帐户用于在将 vcenter 添加到趋势科技服务器深度安全防护系统管理中心时连接到 vcenter ) 必须在主机和群集视图中在数据中心级别上应用这些权限在与 vcenter 同步期间, 如果趋势科技服务器深度安全防护系统管理中心接收到关于新文件夹 ( 非现有文件夹的子文件夹 ) 的信息, 它将需要跟踪其父文件夹直到数据中心, 以确定该文件夹属于哪个数据中心仅在群集级别上应用这些权限将导致同步错误以下各表列出了必需的权限和需要该权限的功能要设置权限, 请使用 vsphere Web Client 编辑趋势科技服务器深度安全防护系统管理中心访问 vcenter 所使用的角色的属性在 vsphere Role Editor 的 Privileges 树中可以找到所需的权限这些表按如下方式组织 : 1. 准备 ESXi Server 在 ESXi Server 上加载内核驱动程序, 并配置单独的 vswitch 以便于加速 DSVA 的内部连接 2. 部署虚拟设备虚拟设备本身是从 OVF 文件部署的 3. 部署到启用了 DRS 的群集中 4. 激活虚拟机 ( 受保护的计算机 ) 5. 持续的操作日常的趋势科技服务器深度安全防护系统操作准备 ESXi Server 权限主机 > 配置 > 更改设置主机 > 配置 > 维护主机 > 配置 > 网络配置主机 > 配置 > 高级设置主机 > 配置 > 查询 Patch 主机 > 配置 > 连接主机 > 配置 > 安全配置文件和防火墙全局 > 取消任务功能在 ESXi 上查询模块进入和退出维护模式添加新的虚拟交换机端口组虚拟 NIC 等设置网络以便在 ESXi 上进行 dvfilter 通信安装过滤器驱动程序断开 / 重新连接主机重新配置传出防火墙连接以便允许从 DSM 检索过滤器驱动程序包取消任务 ( 需要时 ) 所需部署虚拟设备权限 vapp > 导入 vapp > vapp 应用程序配置数据存储 > 分配空间主机 > 配置 > 虚拟机自动启动配置网络 > 分配网络虚拟机 > 配置 > 添加新磁盘虚拟机 > 交互 > 打开虚拟机 > 交互 > 关闭功能从 OVF 文件部署 DSVA 升级 DSVA 在数据存储上为 DSVA 分配空间将 DSVA 设置为在 ESXi 上自动启动将 DSVA 分配给网络将磁盘添加到 DSVA 打开 DSVA 关闭 DSVA 23

24 部署 DSVA 所需的最低 VMware 权限 (vshield) 部署到启用了 DRS 的群集权限主机 > 清单 > 修改群集功能将 DSVA 部署到启用了 DRS 的群集激活虚拟机 ( 受保护的计算机 ) 权限虚拟机 > 配置 > 高级功能为 dvfilter 重新配置虚拟机持续的操作权限主机 > 配置 > 更改设置虚拟机 > 配置 > 高级功能在 ESXi 上查询模块为 dvfilter 重新配置虚拟机 24

25 选择无客户端防护或组合模式选择无客户端防护或组合模式在趋势科技服务器深度安全防护系统 9.6 中, 保护虚拟机有两个方案 : 无客户端防护或组合模式无客户端防护在 9.6 之前版本的趋势科技服务器深度安全防护系统中, 趋势科技服务器深度安全防护系统虚拟设备 (DSVA) 与过滤器驱动程序协同工作来保护虚拟机, 从而使您不必安装客户虚拟机客户端虚拟设备安装在 ESXi Server 上, 并使用 VMware 的 VMsafe-NET API 来截获通过虚拟机监控程序的网络流量对每台虚拟机应用安全策略相较于客户虚拟机客户端, 虚拟设备可提供以下一些特有的安全优势 : 设备与客户虚拟机隔离客户虚拟机可在仅安装最少所需软件的情况下运行可以简单快速的保护可能尚未为其分配安装安全软件的管理时间的新计算机和恢复的计算机可以保护不能直接访问其操作系统的虚拟机和其他设备, 即使这些计算机由其他管理员管理也是如此趋势科技服务器深度安全防护系统虚拟设备简化了部署无需在虚拟机上远程安装客户端软件无需从趋势科技服务器深度安全防护系统连接到虚拟机趋势科技服务器深度安全防护系统 9.6 不包含过滤器驱动程序, 您不能将旧版过滤器驱动程序与 DSVA 9.6 结合使用在没有过滤器驱动程序的情况下,DSVA 9.6 仅能为虚拟机提供防恶意软件和完整性监控防护或者, 如果要为虚拟机提供全面的无客户端防护, 您可将趋势科技服务器深度安全防护系统或 9.5 SP1 版本的过滤器驱动程序和 DSVA 与趋势科技服务器深度安全防护系统管理中心 9.6 结合使用组合模式如果您使用的是 9.6 版本的 DSVA 并且需要防恶意软件和完整性监控及其他模块, 则您需要在每个虚拟机上安装趋势科技服务器深度安全防护系统客户端如果您同时在 ESXi Server 上安装了 DSVA, 则此方法称为组合模式使用组合模式时,DSVA 可提供防恶意软件和完整性监控功能趋势科技服务器深度安全防护系统客户端可提供 Web 信誉防火墙入侵防御和日志审查如果虚拟机正在运行 Linux, 则防恶意软件支持由趋势科技服务器深度安全防护系统客户端提供, 而不是由 DSVA 提供趋势科技服务器深度安全防护系统 9.5 SP1 和较早版本包含使用协调方法来保护虚拟机的功能使用协调方法时, 主要防护由趋势科技服务器深度安全防护系统客户端提供, 并且 DSVA 可在客户端脱机时提供故障转移保护如果使用的是趋势科技服务器深度安全防护系统 9.6, 则协调方法不可用如果从使用协调方法的系统进行升级, 则该系统将迁移到组合模式 25

26 为无客户端防护准备 vshield 环境为无客户端防护准备 vshield 环境下面介绍了典型 VMware 环境中的趋势科技服务器深度安全防护系统部署需要以下两种 ESXi Server: 主机 A: 是 ESXi 虚拟机监控程序, 在其上运行趋势科技服务器深度安全防护系统管理中心 vshield Manager 和 vcenter Server 的单个虚拟机 (VM) ( 可选 ) 可以在主机 A 上的虚拟机上安装趋势科技云安全智能防护服务器和已启用中继的客户端还可以为另一个趋势科技服务器深度安全防护系统管理中心节点提供其他虚拟机还应该为安装趋势科技服务器深度安全防护系统数据库提供一个 VM 主机 B: 是 ESXi 虚拟机监控程序, 在其上运行趋势科技服务器深度安全防护系统虚拟设备 (DSVA) 和需要防护的 VM vcenter Server vshield Manager 和趋势科技服务器深度安全防护系统管理中心安装在单独的 ESXi 上, 因为在趋势科技服务器深度安全防护系统部署期间必须重新启动受保护的 ESXi 趋势科技服务器深度安全防护系统数据库可以安装在物理计算机或虚拟机上所需资源核对清单检查软件要求 VMware vcenter 或 6.0 VMware vshield Manager 或更高版本 ( 对于 vsphere 5.5) 或者 VMware vshield Manager 或更高版本 ( 对于 vsphere 6.0) 趋势科技服务器深度安全防护系统管理中心 9.6 (DSM) VMware vshield Endpoint 或 6.0 趋势科技服务器深度安全防护系统虚拟设备 9.6 (DSVA) 支持的客户虚拟机操作系统注意包括 vcenter Server 和 vcenter Client GUI 应用程序产品安装期间需要使用授权产品安装期间需要使用授权产品安装期间需要使用授权将使用授权添加到 vcenter 在每个客户虚拟机 VM 上需要的 vshield Endpoint 驱动程序 ( 从 ESXi 5.0 patch ESXi 开始,vShield Endpoint 驱动程序包括在 VMware Tools 中 ) 在 ESXi Server B 上安装 vshield Endpoint 本节列出完成趋势科技服务器深度安全防护系统与 VMware 环境集成以进行无客户端防护所需的其他任务此时... 已经按照为无客户端防护准备 VMware 环境中所述设置了 VMware 环境已经安装了趋势科技服务器深度安全防护系统管理中心 ( 和数据库 ) 已安装并配置了已启用中继的客户端 ESXi Server B 上的 VMware vshield Endpoint 部署 1. 通过浏览到来登录 vshield Manager 2. 在设置和报告 > 配置选项卡中, 输入 vcenter Server 信息 3. 在左侧导航窗格中, 选择趋势科技服务器深度安全防护系统要保护的 ESXi 虚拟机监控程序 ( 主机 B) 4. 在摘要摘要选项卡上, 单击 vshield Endpoint 服务的安装安装链接 5. 选择要安装 / 升级的服务, 选中 vshield Endpoint 并单击窗口右上方的安装安装按钮单击确定确定 26

27 为无客户端防护准备 vshield 环境 6. 安装后, 确保服务 vshield Endpoint 正确显示安装的版本 ( 安装链接已更改为卸载 ) 在 ESXi Server B 要保护的 VM 上安装 vshield Endpoint 驱动程序在受趋势科技服务器深度安全防护系统虚拟设备无客户端保护的每台 VM 上 1. 安装客户虚拟机操作系统 ( 如果使用 Windows 2003 Server, 请确保安装 Service Pack 2) 2. 将 VMware vshield Endpoint 驱动程序安装到此计算机 vshield Endpoint 驱动程序包含在 VMware Tools 的 vshield 驱动程序中 ( 请注意, 安装 VMware Tools 期间缺省情况下不安装 vshield 驱动程序 ) 1. 启动 VMware Tools 安装程序并选择执行交互式安装 2. 在 VMware Tools 安装期间, 选择自定义安装 3. 展开 "VMware Device Drivers" 4. 展开 "VMCI Driver" 5. 选择 vshield 驱动程序并选择此功能将安装在本地驱动器上此功能将安装在本地驱动器上 6. 单击是重新启动计算机如果打算使用手动或预设扫描, 请务必在客户虚拟机上关闭睡眠模式和待机模式如果客户虚拟机在扫描期间进入睡眠或待机模式, 则会遇到指出扫描异常终止的错误虚拟机必须处于正在运行状态才能成功完成扫描在高可用性环境中, 为了向已进行 vmotion 的客户虚拟机提供无客户端防护, 必须在群集中的所有 ESXi 虚拟机监控程序上安装趋势科技服务器深度安全防护系统虚拟设备 27

28 安装

29 安装趋势科技服务器深度安全防护系统管理中心安装趋势科技服务器深度安全防护系统管理中心准备工作数据库在安装趋势科技服务器深度安全防护系统管理中心之前, 必须先安装数据库软件, 为要使用的趋势科技服务器深度安全防护系统管理中心创建数据库和用户帐户有关安装数据库的信息, 请参阅数据库部署注意事项 ( 第 21 页 ) 已启用共置的中继的客户端趋势科技服务器深度安全防护系统部署需要至少一个中继 ( 已启用中继功能的趋势科技服务器深度安全防护系统客户端 ) 中继会将软件和安全更新分发至客户端 / 设备, 从而保持您的防护功能为最新趋势科技建议将已启用中继的客户端安装在趋势科技服务器深度安全防护系统管理中心所在的计算机上, 以保护主机计算机并充当本地中继在安装趋势科技服务器深度安全防护系统管理中心期间, 安装程序将在其本地目录中查找客户端安装包 ( 完整的 zip 软件包而非核心客户端安装程序 ) 如果在本地没有找到安装包, 安装程序将尝试通过 Internet 连接至趋势科技下载专区, 从中找到客户端安装包如果在上述任一位置找到安装包, 则在安装趋势科技服务器深度安全防护系统管理中心期间您可以选择安装共置的已启用中继的客户端 ( 如果在两个位置均找到客户端安装包, 则将选择两个版本中的最新版本 ) 客户端可用于保护趋势科技服务器深度安全防护系统管理中心主机, 但是, 最初仅在已启用中继模块的情况下安装客户端要启用防护, 必须应用适当的安全策略如果无可用的客户端安装包, 则趋势科技服务器深度安全防护系统管理中心安装过程将不使用它继续进行 ( 但是之后必须安装已启用中继的客户端 ) 可在之后安装其他已启用中继的客户端, 由您的环境决定 ( 有关安装已启用中继的客户端的说明, 请参阅安装趋势科技服务器深度安全防护系统客户端 ( 第 37 页 ) 和配置中继 ( 第 48 页 ) ) 代理服务器信息如果趋势科技服务器深度安全防护系统将需要使用代理服务器通过 Internet 连接至趋势科技更新服务器, 请准备好代理服务器地址端口和登录凭证多节点管理中心可将 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心作为使用单个数据库并行工作的多个节点运行将管理中心作为多节点运行可提供更高的可靠性冗余可用性几乎无限的可扩展性以及更好的性能每个节点均能执行所有任务, 且所有节点的重要性相同用户可登录任意节点以执行任务任意一个节点出现故障不会导致任何任务无法执行任意一个节点出现故障不会导致任何数据丢失每个节点必须运行相同版本号的管理中心软件执行管理中心软件升级时, 要升级的第一个管理中心将接管所有 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心职责, 并关闭所有其他 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心节点它们将在系统信息系统信息页面的系统活动系统活动部分中的带有活动表的网络拓扑图带有活动表的网络拓扑图中显示为脱机, 并表明需要升级在其他节点上执行升级后, 这些节点会自动返回联机状态, 并开始分担 DSM 任务要将 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心节点添加到您的安装, 请在新计算机上运行管理中心安装包出现提示时, 键入使用的数据库的位置和登录凭证当安装程序连接到数据库后, 就可以继续将节点添加到系统必须使用 MS SQL Server 或 Oracle Database 才能运行多个节点在任何时候都不应同时运行多个安装程序实例这样做会导致不可预测的结果, 包括数据库损坏 29

安装趋势科技服务器深度安全防护系统管理中心下载安装包从趋势科技下载专区下载最新版本的趋势科技服务器深度安全防护系统管理中心 ( 也可选择下载趋势科技服务器深度安全防护系统客户端 ) 软件, 网址为 : http://downloadcenter.trendmicro.com/?

30 安装趋势科技服务器深度安全防护系统管理中心下载安装包从趋势科技下载专区下载最新版本的趋势科技服务器深度安全防护系统管理中心 ( 也可选择下载趋势科技服务器深度安全防护系统客户端 ) 软件, 网址为 : 安装适用于 Windows 的趋势科技服务器深度安全防护系统管理中心 1. 将趋势科技服务器深度安全防护系统管理中心安装包复制到目标计算机通过双击安装包来启动趋势科技服务器深度安全防护系统管理中心安装程序 2. 许可协议 : 如果您同意许可协议的条款, 请选择我接受趋势科技许可协议的条款我接受趋势科技许可协议的条款 3. 安装路径 : 选择用于安装趋势科技服务器深度安全防护系统管理中心的文件夹并单击下一步下一步 30

31 安装趋势科技服务器深度安全防护系统管理中心 4. 数据库 : 选择之前安装的数据库如果数据库为 SQL Server, 请单击高级以指定命名实例域或缺省排序规则的使用排序规则决定了如何对字符串进行排序和比较缺省情况下为取消选定, 表示趋势科技服务器深度安全防护系统将使用 Latin1_General_CS_AS 对文本型列进行排序如果选择使用缺省排序规则, 趋势科技服务器深度安全防护系统将使用 SQL Server 数据库指定的排序方法有关排序规则的其他信息, 请参考 SQL Server 文档 5. 产品激活 : 输入激活码请输入所有防护模块的激活码或分别输入已购买使用授权的各个模块的激活码如果未输入任何激活码, 您仍可以继续, 但将无法使用任何防护模块 ( 您可以在安装趋势科技服务器深度安全防护系统管理中心后转至管理 > 使用授权, 输入首个激活码或添加激活码 ) 31

32 安装趋势科技服务器深度安全防护系统管理中心 6. 地址和端口 : 输入此计算机的主机名 URL 或 IP 地址管理中心地址必须为可解析的主机名 ( 完全限定的域名 ) 或 IP 地址如果环境中 DNS 不可用, 或如果某些计算机无法使用 DNS, 则应使用固定 IP 地址而不使用主机名可以选择更改缺省通信端口 : 管理中心端口指可通过 HTTPS 访问管理中心的基于浏览器的 UI 的端口波动信号端口指管理中心侦听来自客户端 / 设备的通信的端口 7. 管理员帐户 : 输入主管理员帐户的用户名和密码选中强制使用强密码 ( 建议 ) 会要求此管理员及以后创建的管理员的密码包括大写和小写字母非字母数字字符以及数字, 并且要求使用最小字符数用户名和密码非常重要您将需要使用用户名和密码登录到趋势科技服务器深度安全防护系统管理中心如果拥有管理中心主机的 admin 权限, 则可以使用 dsm_c -action unlockout -username USERNAME -newpassword NEWPASSWORD 命令重置帐户密码 32

33 安装趋势科技服务器深度安全防护系统管理中心 8. 配置安全更新 : 选择创建预设任务以定期检查安全更新创建预设任务以定期检查安全更新选项将创建预设任务, 自动从趋势科技检索最新的安全更新并将其分发至客户端和设备 ( 以后可以使用趋势科技服务器深度安全防护系统管理中心配置更新 ) 如果趋势科技服务器深度安全防护系统管理中心将需要使用代理通过 Internet 连接至趋势科技更新服务器, 请选择连接到趋势科技以检查安全更新时使用代理服务器并输入代理信息 9. 配置软件更新 : 选择创建预设任务以定期检查软件更新创建预设任务以定期检查软件更新选项将创建预设任务, 自动从趋势科技检索最新的软件更新并将其分发至客户端和设备 ( 以后可以使用趋势科技服务器深度安全防护系统管理中心配置更新 ) 如果趋势科技服务器深度安全防护系统管理中心需要使用代理服务器通过 Internet 连接至趋势科技更新服务器, 请选择连接到趋势科技以检查软件更新时使用代理服务器并输入代理服务器信息 33

34 安装趋势科技服务器深度安全防护系统管理中心 10. 共置的已启用中继的客户端 : 如果在本地文件夹或从趋势科技下载专区可以找到客户端安装包, 则可以选择安装共置的已启用中继的客户端任何趋势科技服务器深度安全防护系统安装均至少需要一个中继来下载和分发安全和软件更新如果现在不安装已启用中继的客户端, 则需要稍后进行安装强烈建议安装共置的已启用中继的客户端 11. 云安全智能防护网络 : 选择是否要启用趋势科技智能反馈 ( 推荐 ) ( 以后可以使用趋势科技服务器深度安全防护系统管理中心启用或配置智能反馈 )( 可选 ) 通过从下拉列表中进行选择来输入行业 12. 安装信息 : 验证输入的信息, 然后单击安装安装继续 34

35 安装趋势科技服务器深度安全防护系统管理中心 13. 选择启动趋势科技服务器深度安全防护系统管理中心控制台, 以在设置完成后打开 Web 浏览器访问趋势科技服务器深度安全防护系统管理中心 URL 单击完成完成关闭安装向导趋势科技服务器深度安全防护系统管理中心服务会在安装完成时启动安装程序会在程序菜单中添加趋势科技服务器深度安全防护系统管理中心的快捷方式如果要远程访问管理中心, 应注意此 URL 安装适用于 Linux 的趋势科技服务器深度安全防护系统管理中心在带 X Window 系统的 Linux 操作系统上安装趋势科技服务器深度安全防护系统管理中心的步骤顺序与 Windows( 以上所述 ) 的步骤相同有关执行 Linux 静默安装的信息, 请参阅静默安装趋势科技服务器深度安全防护系统管理中心 ( 第 79 页 ) 如果在已启用 iptables 的 Linux 上安装趋势科技服务器深度安全防护系统管理中心, 则需要将 iptables 配置为允许通过 TCP 端口 4119 和 4120 通信启动趋势科技服务器深度安全防护系统管理中心趋势科技服务器深度安全防护系统管理中心服务在安装后自动启动可以从 Microsoft 服务管理控制台启动重新启动和停止该服务服务名称是 "Trend Micro Deep Security Manager" 要运行基于 Web 的管理控制台, 请转至开始菜单 (MS Windows) 或 K 菜单 (X Windows) 中的趋势科技程序组, 并单击趋势科技服务器深度安全防护系统管理中心要从远程计算机运行基于 Web 的管理控制台, 您必须记住以下 URL: 35

36 安装趋势科技服务器深度安全防护系统管理中心其中,[hostname] 是安装趋势科技服务器深度安全防护系统管理中心的服务器的主机名,[port] 是在安装的步骤 8 中指定的管理中心端口 ( 缺省为 4119) 要求访问基于 Web 的管理控制台的用户使用他们的用户帐户凭证进行登录 ( 在安装期间创建的凭证可用于登录并创建其他用户帐户 ) 趋势科技服务器深度安全防护系统管理中心会为与客户端 / 设备中继和用户 Web 浏览器的连接创建为期 10 年的自签名证书但是, 对于已添加的安全, 可以使用可信证书颁发机构 (CA) 的证书替换此证书 ( 在趋势科技服务器深度安全防护系统管理中心升级之后会保留此类证书 ) 有关使用来自 CA 的证书的信息, 请参阅创建 SSL 认证证书 ( 第 76 页 ) 手动导入其他趋势科技服务器深度安全防护系统软件可从趋势科技服务器深度安全防护系统管理中心的管理 > 更新 > 软件 > 下载专区页面, 导入趋势科技服务器深度安全防护系统客户端及其支持的软件包其他软件包必须从趋势科技下载专区网站 ( 手动导入将其他趋势科技服务器深度安全防护系统软件导入趋势科技服务器深度安全防护系统管理中心 : 1. 从趋势科技下载专区网站将软件下载至本地目录 2. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 本地页面, 然后在工具栏中单击导入..., 以显示导入软件导入软件向导 3. 使用浏览... 选项导航至已下载的软件并选择它 4. 单击下一步下一步然后单击完成, 退出向导软件现已导入趋势科技服务器深度安全防护系统管理中心 36

手动安装趋势科技服务器深度安全防护系统客户端手动安装趋势科技服务器深度安全防护系统客户端本节介绍如何安装和激活趋势科技服务器深度安全防护系统客户端以及如何启用中继功能 ( 如果需要 ) 导入客户端软件初始安装趋势科技服务器深度安全防护系统客户端时仅包含核心功能只有在客户端上启用防护模块后, 才会下载和安装该模块需要的插件因此,

37 手动安装趋势科技服务器深度安全防护系统客户端手动安装趋势科技服务器深度安全防护系统客户端本节介绍如何安装和激活趋势科技服务器深度安全防护系统客户端以及如何启用中继功能 ( 如果需要 ) 导入客户端软件初始安装趋势科技服务器深度安全防护系统客户端时仅包含核心功能只有在客户端上启用防护模块后, 才会下载和安装该模块需要的插件因此, 必须先将客户端软件包导入到趋势科技服务器深度安全防护系统管理中心, 然后才能在计算机上安装客户端 ( 需要将客户端导入趋势科技服务器深度安全防护系统管理中心的第二个原因是, 可以使用趋势科技服务器深度安全防护系统管理中心的用户界面轻松地从该软件包中提取客户端安装程序 ) 将客户端软件包导入趋势科技服务器深度安全防护系统 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 下载专区下载专区页面将显示趋势科技提供的所有客户端软件的最新版本 2. 从列表中选择所需的客户端软件包, 然后在菜单栏中单击导入导入趋势科技服务器深度安全防护系统将开始从趋势科技下载专区将该软件下载至趋势科技服务器深度安全防护系统管理中心 3. 软件下载完成后, 该客户端的已导入已导入列中将显示绿色勾选标记导出客户端安装程序 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 本地 2. 从列表中选择客户端, 然后在菜单栏中选择导出 > 导出安装程序... 如果您拥有适用于同一平台的客户端的较旧版本, 则该软件的最新版本将在为最新为最新列中有绿色勾选标记 37

38 手动安装趋势科技服务器深度安全防护系统客户端 3. 将客户端安装程序保存到本地文件夹中仅单独使用已导出的客户端安装程序包 (.msi 或.rpm 文件 ) 来安装趋势科技服务器深度安全防护系统客户端如果提取出完整的客户端 zip 软件包, 然后从包含其他压缩的客户端组件的文件夹运行客户端安装程序, 则将会安装所有安全模块 ( 但不会打开 ) 如果您使用核心客户端安装程序, 则将从趋势科技服务器深度安全防护系统管理中心下载各个模块并根据需要进行安装, 以尽可能降低对本地计算机的影响趋势科技服务器深度安全防护系统客户端 "zip" 文件在趋势科技下载专区中提供, 供需要手动将客户端导入其趋势科技服务器深度安全防护系统环境的用户下载, 因为这些客户的趋势科技服务器深度安全防护系统管理中心留有间隙, 无法直接连接至下载专区网站对于其趋势科技服务器深度安全防护系统管理中心可连接至下载专区的用户, 强烈建议使用趋势科技服务器深度安全防护系统管理中心界面导入其客户端软件包如果在相应软件包尚未导入趋势科技服务器深度安全防护系统管理中心的情况下尝试安装客户端, 则会导致出现严重问题安装 Windows 客户端 1. 将客户端安装程序文件复制到目标计算机, 然后双击安装文件以运行安装包在欢迎使用窗口中, 单击下一步下一步开始安装在 Windows Server 2012 R2 Server Core 上, 必须使用以下命令启动安装程序 :msiexec /i Agent- Core-Windows xxxx.x86_64.msi 在 Windows 2012 Server Core 上安装客户端时, 不包括通知程序 2. 最终用户许可协议 : 如果您同意许可协议的条款, 请选择我接受许可协议的条款我接受许可协议的条款并单击下一步下一步 3. 目标文件夹 : 选择要安装趋势科技服务器深度安全防护系统客户端的位置, 然后单击下一步下一步 38

39 手动安装趋势科技服务器深度安全防护系统客户端 4. 趋势科技服务器深度安全防护系统客户端安装准备就绪 : 单击安装安装继续安装 5. 已完成 : 在成功完成安装后, 单击完成完成此时, 趋势科技服务器深度安全防护系统客户端已在此计算机上安装且正在运行, 并且会在每次计算机启动时启动在安装期间, 网络接口会中断几秒钟, 然后恢复正常如果使用接生成新的 IP 地址 DHCP, 则会生成一个新的请求, 这可能导致为恢复的连安装 Red Hat SUSE Oracle Linux 或 Cloud Linux 客户端必须以 "root" 身份登录才能安装客户端或者, 可以使用 "sudo" 1. 将安装文件复制到目标计算机 2. 使用 "rpm -i" 安装 ds_agent 软件包 : # rpm -i <package name> Preparing...########################################## [100%] 1:ds_agent ########################################## [100%] Loading ds_filter_im module version ELx.x [ OK ] Starting ds_agent:[ OK ] ( 使用 "rpm -U" 从先前安装版本升级此方法将保留您的配置文件设置 ) 39

40 手动安装趋势科技服务器深度安全防护系统客户端 3. 趋势科技服务器深度安全防护系统客户端会在安装后自动启动安装 Ubuntu 或 Debian 客户端按照导入客户端软件 ( 见上文 ) 下的说明, 将下载专区中的相应 Ubuntu 或 Debian 客户端软件包导入趋势科技服务器深度安全防护系统管理中心, 然后导出安装程序 (.deb 文件 ) 要在 Ubuntu 或 Debian 上安装, 请将安装程序文件 (.deb) 复制到目标计算机并使用以下命令 : sudo dpkg -i < 安装程序文件 > 在 Linux 上启动停止和重置客户端 : 命令行选项 : 启动客户端 : /etc/init.d/ds_agent start 停止客户端 : /etc/init.d/ds_agent stop 重置客户端 : /etc/init.d/ds_agent reset 重新启动客户端 : /etc/init.d/ds_agent restart 安装 Solaris 客户端要求 : 对于 Solaris Sparc/9: libiconv 1.11 或更高版本 pfil_solaris_x.pkg Agent-Solaris_ xxxx.sparc.pkg.gz 对于 Solaris X86/10: Agent-Solaris_5.10_U xxxx.x86_64.pkg.gz Agent-Solaris_5.10_U xxxx.x86_64.pkg.gz 对于 Solaris X86/11: Agent-Solaris_ xxxx.i386.p5p.gz 对于 Solaris SPARC/11: Agent-Solaris_ xxxx.sparc.p5p.gz 40

41 手动安装趋势科技服务器深度安全防护系统客户端安装 Solaris 11 客户端 : 1. 将安装文件复制到目标计算机 2. 安装客户端 : gunzip Agent-Solaris_5.x_sparc-9.x.x-xxxx.sparc.p5p.gz pkg install -g Agent*p5p ds-agent svcadm enable ds_agent 安装 Solaris 10 客户端 : 1. 将安装文件复制到目标计算机 2. 安装客户端 : gunzip Agent-Solaris_5.10_U7-9.x.x-xxxx.x86_64.pkg.gz pkgadd -d Agent-Solaris_5.10_U7-9.x.x-xxxx.x86_64.pkg all 安装 Solaris Sparc 9 客户端 : 1. 获取所需的所有软件包 ( 见上文 ) 2. 将安装文件复制到目标计算机 3. 安装 libiconv-1.8-solx-sparc.gz: gunzip libiconv-1.8-solx-sparc.gz pkgadd -d libiconv-1.8-solx-sparc all 4. 安装 libgcc solx-sparc.gz: gunzip libgcc solx-sparc.gz pkgadd -d libgcc solx-sparc all 5. 安装 pfil: pkgadd -d pfil_solaris_x.pkg all 6. 将 pfil 流模块推送到网络接口 : ifconfig < 接口 > modinsert pfil@2 在网络接口流中,pfil 应紧随 ip 之后要确定 ip 的位置, 请执行以下命令 :ifconfig < 接口 > modlist, 并确保 modinsert 中使用的数字比 modlist 中使用的 ip 数字大一必须将 pfil 添加到客户端将保护的每个接口的网络堆栈中 :touch /etc/ipf.conf /etc/init.d/pfil start( 有关详细信息, 请参阅下面的在 Solaris(8 和 9 Sparc) 主机上安装 PFIL 的注意事项 ) 7. 安装客户端 : gunzip Agent-Solaris_5.x_sparc-9.x.x-xxxx.sparc.pkg.gz pkgadd -d Agent-Solaris_5.x_sparc-9.x.x-xxxx.sparc.pkg all 41

42 手动安装趋势科技服务器深度安全防护系统客户端在 Solaris 10 和 11 上启动停止和重置客户端 : svcadm enable ds_agent - 启动客户端 svcadm disable ds_agent - 停止客户端 /opt/ds_agent/dsa_control -r - 重置客户端 svcadm restart ds_agent - 重新启动客户端 svcs -a grep ds_agent - 显示客户端状态在 Solaris 9 上启动停止和重置客户端 : /etc/init.d/ds_agent start - 启动客户端 /etc/init.d/ds_agent stop - 停止客户端 /opt/ds_agent/dsa_control -r - 重置客户端 /etc/init.d/ds_agent restart - 重新启动客户端请注意, 过滤活动日志文件位于 /var/log/ds_agent 中在 Solaris(8 和 9 Sparc) 主机上安装 PFIL 的注意事项 Solaris 客户端使用由 Darren Reed 开发的 PFIL IP 过滤器组件趋势科技服务器深度安全防护系统当前支持版本我们已编写了此源代码并在趋势科技下载专区上提供了软件包 : 可以在以下站点上找到更多信息 : ( 要获取 PFIL 源代码的副本, 请联系您的支持提供商 ) pfil 的注意事项 ( 以下说明假设您的接口是 hme) 如果执行 ifconfig modlist, 您将看到如下推送到接口的流模块列表 ( 对于 hme0): 0 arp 1 ip 2 hme 需要在 ip 和 hme 之间插入 pfil: ifconfig hme0 modinsert pfil@2 检查该列表, 您会看到 : 0 arp 1 ip 2 pfil 3 hme 将 pfil 流模块配置为在打开设备时自动推送 : autopush -f /etc/opt/pfil/iu.ap 此时, strconf < /dev/hme 42

43 手动安装趋势科技服务器深度安全防护系统客户端应返回 : pfil hme 而且,modinfo 应显示 : # modinfo grep pfil d392c pfil (pfil Streams module ) d392c pfil (pfil Streams driver ) 安装 HP-UX 客户端 1. 以 Root 身份登录 2. 将安装文件复制到目标计算机 3. 将软件包复制到临时文件夹 ("/tmp") 4. 使用 gunzip 解压软件包 : /tmp> gunzip Agent-HPUX_xx.xx-x.x.x-xxxx.ia64.depot.gz 5. 安装客户端 :( 请注意, 应使用完整路径引用软件包, 而不能使用相对路径 ) /tmp> swinstall -s /tmp/agent-hpux_xx.xx-x.x.x-xxxx.ia64.depot ds_agent 要在 HP-UX 上启动和停止客户端, 请输入以下命令之一 : /sbin/init.d/ds_agent start /sbin/init.d/ds_agent stop 安装 AIX 客户端 1. 以 Root 身份登录 2. 将安装文件复制到目标计算机 3. 将软件包复制到临时文件夹 (/tmp) 4. 使用 gunzip 解压软件包 : /tmp> gunzip Agent-AIX_x.x-x.x.x-xxxx.powerpc.bff.gz 5. 安装客户端 : /tmp> installp a d /tmp/agent-aix_x.x-x.x.x-xxxx.powerpc.bff ds_agent 在 AIX 上启动客户端 : # startsrc -s ds_agent 在 AIX 上停止客户端 : # stopsrc -s ds_agent 在 AIX 上加载驱动程序 : # /opt/ds_agent/ds_fctrl load 43

手动安装趋势科技服务器深度安全防护系统客户端在 AIX 上退出驱动程序 : # /opt/ds_agent/ds_fctrl unload 使用部署脚本安装客户端向趋势科技服务器深度安全防护系统中受保护的资源列表中添加计算机并实施保护需要多个步骤才能完成大多数这些步骤都可以在计算机上从命令行本地执行, 因此也可以编写脚本

44 手动安装趋势科技服务器深度安全防护系统客户端在 AIX 上退出驱动程序 : # /opt/ds_agent/ds_fctrl unload 使用部署脚本安装客户端向趋势科技服务器深度安全防护系统中受保护的资源列表中添加计算机并实施保护需要多个步骤才能完成大多数这些步骤都可以在计算机上从命令行本地执行, 因此也可以编写脚本趋势科技服务器深度安全防护系统管理中心的部署脚本生成器可通过管理中心的支持菜单访问在 Windows 2012 Server Core 上安装客户端时, 不包括通知程序生成部署脚本 : 1. 启动部署脚本生成器, 方法是从趋势科技服务器深度安全防护系统管理中心的支持菜单 ( 位于趋势科技服务器深度安全防护系统管理中心窗口右上方 ) 中单击部署脚本选择要将软件部署到的平台下拉菜单中列出的平台将对应您导入到趋势科技服务器深度安全防护系统管理中心的软件 3. 选择安装后自动激活客户端安装后自动激活客户端 ( 可选, 但是趋势科技服务器深度安全防护系统管理中心必须在实施保护策略前激活客户端 ) 4. 选择要在计算机上实施的策略 ( 可选 ) 5. 选择计算机组 ( 可选 ) 6. 选择中继组做出以下选择后, 部署脚本生成器将生成脚本, 您可以将该脚本导入到您选择的部署工具中部署脚本生成器还可以通过位于管理 > 更新 > 软件 > 本地页面中的菜单栏启动趋势科技服务器深度安全防护系统管理中心为 Windows 客户端生成的部署脚本必须在 Windows PowerShell 版本 2.0 或更高版本中运行您必须以管理员身份运行 PowerShell, 并且可能需要运行以下命令才能运行脚本 : Set-ExcecutionPolicy RemoteSigned 在 Windows 计算机上, 部署脚本将使用与本地操作系统相同的代理服务器设置如果已将本地操作系统配置为使用代理服务器且趋势科技服务器深度安全防护系统管理中心仅可通过直接连接进行访问, 则部署脚本将失败 44

45 手动安装趋势科技服务器深度安全防护系统客户端 Linux 上的 Iptables 趋势科技服务器深度安全防护系统 9.5 或更高版本在安装期间不会禁用 Linux iptables 如果您使用的是 9.5 之前的客户端, 则必须按照以下所述进行操作 : 要在不影响 iptables 的情况下运行趋势科技服务器深度安全防护系统客户端, 请创建以下空文件 : /etc/use_dsa_with_iptables 如果趋势科技服务器深度安全防护系统客户端检测到该文件的存在, 则 iptables 在启用 Web 信誉防火墙或入侵防御模块以及启动 ds_filter 服务时不受影响对于 SUSE 11, 开始安装过程之前, 在目标计算机上执行以下操作 : 在 /etc/init.d/jexec 中的 # Required-Start:$local_fs 之后添加以下行 : # Required-Stop: 激活客户端必须在趋势科技服务器深度安全防护系统管理中心激活客户端后, 才能将其配置为充当中继或保护主机计算机激活新安装的客户端 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机页面, 然后单击新建 > 新建计算机..., 以显示新建计算机向导 2. 输入计算机的主机名或 IP 地址如果要使用客户端为主机计算机提供保护以及提供中继功能, 请从策略菜单选择趋势科技服务器深度安全防护系统策略否则请将策略策略设置保留为无 45

46 手动安装趋势科技服务器深度安全防护系统客户端 3. 向导将确认它将在计算机上激活客户端并应用安全策略 ( 如果已选择一个 ) 4. 在最后的窗口中, 取消选择在关闭时打开计算机详细信息, 然后单击关闭关闭 5. 客户端现已激活在趋势科技服务器深度安全防护系统管理中心, 转至计算机计算机窗口并检查计算机状态该状态应显示为被管理 ( 联机 ) 启用中继功能所有激活的 64 位 Windows 或 Linux 客户端均可配置为中继, 下载并分发安全和软件更新在客户端上启用中继功能后将无法禁用启用中继功能 : 1. 在趋势科技服务器深度安全防护系统管理中心, 转至计算机计算机页面, 双击具有新激活的客户端的计算机, 显示其详细信息详细信息编辑器窗口 2. 在计算机编辑器中, 转至概述 > 操作 > 软件区域, 然后单击启用中继启用中继单击关闭关闭关闭编辑器窗口 46

47 手动安装趋势科技服务器深度安全防护系统客户端 3. 在趋势科技服务器深度安全防护系统管理中心的计算机页面上, 该计算机的图标将从普通计算机 ( ) 变为具有已启用中继的客户端的计算机 ( ) 单击预览预览图标, 显示预览窗格, 可在其中查看中继模块将分发的更新组件的数量 Windows 2012 Server Core 注意事项在 Windows 2012 Server Core 上运行趋势科技服务器深度安全防护系统客户端时, 应记住以下事项 : 在安装趋势科技服务器深度安全防护系统客户端后, 趋势科技服务器深度安全防护系统不支持在 Server Core 和 Full (GUI) 模式之间切换 Windows 2012 Server 模式如果在 Hyper-V 环境中使用 Server Core 模式, 需要使用 Hyper-V Manager 从其他计算机远程管理 Server Core 计算机如果 Server Core 计算机已安装趋势科技服务器深度安全防护系统客户端且已启用防火墙, 防火墙将阻止远程管理连接要远程管理 Server Core 计算机, 请关闭防火墙模块 Hyper-V 提供迁移功能, 用于将客户 VM 从一台 Hyper-V 服务器移动到另一台服务器趋势科技服务器深度安全防护系统防火墙模块将阻止 Hyper-V 服务器之间的连接, 因此必须关闭防火墙模块才能使用迁移功能 47

48 安装和配置已启用中继的客户端安装和配置已启用中继的客户端中继是已启用中继功能的趋势科技服务器深度安全防护系统客户端中继会将安全和软件更新下载并分发至您的趋势科技服务器深度安全防护系统客户端和设备为使您的防护保持最新, 必须至少拥有一个已启用中继的客户端安装并激活趋势科技服务器深度安全防护系统客户端如果尚未在计算机上安装客户端, 请按照安装趋势科技服务器深度安全防护系统客户端 ( 第 37 页 ) 中的说明进行安装请向前跳至手动安装一节安装完客户端后, 需要将其激活激活客户端 : 1. 在趋势科技服务器深度安全防护系统管理中心, 转至计算机页面 2. 在菜单栏中, 单击新建 > 新建计算机..., 显示新建计算机新建计算机向导 3. 对于主机名, 请输入刚刚在其上安装了客户端的计算机的主机名或 IP 地址 4. 对于策略, 请基于计算机的操作系统选择相应的策略 5. 对于从以下位置下载安全更新, 请保留缺省设置 ( 缺省中继组 ) 6. 单击完成完成趋势科技服务器深度安全防护系统管理中心会将该计算机导入其计算机页面并激活客户端在趋势科技服务器深度安全防护系统客户端上启用中继功能在已安装的趋势科技服务器深度安全防护系统客户端上启用中继功能 : 1. 应已通过打开计算机的编辑器编辑器窗口完成添加新计算机和激活过程如果该窗口未打开, 请按照下面的步骤 2 将其打开 2. 在趋势科技服务器深度安全防护系统管理中心, 转至计算机计算机窗口, 找到要启用中继功能的客户端, 然后进行双击以打开其计算机编辑器窗口 3. 在计算机编辑器计算机编辑器窗口中, 转至概述 > 操作 > 软件, 然后单击启用中继启用中继如果未显示启用中继按钮, 请转至管理 > 更新 > 软件 > 本地, 检查是否已导入相应软件包还请确保计算机运行的客户端为 64 位版本趋势科技服务器深度安全防护系统管理中心将安装中继模块所需的插件, 之后客户端将开始作为中继运行如果您正在运行 Windows 防火墙或 iptables, 则还需要添加允许在已启用中继的客户端的端口 4122 上进行 TCP/IP 通信的防火墙规则已启用中继的客户端会被组织成中继组中继组新的已启用中继的客户端会自动分配至缺省中继组缺省中继组缺省中继组配置为从趋势科技服务器深度安全防护系统管理中心的管理 > 系统设置 > 更新选项卡上定义的主安全更新源中检索安全和软件更新 ( 缺省情况下, 主更新源是趋势科技的更新服务器, 但这是可配置的 ) 48

49 在 vshield 环境中部署无客户端防护在 vshield 环境中部署无客户端防护要求 VMware 要求必须正在运行以下 VMware 软件 : VMware vsphere 或 6.0 VMware vcenter 或 6.0 VMware ESXi 或 6.0 VMware vsphere Web Client vshield Manager: 如果要运行 vsphere 5.5, 请使用 vshield Manager 或更高版本如果要运行 vsphere 6.0, 请使用 vshield Manager 或更高版本 vshield 数据中心必须满足以下配置要求 : 必须在所有 ESXi Server 上安装 VMware vshield Endpoint 服务虚拟机上必须安装最新的 VMware 工具, 包括 VMware Guest Introspection 驱动程序有关配置符合上述要求的 vshield 环境的详细说明, 请查看您的 VMware 文档趋势科技服务器深度安全防护系统要求必须安装或导入以下趋势科技服务器深度安全防护系统软件 : 趋势科技服务器深度安全防护系统管理中心 9.6 必须与数据库一起安装 ( 请参阅安装趋势科技服务器深度安全防护系统管理中心 ( 第 29 页 ) ) 最好将趋势科技服务器深度安全防护系统管理中心数据库 VMware vcenter 和 vshield Manager 安装在与工作负载 ESXi Server 处于同一个数据中心的专用基础架构 ESXi Server 中必须安装并激活已启用中继功能的趋势科技服务器深度安全防护系统客户端, 且必须已完成下载所有更新 ( 有关安装和配置具有中继的客户端的说明, 请参阅安装趋势科技服务器深度安全防护系统客户端 ( 第 37 页 ) 和配置中继 ( 第 48 页 ) ) 必须将趋势科技服务器深度安全防护系统虚拟设备 (DSVA) 软件包导入到趋势科技服务器深度安全防护系统管理中心心虚拟设备在数据中心运行后, 就立即需要连接至已启用中继的客户端, 以便可以访问最新的安全和软件更新 VMware vsphere 6.0 不支持趋势科技服务器深度安全防护系统过滤器驱动程序对于 VMware vsphere 6.0, 趋势科技服务器深度安全防护系统虚拟设备支持使用防恶意软件模块和完整性监控模块如果要启用其他防护模块, 您还需要在客户虚拟机上安装趋势科技服务器深度安全防护系统客户端并以组合模式运行有关详细信息, 请参阅选择无客户端防护或组合模式 ( 第 25 页 ) 本节介绍如何准备 vshield 环境以使用 DSVA 进行无客户端防护向趋势科技服务器深度安全防护系统管理中心添加 vcenter 必须使用具有完全访问权限的趋势科技服务器深度安全防护系统管理中心用户帐户执行趋势科技服务器深度安全防护系统管理中心配置 1. 在趋势科技服务器深度安全防护系统管理中心的计算机计算机窗口中, 单击新建 > 添加 VMware vcenter... 49

50 在 vshield 环境中部署无客户端防护 2. 输入 vcenter Server IP 地址 ( 或主机名, 如果已配置 DNS 并能将 FQDN 解析为 IP 地址 ), 然后输入 vcenter 的用户名和密码单击下一步下一步 3. 接受 vcenter 证书 4. 输入 vshield Manager Server 地址用户名和密码 ( 也可在以后从趋势科技服务器深度安全防护系统管理中心配置此信息 ) 单击下一步下一步 5. 接受 vshield Manager SSL 证书 6. 查看 vcenter 信息单击完成完成 7. 此时将显示已成功添加 VMware vcenter 消息单击关闭关闭在具有 3000 台以上的计算机向 vcenter Server 报告的大型环境中, 此过程可能要花费 20 到 30 分钟来完成可以检查 vcenter 新任务部分来验证是否有活动正在运行将维护与此 VMware vcenter 的实时同步, 以使趋势科技服务器深度安全防护系统管理中心内显示的信息保持最新 (VM 数量及其状态等 ) 部署无客户端安全下一步是将趋势科技服务器深度安全防护系统虚拟设备部署到 ESXi Server 如果正在运行的 vsphere 版本支持趋势科技服务器深度安全防护系统过滤器驱动程序, 您还可以安装此过滤器驱动程序如果要在 vsphere 5.1 或 5.5 上安装趋势科技服务器深度安全防护系统过滤器驱动程序, 则 ESXi 会进入维护模式以执行此任务在此 ESXi 上运行的所有虚拟机必须停止 / 暂停或 vmotion 到其他 ESXi Server( 确保设置具有 vmotion 支持的群集服务器, 以便可以自动执行此操作 ) 1. 从趋势科技服务器深度安全防护系统管理中心中, 单击计算机 > vcenter 2. 在计算机列表中找到 ESXi Server( 其状态列应显示为未准备 ), 右键单击并选择操作 > 部署无客户端安全以显示部署无客户端安全向导单击下一步下一步您可以选择多个 ESXi Server, 前提是它们的版本和过滤器驱动程序状态全都相同 3. 在下一页上, 选择要部署到 ESXi Server 的组件您可以选择部署趋势科技服务器深度安全防护系统虚拟设备和 / 或趋势科技服务器深度安全防护系统过滤器驱动程序单击下一步下一步如果 ESXi Server 已安装了过滤器驱动程序, 则相应的复选框不可用如果在 vsphere 6 上安装, 则不会显示此页面 4. 如果您已选择安装过滤器驱动程序, 请选择是允许趋势科技服务器深度安全防护系统管理中心自动使 ESXi Server 进入和退出维护模式如果选择否, 则您必须自行将 ESXi 置于维护模式单击下一步下一步 5. 如果您已选择安装 DSVA, 请为该设备输入设备名称并为其选择数据存储选择数据中心的文件夹, 然后选择设备的管理网络单击下一步下一步 6. 如果您已选择安装 DSVA, 请定义设备主机名输入设备的 IPv4 地址和 / 或 IPv6 地址 ( 缺省情况下启用 DHCP) 单击下一步 7. 如果您已选择安装 DSVA, 请选择磁盘配置格式单击下一步下一步 8. 下一页概括了将执行的操作单击完成完成 9. 无客户端安全部署过程将会开始此过程完成后, 您会看到指明该过程已成功的消息 10. 如果您已选择安装 DSVA 并且安装已成功, 则可以选择让向导立即激活趋势科技服务器深度安全防护系统虚拟设备或在以后激活 ( 激活过程在后文加以描述 ) 单击下一步下一步 11. 单击关闭关闭此时, 虚拟设备会与其他计算机一同显示在趋势科技服务器深度安全防护系统管理中心的计算机 > vcenter 列表中的 vcenter 组中 50

51 在 vshield 环境中部署无客户端防护如果在使用 VMware 分布式资源计划程序 (DRS) 的 VMware 环境中部署虚拟设备, 重要的是在 DRS 进程中该设备不与虚拟机一起 vmotion 必须将虚拟设备固定到其特定的 ESXi Server 您必须主动将所有虚拟设备的 DRS 设置更改为手动或禁用 ( 推荐 ), 以便 DRS 不会对其 vmotion 如果虚拟设备( 或任何虚拟机 ) 已设置为禁用, 则 vcenter Server 不会迁移该虚拟机或为其提供迁移建议这称为将虚拟机绑定到其注册的主机这是对 DRS 环境中的虚拟设备的推荐操作过程 ( 另一种方法是将虚拟设备部署到本地存储, 而不是共享存储将虚拟设备部署到本地存储后,DRS 将无法对其 vmotion ) 有关 DRS 以及将虚拟机绑定到特定 ESXi 的更多信息, 请查看 VMware 文档在安装或升级趋势科技服务器深度安全防护系统过滤器驱动程序的过程中, 趋势科技服务器深度安全防护系统管理中心会将 ESXi 置于维护模式将已托管虚拟设备的 ESXi 置于维护模式后, 趋势科技服务器深度安全防护系统管理中心将自动关闭虚拟设备, 并且在退出维护模式后重新打开如果通过趋势科技服务器深度安全防护系统管理中心以外的方式将 ESXi 置于维护模式, 则不会自动关闭 / 打开虚拟设备激活趋势科技服务器深度安全防护系统虚拟设备激活虚拟设备 : 1. 在趋势科技服务器深度安全防护系统管理中心, 选择计算机 > vcenter 2. 右键单击 DSVA 计算机并选择操作 > 激活设备在显示的向导中, 单击下一步下一步 3. 对于策略, 选择趋势科技服务器深度安全防护系统虚拟设备趋势科技服务器深度安全防护系统虚拟设备 4. 选择与此虚拟设备通信的中继组中继组进行安全更新和软件更新, 然后单击下一步下一步启动激活过程 5. DSVA 将在 vshield Manager 中注册自己您将看到多个任务在 vcenter 控制台中执行 DSVA 需要 vshield Manager 才能配置位于 ESXi 上的每台计算机的 VMX 文件根据虚拟机数目, 可能要花费几个小时来完成激活如果 vshield Manager 遇到问题,DSVA 可能无法激活检查是否可以打开 vshield Manager Web 控制台如果它未响应, 您可以重新启动 vshield Manager 并在 vshield 启动后等待几分钟, 然后再次尝试 DSVA 激活 6. 在激活虚拟机激活虚拟机中, 选择要激活的虚拟机并单击完成完成虚拟设备现在已激活确认的方法为, 在趋势科技服务器深度安全防护系统管理中心的计算机计算机页面上找到该虚拟设备, 并看见它处于被管理 ( 联机 ) 状态 : 虚拟设备现在已激活, 因此可对 ESXi 上的所有 VM 进行保护, 方法为通过趋势科技服务器深度安全防护系统管理中心界面为它们分配深度安全防护策略如果未在激活虚拟设备过程 ( 如上文所述 ) 的最后一步激活某些虚拟机, 您可以手动激活这些虚拟机手动在虚拟机上激活虚拟设备防护 : 1. 右键单击计算机列表中的虚拟机, 然后选择操作 > 激活 2. 虚拟机的状态状态列将更改为被管理 ( 联机 ) 虚拟机此时已受虚拟设备保护, 即使该虚拟机上没有安装客户虚拟机客户端也是如此可像被趋势科技服务器深度安全防护系统管理中心管理的任何其他计算机一样, 为此虚拟机分配策略激活虚拟设备后, 后续添加到 ESXi Server 的任何虚拟机均可自动激活, 而且策略也可以自动应用检测到新的虚拟机后, 会自动为其分配策略有关如何执行这些自动操作的详细信息, 请参阅趋势科技服务器深度安全防护系统管理中心帮助中的基于事件的任务虚拟设备要求所有要保护的 VM 都已由 vcenter 分配了唯一的 UUID 如果复制 VM, 可能会发生出现重复 UUID 的情况复制 VM 后,vCenter 会询问您是创建新 VM 副本还是移动该 VM 如果您选择复制它选项,vCenter 将为其分配一个新 UUID 相反, 如果您选择移动它选项 ( 实际上已复制 ),vcenter 将不会为其分配新 UUID 如此, 您将具有两个 UUID 51

52 在 vshield 环境中部署无客户端防护相同的 VM, 这会导致虚拟设备出现问题如果指示虚拟设备保护多个具有相同 UUID 的 VM, 将引发警报且该操作将不成功 52

安装趋势科技服务器深度安全防护系统通知程序安装趋势科技服务器深度安全防护系统通知程序趋势科技服务器深度安全防护系统通知程序是用于 Windows 物理计算机或虚拟机的工具, 该工具在检测到恶意软件或阻止恶意 URL 时会提供本地通知趋势科技服务器深度安全防护系统通知程序在 Windows 计算机上随趋势科技服务器深度安全防护系统客户端自动安装

53 安装趋势科技服务器深度安全防护系统通知程序安装趋势科技服务器深度安全防护系统通知程序趋势科技服务器深度安全防护系统通知程序是用于 Windows 物理计算机或虚拟机的工具, 该工具在检测到恶意软件或阻止恶意 URL 时会提供本地通知趋势科技服务器深度安全防护系统通知程序在 Windows 计算机上随趋势科技服务器深度安全防护系统客户端自动安装此处介绍的独立型安装用于受趋势科技服务器深度安全防护系统虚拟设备保护的无客户端 Windows 虚拟机复制安装包将安装文件复制到目标计算机安装适用于 Windows 的趋势科技服务器深度安全防护系统通知程序请记住, 必须在 Windows 计算机上拥有管理员权限才能安装并运行趋势科技服务器深度安全防护系统通知程序 1. 双击安装文件来运行安装包单击下一步下一步开始安装 2. 阅读许可协议并单击下一步下一步 53

54 安装趋势科技服务器深度安全防护系统通知程序 3. 单击安装安装继续安装 4. 单击完成完成完成安装 54

55 安装趋势科技服务器深度安全防护系统通知程序此时, 趋势科技服务器深度安全防护系统通知程序已在此计算机上安装且正在运行, 并且会在 Windows 系统托盘中显示通知程序图标检测到恶意软件或阻止某个 URL 时, 通知程序将自动提供弹出通知 ( 可以通过双击托盘图标打开通知程序状态和配置窗口来手动禁用通知 ) 在受虚拟设备保护的 VM 上, 必须对防恶意软件模块进行授权和启用, 趋势科技服务器深度安全防护系统通知程序才能显示信息 55

56 升级

57 规划升级规划升级升级至趋势科技服务器深度安全防护系统 9.6 所涉及的步骤取决于当前配置以及要为趋势科技服务器深度安全防护系统 9.6 设置的配置本节假设您已在 vshield 5.1 或 5.5 环境中安装了趋势科技服务器深度安全防护系统或 9.5 SP1 您还应阅读选择无客户端防护或组合模式 ( 第 25 页 ) 以了解这些选项的相关信息升级过程不会删除或覆盖任何数据, 但是建议您最好在进行升级前对您的系统进行备份要备份现有趋势科技服务器深度安全防护系统数据, 请参阅趋势科技服务器深度安全防护系统或 9.5 SP1 的联机帮助或管理员指南中的数据库备份和恢复从无客户端环境进行升级如果您当前正在运行由安装在 ESXi Server 上的趋势科技服务器深度安全防护系统虚拟设备 (DSVA) 和过滤器驱动程序提供无客户端防护的趋势科技服务器深度安全防护系统, 则可以升级至以下受支持的方案 : 完全的无客户端防护 : 如果使用的是 vsphere 5.1 或 5.5, 则您可以将趋势科技服务器深度安全防护系统管理中心升级至版本 9.6, 但不升级 ESXi Server 上的 9.5 DSVA 和过滤器驱动程序与升级趋势科技服务器深度安全防护系统管理中心前一样, 客户虚拟机将继续获得无客户端防护有关说明, 请参阅升级至完全的无客户端防护 ( 第 58 页 ) vsphere 6.0 不支持 9.5 和 9.5 SP1 版本的 DSVA 与过滤器驱动程序无客户端防恶意软件和完整性监控 : 如果虚拟机仅需要防恶意软件和完整性监控防护, 则您可以将趋势科技服务器深度安全防护系统管理中心升级至 9.6, 从 ESXi Server 中移除过滤器驱动程序, 并将 DSVA 升级至 9.6 客户虚拟机将继续获得无客户端防护, 但只有防恶意软件和完整性监控模块可用有关说明, 请参阅升级至无客户端防恶意软件和完整性监控 ( 第 59 页 ) 由于未提供 9.6 版本的过滤器驱动程序, 而且 DSVA 的版本必须与过滤器驱动程序的版本匹配, 因此您必须移除过滤器驱动程序组合模式 : 如果要将 DSVA 升级至 9.6 并使用防恶意软件和完整性监控及其他模块来保护虚拟机, 则您还必须在每个客户虚拟机上安装趋势科技服务器深度安全防护系统 9.6 客户端并以组合模式运行有关说明, 请参阅升级至组合模式 ( 第 63 页 ) 从协调方法环境进行升级趋势科技服务器深度安全防护系统 9.5 SP1 和较早版本包含使用协调方法来保护虚拟机的功能使用协调方法时, 主要防护由趋势科技服务器深度安全防护系统客户端提供, 并且 DSVA 可在客户端脱机时提供故障转移保护如果从使用协调方法的系统进行升级, 则该系统将迁移到组合模式使用组合模式时,DSVA 可提供防恶意软件和完整性监控功能趋势科技服务器深度安全防护系统客户端可提供 Web 信誉防火墙入侵防御和日志审查有关说明, 请参阅升级至组合模式 ( 第 63 页 ) 如果虚拟机正在运行 Linux, 则防恶意软件支持由趋势科技服务器深度安全防护系统客户端提供, 而不是由 DSVA 提供如果受保护 ESXi Server 含有的虚拟机使用趋势科技服务器深度安全防护系统客户端提供所有防护模块, 则从该环境进行升级时, 您会迁移到组合模式这意味着 DSVA 将提供防恶意软件和完整性监控防护如果您不想使用组合模式, 请勿升级至趋势科技服务器深度安全防护系统 9.6 从 vcns 5.5 升级至 6.0 ( 可选 ) 如果要在进行趋势科技服务器深度安全防护系统升级的同时从 vcns 5.5 升级至 6.0, 请参阅从 vcns 5.5 升级至 6.0 ( 第 68 页 ) 以了解相关说明 57

58 升级至完全的无客户端防护升级至完全的无客户端防护如果您当前正在运行由安装在 ESXi Server 上的趋势科技服务器深度安全防护系统虚拟设备 (DSVA) 和过滤器驱动程序提供无客户端防护的趋势科技服务器深度安全防护系统, 则可以将趋势科技服务器深度安全防护系统管理中心升级至版本 9.6, 但不升级 ESXi Server 上的 9.5 DSVA 和过滤器驱动程序与升级趋势科技服务器深度安全防护系统管理中心前一样, 客户虚拟机将继续获得无客户端防护升级过程不会删除或覆盖任何数据, 但是建议您最好在进行升级前对您的系统进行备份要备份现有趋势科技服务器深度安全防护系统数据, 请参阅趋势科技服务器深度安全防护系统或 9.5 SP1 的联机帮助或管理员指南中的数据库备份和恢复升级至趋势科技服务器深度安全防护系统管理中心 9.6 趋势科技服务器深度安全防护系统 9.6 包含对可扩展性和效率的改进由于发生了这些更改, 升级可能需要很长时间 ( 最长可达数小时, 具体取决于数据库的大小 ) 像往常一样, 请在升级前备份数据库, 并考虑在非工作时间执行升级要备份趋势科技服务器深度安全防护系统 9.5 SP1 数据, 请参阅趋势科技服务器深度安全防护系统 9.5 SP1 管理员指南或联机帮助中的数据库备份和恢复在升级过程中, 趋势科技服务器深度安全防护系统客户端和设备将继续提供防护升级至趋势科技服务器深度安全防护系统管理中心 9.6: 1. 从趋势科技下载专区 Web 站点 ( 将趋势科技服务器深度安全防护系统管理中心 9.6 安装包下载至本地目录 2. 按照安装趋势科技服务器深度安全防护系统管理中心 ( 第 29 页 ) 中所述运行安装包, 但在系统提示选择选项时选择升级, 而不要选择更改更改如果趋势科技服务器深度安全防护系统管理中心安装程序检测到您的系统上已安装较旧版本的趋势科技服务器深度安全防护系统管理中心, 则您可以选择升级现有安装或更改现有安装升级安装会将趋势科技服务器深度安全防护系统管理中心升级到最新版本, 但不会覆盖安全配置文件 IPS 规则防火墙规则应用程序类型等, 也不会更改应用于网络中计算机的任何安全设置更改现有的安装版本会清除与先前安装版本相关的所有数据, 然后安装最新的过滤器规则配置文件等如果想继续提供与 9.5 版本相同的保护, 请勿从趋势科技服务器深度安全防护系统管理中心删除任何 vcenter 58

59 升级至无客户端防恶意软件和完整性监控升级至无客户端防恶意软件和完整性监控如果您当前正在运行由安装在 ESXi Server 上的趋势科技服务器深度安全防护系统虚拟设备 (DSVA) 和过滤器驱动程序提供无客户端防护的趋势科技服务器深度安全防护系统, 并且虚拟机仅需要防恶意软件和完整性监控防护, 则您可以将趋势科技服务器深度安全防护系统管理中心升级至 9.6, 从 ESXi Server 中移除过滤器驱动程序, 并将 DSVA 升级至 9.6 客户虚拟机将继续获得无客户端防护, 但只有防恶意软件和完整性监控模块可用由于未提供 9.6 版本的过滤器驱动程序, 而且 DSVA 的版本必须与过滤器驱动程序的版本匹配, 因此您必须移除过滤器驱动程序升级过程不会删除或覆盖任何数据, 但是建议您最好在进行升级前对您的系统进行备份要备份现有趋势科技服务器深度安全防护系统数据, 请参阅趋势科技服务器深度安全防护系统或 9.5 SP1 的联机帮助或管理员指南中的数据库备份和恢复升级至无客户端防恶意软件和完整性监控 : 1. 将趋势科技服务器深度安全防护系统管理中心升级至版本导入 DSVA 软件 3. 将趋势科技服务器深度安全防护系统 9.0 中继 / 已启用中继的 9.5 或 9.5 SP1 客户端升级至已启用中继的 9.6 客户端 4. 升级趋势科技服务器深度安全防护系统通知程序 5. 从 ESXi Server 中移除过滤器驱动程序 6. 将 ESXi Server 上的趋势科技服务器深度安全防护系统虚拟设备升级至 9.6 升级至趋势科技服务器深度安全防护系统管理中心 9.6 趋势科技服务器深度安全防护系统 9.6 包含对可扩展性和效率的改进由于发生了这些更改, 升级可能需要很长时间 ( 最长可达数小时, 具体取决于数据库的大小 ) 像往常一样, 请在升级前备份数据库, 并考虑在非工作时间执行升级要备份趋势科技服务器深度安全防护系统 9.5 SP1 数据, 请参阅趋势科技服务器深度安全防护系统 9.5 SP1 管理员指南或联机帮助中的数据库备份和恢复在升级过程中, 趋势科技服务器深度安全防护系统客户端和设备将继续提供防护升级至趋势科技服务器深度安全防护系统管理中心 9.6: 1. 从趋势科技下载专区 Web 站点 ( 将趋势科技服务器深度安全防护系统管理中心 9.6 安装包下载至本地目录 2. 按照安装趋势科技服务器深度安全防护系统管理中心 ( 第 29 页 ) 中所述运行安装包, 但在系统提示选择选项时选择升级, 而不要选择更改更改如果趋势科技服务器深度安全防护系统管理中心安装程序检测到您的系统上已安装较旧版本的趋势科技服务器深度安全防护系统管理中心, 则您可以选择升级现有安装或更改现有安装升级安装会将趋势科技服务器深度安全防护系统管理中心升级到最新版本, 但不会覆盖安全配置文件 IPS 规则防火墙规则应用程序类型等, 也不会更改应用于网络中计算机的任何安全设置更改现有的安装版本会清除与先前安装版本相关的所有数据, 然后安装最新的过滤器规则配置文件等如果想继续提供与 9.5 版本相同的保护, 请勿从趋势科技服务器深度安全防护系统管理中心删除任何 vcenter 导入趋势科技服务器深度安全防护系统软件的 9.6 版本下载趋势科技服务器深度安全防护系统软件的 9.6 版本 : 59

60 升级至无客户端防恶意软件和完整性监控 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 下载专区下载专区页面将显示趋势科技提供的所有软件的最新版本 2. 要升级趋势科技服务器深度安全防护系统虚拟设备, 您可能需要导入最新的 Red Hat 6 x64 客户端软件包选择软件包, 然后单击导入导入趋势科技服务器深度安全防护系统会使用该软件包将 DSVA 的防护模块升级至版本要导入趋势科技服务器深度安全防护系统客户端软件, 请选择最新版本并单击导入导入您可以使用该软件来升级已启用中继的客户端趋势科技服务器深度安全防护系统中继 9.0 将升级至趋势科技服务器深度安全防护系统已启用中继的客户端软件下载完成后, 该软件包的已导入已导入列中将显示绿色勾选标记升级至已启用中继的 9.6 客户端升级已启用中继的 9.5 或 9.5 SP1 客户端趋势科技服务器深度安全防护系统客户端和中继的版本必须与用于管理它们的趋势科技服务器深度安全防护系统管理中心的版本相同或较之更低趋势科技服务器深度安全防护系统管理中心必须始终在趋势科技服务器深度安全防护系统客户端和中继之前升级当计划将客户端和中继从或 9.5 SP1 升级至版本 9.6 时, 请确保 9.6 客户端已分配至仅包含 9.6 中继的中继组您应将组内的所有中继升级至 9.6( 或创建新的 9.6 组 ), 然后再将任何 9.6 客户端配置为从该组接收更新升级已启用中继的 9.5 或 9.5 SP1 客户端 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机计算机页面 2. 找到要升级的已启用中继的客户端所在的计算机 3. 右键单击趋势科技服务器深度安全防护系统中继, 然后单击操作 > 升级客户端软件 4. 按照窗口提示执行操作您可以在计算机上本地手动升级中继请遵循安装趋势科技服务器深度安全防护系统客户端 ( 第 37 页 ) 中的说明执行此操作升级趋势科技服务器深度安全防护系统中继 9.0 您可以通过趋势科技服务器深度安全防护系统管理中心界面将趋势科技服务器深度安全防护系统 9.0 Windows 中继升级至已启用中继的 9.6 客户端, 或者也可以采用手动本地升级趋势科技服务器深度安全防护系统 9.0 Linux 中继无法进行升级必须手动将其卸载并更换为全新安装的 9.6 Linux 客户端 ( 有关说明, 请参阅下文的升级 Linux 上的中继 ) 升级 Windows 上的趋势科技服务器深度安全防护系统 9.0 中继 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机计算机页面 2. 右键单击趋势科技服务器深度安全防护系统中继, 然后单击操作 > 升级 3. 按照窗口提示执行操作趋势科技服务器深度安全防护系统 9.0 中继将升级至已启用中继的 9.5 SP1 客户端升级 Linux 上的趋势科技服务器深度安全防护系统 9.0 中继 : 1. 将趋势科技服务器深度安全防护系统管理中心升级到版本将 Agent-platform-9.6.build.zip 导入趋势科技服务器深度安全防护系统管理中心 3. 停用要升级的中继, 然后将其卸载 60

61 升级至无客户端防恶意软件和完整性监控 4. 在客户端计算机上安装 Agent-Core-platform-9.6.build.rpm 5. 激活客户端 6. 启用中继在 Linux 上将 9.0 中继转换为 9.6 客户端 : 1. 将趋势科技服务器深度安全防护系统管理中心升级到版本将 Agent-platform-9.6.build.zip 导入趋势科技服务器深度安全防护系统管理中心 3. 停用想要升级的中继 4. 从趋势科技服务器深度安全防护系统管理中心删除中继 5. 卸载中继 6. 在客户端计算机上安装 Agent-Core-platform-9.6.build.rpm 7. 在趋势科技服务器深度安全防护系统管理中心中, 添加计算机 ( 计算机 > 新建 > 新建计算机 ) 升级趋势科技服务器深度安全防护系统通知程序仅需要对正受趋势科技服务器深度安全防护系统虚拟设备以无客户端方式保护的虚拟机升级趋势科技服务器深度安全防护系统通知程序在具有客户虚拟机客户端的计算机上, 通知程序将与趋势科技服务器深度安全防护系统客户端一同升级要升级至趋势科技服务器深度安全防护系统通知程序 9.6, 请按照安装趋势科技服务器深度安全防护系统通知程序 ( 第 53 页 ) 中介绍的过程进行安装从 ESXi Server 中移除过滤器驱动程序移除过滤器驱动程序要求重新启动 ESXi Server 要移除过滤器驱动程序, 请转至趋势科技服务器深度安全防护系统管理中心中的计算机页面, 右键单击 ESXi Server, 然后单击操作 > 移除过滤器驱动程序升级至趋势科技服务器深度安全防护系统虚拟设备 9.6 从趋势科技服务器深度安全防护系统虚拟设备 9.0 进行升级将趋势科技服务器深度安全防护系统虚拟设备 9.0 升级至 9.6: 1. 此升级过程要求重新启动 ESXi 主机开始之前, 请执行 vmotion 操作将虚拟机迁移到其他受保护主机或关闭这些虚拟机 2. 在趋势科技服务器深度安全防护系统管理中心, 在计算机页面上, 通过右键单击所有受保护的 VM 并选择操作 > 停用来停用这些 VM 3. 在趋势科技服务器深度安全防护系统管理中心, 在计算机页面上, 通过右键单击虚拟设备并选择操作 > 停用来停用虚拟设备 4. 在 VMware vsphere Web Client 中, 通过 vcenter 关闭电源并从磁盘中删除虚拟设备版本的 DSVA 不支持过滤器驱动程序要移除过滤器驱动程序, 请转至趋势科技服务器深度安全防护系统管理中心中的计算机选项卡, 右键单击 ESXi Server, 然后单击操作 > 移除过滤器驱动程序您需要重新启动 ESXi Server 6. 右键单击 ESXi Server 并选择操作 > 部署无客户端安全, 以显示部署无客户端安全向导单击下一步下一步您可以选择多个 ESXi Server, 前提是它们的版本和过滤器驱动程序状态全都相同 7. 在下一页上, 选中将趋势科技服务器深度安全防护系统虚拟设备部署到 ESXi Server 复选框单击下一步下一步 61

62 升级至无客户端防恶意软件和完整性监控如果在 vsphere 6 上安装, 则不会显示此页面 8. 输入设备的设备名称设备名称并为设备选择数据存储数据存储选择数据中心的文件夹, 然后选择设备的管理网络管理网络单击下一步下一步 9. 定义设备主机名输入设备的 IPv4 地址和 / 或 IPv6 地址如果要同时部署到多个 ESXi Server, 请选择 DHCP 如果要部署到单个 ESXi Server, 则您可以选择 DHCP 或静态 IP 单击下一步下一步 10. 选择完整配置格式或精简配置类型单击下一步下一步 11. 下一页概括了将执行的操作单击完成完成 12. 无客户端安全部署过程将会开始此过程完成后, 您会看到指明该过程已成功的消息 13. 如果安装已成功, 则您可以选择让向导立即激活趋势科技服务器深度安全防护系统虚拟设备或在以后激活 ( 激活过程如在 vshield 环境中部署无客户端防护 ( 第 49 页 ) 所述 ) 单击下一步下一步 14. 单击关闭关闭 15. 在趋势科技服务器深度安全防护系统管理中心的计算机页面上, 通过右键单击所有客户虚拟机并选择操作 > 激活来激活这些虚拟机从趋势科技服务器深度安全防护系统虚拟设备 9.5 或 9.5 SP1 进行升级将趋势科技服务器深度安全防护系统虚拟设备升级至 9.6: 1. 此升级过程要求重新启动 ESXi 主机开始之前, 请执行 vmotion 操作将虚拟机迁移到其他受保护主机或关闭这些虚拟机版本的 DSVA 不支持过滤器驱动程序要移除过滤器驱动程序, 请转至趋势科技服务器深度安全防护系统管理中心中的计算机选项卡, 右键单击 ESXi Server, 然后单击操作 > 移除过滤器驱动程序 3. 右键单击 ESXi Server 并选择操作 > 部署无客户端安全, 以显示部署无客户端安全向导单击下一步下一步您可以选择多个 ESXi Server, 前提是它们的版本和过滤器驱动程序状态全都相同 4. 在下一页上, 选中将趋势科技服务器深度安全防护系统虚拟设备部署到 ESXi Server 复选框单击下一步下一步如果在 vsphere 6 上安装, 则不会显示此页面 5. 输入设备的设备名称设备名称并为设备选择数据存储数据存储选择数据中心的文件夹, 然后选择设备的管理网络管理网络单击下一步下一步 6. 定义设备主机名输入设备的 IPv4 地址和 / 或 IPv6 地址如果要同时部署到多个 ESXi Server, 请选择 DHCP 如果要部署到单个 ESXi Server, 则您可以选择 DHCP 或静态 IP 单击下一步下一步 7. 选择完整配置格式或精简配置类型单击下一步下一步 8. 下一页概括了将执行的操作单击完成完成 9. 无客户端安全部署过程将会开始此过程完成后, 您会看到指明该过程已成功的消息 10. 如果安装已成功, 则您可以选择让向导立即激活趋势科技服务器深度安全防护系统虚拟设备或在以后激活 ( 激活过程如在 vshield 环境中部署无客户端防护 ( 第 49 页 ) 所述 ) 单击下一步下一步 11. 单击关闭关闭 12. 打开受保护客户虚拟机的电源, 或执行 vmotion 操作以将这些客户机迁移回原始主机 62

63 升级至组合模式升级至组合模式在组合模式下, 趋势科技服务器深度安全防护系统虚拟设备提供防恶意软件和完整性监控防护, 同时趋势科技服务器深度安全防护系统客户端提供 Web 信誉防火墙入侵防御和日志审查升级过程不会删除或覆盖任何数据, 但是建议您最好在进行升级前对您的系统进行备份要备份现有趋势科技服务器深度安全防护系统数据, 请参阅趋势科技服务器深度安全防护系统或 9.5 SP1 的联机帮助或管理员指南中的数据库备份和恢复升级至组合模式 : 1. 将趋势科技服务器深度安全防护系统管理中心升级至版本导入趋势科技服务器深度安全防护系统 9.6 客户端 3. 将趋势科技服务器深度安全防护系统 9.0 中继 / 已启用中继的 9.5 或 9.5 SP1 客户端升级至已启用中继的 9.6 客户端 4. 升级趋势科技服务器深度安全防护系统通知程序 5. 升级客户虚拟机上的趋势科技服务器深度安全防护系统客户端 6. 从 ESXi Server 中移除过滤器驱动程序 7. 将 ESXi Server 上的趋势科技服务器深度安全防护系统虚拟设备升级至 9.6 升级至趋势科技服务器深度安全防护系统管理中心 9.6 趋势科技服务器深度安全防护系统 9.6 包含对可扩展性和效率的改进由于发生了这些更改, 升级可能需要很长时间 ( 最长可达数小时, 具体取决于数据库的大小 ) 像往常一样, 请在升级前备份数据库, 并考虑在非工作时间执行升级要备份趋势科技服务器深度安全防护系统 9.5 SP1 数据, 请参阅趋势科技服务器深度安全防护系统 9.5 SP1 管理员指南或联机帮助中的数据库备份和恢复在升级过程中, 趋势科技服务器深度安全防护系统客户端和设备将继续提供防护升级至趋势科技服务器深度安全防护系统管理中心 9.6: 1. 从趋势科技下载专区 Web 站点 ( 将趋势科技服务器深度安全防护系统管理中心 9.6 安装包下载至本地目录 2. 按照安装趋势科技服务器深度安全防护系统管理中心 ( 第 29 页 ) 中所述运行安装包, 但在系统提示选择选项时选择升级, 而不要选择更改更改如果趋势科技服务器深度安全防护系统管理中心安装程序检测到您的系统上已安装较旧版本的趋势科技服务器深度安全防护系统管理中心, 则您可以选择升级现有安装或更改现有安装升级安装会将趋势科技服务器深度安全防护系统管理中心升级到最新版本, 但不会覆盖安全配置文件 IPS 规则防火墙规则应用程序类型等, 也不会更改应用于网络中计算机的任何安全设置更改现有的安装版本会清除与先前安装版本相关的所有数据, 然后安装最新的过滤器规则配置文件等如果想继续提供与 9.5 版本相同的保护, 请勿从趋势科技服务器深度安全防护系统管理中心删除任何 vcenter 导入趋势科技服务器深度安全防护系统软件的 9.6 版本下载趋势科技服务器深度安全防护系统软件的 9.6 版本 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 下载专区下载专区页面将显示趋势科技提供的所有软件的最新版本 2. 要升级趋势科技服务器深度安全防护系统虚拟设备, 您可能需要导入最新的 Red Hat 6 x64 客户端软件包选择软件包, 然后单击导入导入趋势科技服务器深度安全防护系统会使用该软件包将 DSVA 的防护模块升级至版本

64 升级至组合模式 3. 要导入趋势科技服务器深度安全防护系统客户端软件, 请选择最新版本并单击导入导入您可以使用该软件来升级趋势科技服务器深度安全防护系统客户端或已启用中继的客户端趋势科技服务器深度安全防护系统中继 9.0 将升级至趋势科技服务器深度安全防护系统已启用中继的客户端软件下载完成后, 该软件包的已导入已导入列中将显示绿色勾选标记升级至已启用中继的 9.6 客户端升级已启用中继的 9.5 或 9.5 SP1 客户端趋势科技服务器深度安全防护系统客户端和中继的版本必须与用于管理它们的趋势科技服务器深度安全防护系统管理中心的版本相同或较之更低趋势科技服务器深度安全防护系统管理中心必须始终在趋势科技服务器深度安全防护系统客户端和中继之前升级当计划将客户端和中继从或 9.5 SP1 升级至版本 9.6 时, 请确保 9.6 客户端已分配至仅包含 9.6 中继的中继组您应将组内的所有中继升级至 9.6( 或创建新的 9.6 组 ), 然后再将任何 9.6 客户端配置为从该组接收更新升级已启用中继的 9.5 或 9.5 SP1 客户端 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机计算机页面 2. 找到要升级的已启用中继的客户端所在的计算机 3. 右键单击趋势科技服务器深度安全防护系统中继, 然后单击操作 > 升级客户端软件 4. 按照窗口提示执行操作您可以在计算机上本地手动升级中继请遵循安装趋势科技服务器深度安全防护系统客户端 ( 第 37 页 ) 中的说明执行此操作升级趋势科技服务器深度安全防护系统中继 9.0 您可以通过趋势科技服务器深度安全防护系统管理中心界面将趋势科技服务器深度安全防护系统 9.0 Windows 中继升级至已启用中继的 9.6 客户端, 或者也可以采用手动本地升级趋势科技服务器深度安全防护系统 9.0 Linux 中继无法进行升级必须手动将其卸载并更换为全新安装的 9.6 Linux 客户端 ( 有关说明, 请参阅下文的升级 Linux 上的中继 ) 升级 Windows 上的趋势科技服务器深度安全防护系统 9.0 中继 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机计算机页面 2. 右键单击趋势科技服务器深度安全防护系统中继, 然后单击操作 > 升级 3. 按照窗口提示执行操作趋势科技服务器深度安全防护系统 9.0 中继将升级至已启用中继的 9.5 SP1 客户端升级 Linux 上的趋势科技服务器深度安全防护系统 9.0 中继 : 1. 将趋势科技服务器深度安全防护系统管理中心升级到版本将 Agent-platform-9.6.build.zip 导入趋势科技服务器深度安全防护系统管理中心 3. 停用要升级的中继, 然后将其卸载 4. 在客户端计算机上安装 Agent-Core-platform-9.6.build.rpm 5. 激活客户端 6. 启用中继 64

65 升级至组合模式在 Linux 上将 9.0 中继转换为 9.6 客户端 : 1. 将趋势科技服务器深度安全防护系统管理中心升级到版本将 Agent-platform-9.6.build.zip 导入趋势科技服务器深度安全防护系统管理中心 3. 停用想要升级的中继 4. 从趋势科技服务器深度安全防护系统管理中心删除中继 5. 卸载中继 6. 在客户端计算机上安装 Agent-Core-platform-9.6.build.rpm 7. 在趋势科技服务器深度安全防护系统管理中心中, 添加计算机 ( 计算机 > 新建 > 新建计算机 ) 升级趋势科技服务器深度安全防护系统通知程序仅需要对正受趋势科技服务器深度安全防护系统虚拟设备以无客户端方式保护的虚拟机升级趋势科技服务器深度安全防护系统通知程序在具有客户虚拟机客户端的计算机上, 通知程序将与趋势科技服务器深度安全防护系统客户端一同升级要升级至趋势科技服务器深度安全防护系统通知程序 9.6, 请按照安装趋势科技服务器深度安全防护系统通知程序 ( 第 53 页 ) 中介绍的过程进行安装升级趋势科技服务器深度安全防护系统客户端趋势科技服务器深度安全防护系统客户端的版本必须与用于管理此类客户端的趋势科技服务器深度安全防护系统管理中心的版本相同或较之更低趋势科技服务器深度安全防护系统管理中心必须始终在趋势科技服务器深度安全防护系统客户端之前升级当计划将客户端和中继从或 9.5 SP1 升级至版本 9.6 时, 请确保 9.6 客户端已分配至仅包含 9.6 中继的中继组您应将组内的所有中继升级至 9.6( 或创建新的 9.6 组 ), 然后再将任何 9.6 客户端配置为从该组接收更新使用趋势科技服务器深度安全防护系统管理中心升级趋势科技服务器深度安全防护系统客户端 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机计算机窗口 2. 找到要升级其客户端的计算机 3. 右键单击计算机, 然后选择操作 > 升级客户端软件 4. 新的客户端软件将发送至该计算机, 随后系统将升级客户端您也可以在计算机上本地手动升级客户端请遵循安装趋势科技服务器深度安全防护系统客户端 ( 第 37 页 ) 中的说明执行此操作从 ESXi Server 中移除过滤器驱动程序移除过滤器驱动程序要求重新启动 ESXi Server 要移除过滤器驱动程序, 请转至趋势科技服务器深度安全防护系统管理中心中的计算机页面, 右键单击 ESXi Server, 然后单击操作 > 移除过滤器驱动程序 65

66 升级至组合模式升级至趋势科技服务器深度安全防护系统虚拟设备 9.6 从趋势科技服务器深度安全防护系统虚拟设备 9.0 进行升级将趋势科技服务器深度安全防护系统虚拟设备 9.0 升级至 9.6: 1. 此升级过程要求重新启动 ESXi 主机开始之前, 请执行 vmotion 操作将虚拟机迁移到其他受保护主机或关闭这些虚拟机 2. 在趋势科技服务器深度安全防护系统管理中心, 在计算机页面上, 通过右键单击所有受保护的 VM 并选择操作 > 停用来停用这些 VM 3. 在趋势科技服务器深度安全防护系统管理中心, 在计算机页面上, 通过右键单击虚拟设备并选择操作 > 停用来停用虚拟设备 4. 在 VMware vsphere Web Client 中, 通过 vcenter 关闭电源并从磁盘中删除虚拟设备版本的 DSVA 不支持过滤器驱动程序要移除过滤器驱动程序, 请转至趋势科技服务器深度安全防护系统管理中心中的计算机选项卡, 右键单击 ESXi Server, 然后单击操作 > 移除过滤器驱动程序您需要重新启动 ESXi Server 6. 右键单击 ESXi Server 并选择操作 > 部署无客户端安全, 以显示部署无客户端安全向导单击下一步下一步您可以选择多个 ESXi Server, 前提是它们的版本和过滤器驱动程序状态全都相同 7. 在下一页上, 选中将趋势科技服务器深度安全防护系统虚拟设备部署到 ESXi Server 复选框单击下一步下一步如果在 vsphere 6 上安装, 则不会显示此页面 8. 输入设备的设备名称设备名称并为设备选择数据存储数据存储选择数据中心的文件夹, 然后选择设备的管理网络管理网络单击下一步下一步 9. 定义设备主机名输入设备的 IPv4 地址和 / 或 IPv6 地址如果要同时部署到多个 ESXi Server, 请选择 DHCP 如果要部署到单个 ESXi Server, 则您可以选择 DHCP 或静态 IP 单击下一步下一步 10. 选择完整配置格式或精简配置类型单击下一步下一步 11. 下一页概括了将执行的操作单击完成完成 12. 无客户端安全部署过程将会开始此过程完成后, 您会看到指明该过程已成功的消息 13. 如果安装已成功, 则您可以选择让向导立即激活趋势科技服务器深度安全防护系统虚拟设备或在以后激活 ( 激活过程如在 vshield 环境中部署无客户端防护 ( 第 49 页 ) 所述 ) 单击下一步下一步 14. 单击关闭关闭 15. 在趋势科技服务器深度安全防护系统管理中心的计算机页面上, 通过右键单击所有客户虚拟机并选择操作 > 激活来激活这些虚拟机从趋势科技服务器深度安全防护系统虚拟设备 9.5 或 9.5 SP1 进行升级将趋势科技服务器深度安全防护系统虚拟设备升级至 9.6: 1. 此升级过程要求重新启动 ESXi 主机开始之前, 请执行 vmotion 操作将虚拟机迁移到其他受保护主机或关闭这些虚拟机版本的 DSVA 不支持过滤器驱动程序要移除过滤器驱动程序, 请转至趋势科技服务器深度安全防护系统管理中心中的计算机选项卡, 右键单击 ESXi Server, 然后单击操作 > 移除过滤器驱动程序 3. 右键单击 ESXi Server 并选择操作 > 部署无客户端安全, 以显示部署无客户端安全向导单击下一步下一步您可以选择多个 ESXi Server, 前提是它们的版本和过滤器驱动程序状态全都相同 4. 在下一页上, 选中将趋势科技服务器深度安全防护系统虚拟设备部署到 ESXi Server 复选框单击下一步下一步如果在 vsphere 6 上安装, 则不会显示此页面 5. 输入设备的设备名称设备名称并为设备选择数据存储数据存储选择数据中心的文件夹, 然后选择设备的管理网络管理网络单击下一步下一步 66

67 升级至组合模式 6. 定义设备主机名输入设备的 IPv4 地址和 / 或 IPv6 地址如果要同时部署到多个 ESXi Server, 请选择 DHCP 如果要部署到单个 ESXi Server, 则您可以选择 DHCP 或静态 IP 单击下一步下一步 7. 选择完整配置格式或精简配置类型单击下一步下一步 8. 下一页概括了将执行的操作单击完成完成 9. 无客户端安全部署过程将会开始此过程完成后, 您会看到指明该过程已成功的消息 10. 如果安装已成功, 则您可以选择让向导立即激活趋势科技服务器深度安全防护系统虚拟设备或在以后激活 ( 激活过程如在 vshield 环境中部署无客户端防护 ( 第 49 页 ) 所述 ) 单击下一步下一步 11. 单击关闭关闭 12. 打开受保护客户虚拟机的电源, 或执行 vmotion 操作以将这些客户机迁移回原始主机 67

68 从 vcns 5.5 升级至 6.0 从 vcns 5.5 升级至 6.0 如果要在进行趋势科技服务器深度安全防护系统升级的同时从 vcns 5.5 升级至 6.0, 请遵循以下步骤 : 1. 执行所有趋势科技服务器深度安全防护系统升级步骤, 包括移除过滤器驱动程序以及将 DSVA 升级至 9.6 vcns 6.0 不支持较旧版本的 DSVA 此步骤要求重新启动 ESXi Server 2. 升级 vshield Manager 有关详细信息, 请参阅 VMware 文档 3. 在 vshield Manager 中, 选择相应选项以更新 ESXi 主机上的 vshield Endpoint 驱动程序 4. 将 vcenter 从版本 5.x 升级至 6.0 有关详细信息, 请参阅 VMware 文档 5. 将 ESXi 主机升级至版本 6.0 有关详细信息, 请参阅 VMware 文档 68

69 附录

70 趋势科技服务器深度安全防护系统管理中心内存使用趋势科技服务器深度安全防护系统管理中心内存使用配置安装程序的最大内存使用量缺省情况下, 将安装程序配置为使用 1GB 连续内存如果安装程序无法运行, 您可以尝试将安装程序配置为使用较少的内存为安装程序配置可用的内存量 : 1. 转至安装程序所在的目录 2. 创建一个名为 "Manager-Windows-9.5.xxxx.x64.vmoptions" 或 "Manager-Linux-9.5.xxxx.x64.vmoptions" 的新文本文件, 具体取决于您的安装平台 ( 其中,"xxxx" 是安装程序的 Build 号 ) 3. 通过添加以下行来编辑该文件 :"-Xmx800m"( 在本示例中, 安装程序将使用 800MB 内存 ) 4. 保存文件并启动安装程序配置趋势科技服务器深度安全防护系统管理中心的最大内存使用量趋势科技服务器深度安全防护系统管理中心堆内存使用量的缺省设置是 4GB 可以更改此设置为趋势科技服务器深度安全防护系统管理中心配置可用的内存量 : 1. 转至趋势科技服务器深度安全防护系统管理中心安装目录 ( 与趋势科技服务器深度安全防护系统管理中心可执行文件相同的目录 ) 2. 创建一个新文件为其指定以下名称, 具体取决于平台 : Windows: "Deep Security Manager.vmoptions". Linux:"dsm_s.vmoptions". 3. 通过添加以下行来编辑该文件 :" -Xmx10g "( 在本示例中,"10g" 将为趋势科技服务器深度安全防护系统管理中心分配 10GB 可用内存 ) 4. 保存文件并重新启动趋势科技服务器深度安全防护系统管理中心 5. 可通过转至管理 > 系统信息来验证新设置, 然后在系统详细信息区域中展开管理中心节点 > 内存最大内存值现在应显示新的配置设置 70

71 趋势科技服务器深度安全防护系统虚拟设备内存使用趋势科技服务器深度安全防护系统虚拟设备内存使用下表列出了基于受保护的 VM 数量建议的趋势科技服务器深度安全防护系统虚拟设备最低内存分配量 : 趋势科技服务器深度安全防护系统虚拟设备保护的虚拟机数量 GB GB GB 建议的内存分配量 DSVA 的缺省配置是使用 4GB 的 RAM 如果预计需要的 RAM 超过缺省的 4GB, 您将需要自行修改 DSVA 的配置提供以下两个选项 : 先修改虚拟设备的配置, 然后将其依次导入到趋势科技服务器深度安全防护系统管理中心和 vcenter, 从而为该 vcenter 中所有后续趋势科技服务器深度安全防护系统虚拟设备服务部署设置缺省配置先将虚拟设备导入到 vcenter 并在 ESXi 上将其部署为服务, 然后按情况修改虚拟设备的内存分配配置 DSVA 的内存分配 ( 部署前 ) 要更改趋势科技服务器深度安全防护系统虚拟设备的缺省内存分配, 必须在将设备导入到 vcenter 之前在其 OVF 文件中编辑分配设置在将趋势科技服务器深度安全防护系统虚拟设备部署到 vcenter 之前配置其内存分配 : 1. 解压缩从趋势科技下载专区下载的虚拟设备 zip 文件 2. 在文本编辑器中打开 dsva.ovf 3. 编辑以下部分以根据您的环境修改 4096 MB 的缺省内存分配 ("4096" 出现了三处 ): <Item> <rasd:allocationunits>byte * 2^20</rasd:AllocationUnits> <rasd:description>memory Size</rasd:Description> <rasd:elementname xmlns:rasd=" CIM_ResourceAllocationSettingData">4096 MB of memory</rasd:elementname> <rasd:instanceid CIM_ResourceAllocationSettingData">2</rasd:InstanceID> <rasd:reservation>4096</rasd:reservation> <rasd:resourcetype>4</rasd:resourcetype> <rasd:virtualquantity>4096</rasd:virtualquantity> </Item> 4. 保存 ovf 文件并将其返回到 zip 数据包 xmlns:rasd=" 5. 通过管理 > 更新软件 > 本地页面, 将虚拟设备 zip 数据包导入到趋势科技服务器深度安全防护系统管理中心配置 DSVA 的内存分配 ( 部署后 ) 更改趋势科技服务器深度安全防护系统虚拟设备的内存分配设置需要关闭 DSVA 虚拟机在重新打开这些通常受虚拟设备保护的虚拟机之前, 它们将不受保护配置已部署的趋势科技服务器深度安全防护系统虚拟设备的内存分配 : 1. 在 VMware vsphere Web Client 中, 右键单击 DSVA, 然后选择电源 > 关闭客户虚拟机 2. 再次右键单击 DSVA, 然后选择编辑设置... 此时将显示虚拟机属性属性窗口 3. 在硬件硬件选项卡上, 选择内存内存并将内存分配量更改为所需值 4. 单击确定确定 71

72 趋势科技服务器深度安全防护系统虚拟设备内存使用 5. 再次右键单击 DSVA, 然后选择电源 > 打开电源 72

73 趋势科技服务器深度安全防护系统管理中心性能特点趋势科技服务器深度安全防护系统管理中心性能特点性能配置文件趋势科技服务器深度安全防护系统管理中心使用一种经过优化的并发作业计划程序, 该程序考虑了每个作业对 CPU 数据库和客户端/ 设备的影响缺省情况下, 新安装版本使用针对专用管理中心优化的主动型性能配置文件如果趋势科技服务器深度安全防护系统管理中心安装在装有其他耗费资源的软件的系统上, 则优选使用标准性能配置文件可通过导航至管理 > 管理中心节点来更改性能配置文件从此窗口中, 选择一个管理中心节点并打开属性属性窗口可以在此处通过下拉菜单更改性能配置文件性能配置文件还控制管理中心将接受的客户端 / 设备启动的连接的数量每个性能配置文件的缺省值可以有效地平衡接受的延迟的和拒绝的波动信号的数量磁盘空间不足警报数据库主机磁盘空间不足如果趋势科技服务器深度安全防护系统管理中心收到来自数据库的磁盘已满错误消息, 它将开始将事件写入自身的硬盘驱动器中, 并向所有用户发送电子邮件以通知他们该状况此行为不可配置如果运行多个管理中心节点, 则会在处理事件的节点中写入事件 ( 有关运行多个节点的更多信息, 请参阅联机帮助或管理员指南的参考一节中的多节点管理中心 ) 解决数据库的磁盘空间问题后, 管理中心会将本地存储的数据写入数据库中管理中心主机磁盘空间不足管理中心的可用磁盘空间低于 10% 时, 管理中心会生成磁盘空间不足警报此警报是正常警报系统的一部分, 像其他警报一样可以配置 ( 有关警报的更多信息, 请参阅联机帮助或管理员指南的配置和管理配置和管理一节中的警报配置警报配置 ) 如果运行多个管理中心节点, 会在警报中标识该节点当管理中心的可用磁盘空间低于 5MB 时, 管理中心会向所有用户发送电子邮件, 并且管理中心将关闭只有在可用磁盘空间大于 5MB 后管理中心才可重新启动必须手动重新启动管理中心如果运行多个节点, 则只有磁盘空间不足的节点会关闭其他管理中心节点会继续运行扫描缓存扫描缓存改善了虚拟设备执行的按需扫描的效率它消除了在大型 VMware 部署中对多个 VM 之间的相同内容所进行的不必要扫描此外, 完整性监控扫描缓存通过共享完整性监控扫描结果加快完整性监控扫描防恶意软件按需缓存加快了后续克隆 / 类似 VM 上的扫描防恶意软件实时缓存缩短了 VM 引导和应用程序访问时间并发扫描功能允许同时对多个 VM 执行扫描, 从而进一步缩短整体扫描时间 73

74 趋势科技服务器深度安全防护系统管理中心性能特点高可用性环境如果您打算利用 VMware 高可用性 (HA) 功能, 请确保在开始安装趋势科技服务器深度安全防护系统之前建立了 HA 环境用于恢复操作的所有 ESXi 虚拟机监控程序都必须同其 vcenter 一起导入到趋势科技服务器深度安全防护系统管理中心, 它们必须为已准备状态, 并且必须在每个 ESXi 虚拟机监控程序上安装趋势科技服务器深度安全防护系统虚拟设备以这种方式设置环境将确保在执行 HA 恢复操作之后趋势科技服务器深度安全防护系统防护仍然有效如果在使用 VMware 分布式资源计划程序 (DRS) 的 VMware 环境中部署虚拟设备, 重要的是在 DRS 进程中该设备不与虚拟机一起 vmotion 必须将虚拟设备固定到其特定的 ESXi Server 您必须主动将所有虚拟设备的 DRS 设置更改为手动或禁用 ( 推荐 ), 以便 DRS 不会对其 vmotion 如果虚拟设备 ( 或任何虚拟机 ) 已设置为禁用, 则 vcenter Server 不会迁移该虚拟机或为其提供迁移建议这称为将虚拟机绑定到其注册的主机这是对 DRS 环境中的虚拟设备的推荐操作过程 ( 另一种方法是将虚拟设备部署到本地存储, 而不是共享存储将虚拟设备部署到本地存储后,DRS 将无法对其 vmotion ) 有关 DRS 以及将虚拟机绑定到特定 ESXi Server 的更多信息, 请查看 VMware 文档如果虚拟机由 HA 从受 DSVA 保护的 ESXi vmotion 到不受 DSVA 保护的 ESXi, 则该虚拟机将不受保护如果随后将虚拟机 vmotion 回原始 ESXi, 则其不会再次自动受到保护, 除非您创建了基于事件的任务来激活和保护已通过可用 DSVA vmotion 到 ESXi 的计算机 74

75 升级多节点趋势科技服务器深度安全防护系统管理中心升级多节点趋势科技服务器深度安全防护系统管理中心升级多节点趋势科技服务器深度安全防护系统管理中心不要求进行特殊准备升级多节点管理中心 : 1. 在任一节点上运行趋势科技服务器深度安全防护系统管理中心安装包安装程序将指示关闭其他节点 ( 无需手动关闭服务 ) 安装程序将升级本地趋势科技服务器深度安全防护系统管理中心并更新数据库 2. 在其余节点上运行趋势科技服务器深度安全防护系统管理中心安装程序每个节点升级后, 服务将重新启动, 然后该节点将重新加入趋势科技服务器深度安全防护系统管理中心网络 75

76 创建 SSL 认证证书创建 SSL 认证证书趋势科技服务器深度安全防护系统管理中心会为与客户端 / 设备中继和用户 Web 浏览器的连接创建为期 10 年的自签名证书但是, 对于已添加的安全, 可以使用可信证书颁发机构 (CA) 的证书替换此证书 ( 在趋势科技服务器深度安全防护系统管理中心升级之后会保留此类证书 ) 生成后,CA 证书必须导入到趋势科技服务器深度安全防护系统管理中心安装根目录中的.keystore 中, 且使用别名 "tomcat" 之后, 趋势科技服务器深度安全防护系统管理中心将使用该证书 Windows 创建 Windows SSL 认证证书 : 1. 转到趋势科技服务器深度安全防护系统管理中心安装目录 ( 就这些说明而言, 我们假设该目录为 "C:\Program Micro\Deep Security Manager"), 然后创建名为 Backupkeystore 的新文件夹 Files\Trend 2. 将.keystore 和 configuration.properties 复制到新创建的文件夹 Backupkeystore 3. 从命令提示符转到以下位置 :C:\Program Files\Trend Micro\Deep Security Manager\jre\bin 4. 运行以下命令, 该命令将创建一个自签名证书 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -genkey -alias tomcat - keyalg RSA -dname cn=dsmserver -dname 是 CA 将签发的证书的常用名某些 CA 要求使用特定名称来对证书签名请求 (CSR) 进行签名请咨询您的 CA 管理员以查看是否具有该特殊要求 5. 出现提示时选择密码 6. 在用户主目录下创建了新的密钥库文件如果以 "Administrator" 身份登录, 则会在 C:\Documents Administrator 下看到该.keystore 文件 7. 使用以下命令查看新生成的证书 : and Settings\ C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -list -v 8. 运行以下命令创建 CSR 以让 CA 进行签名 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -certreq -keyalg RSA - alias tomcat -file certrequest.csr 9. 将 certrequest.csr 发送给 CA 以进行签名将返回两个文件一个是证书回复, 另一个是 CA 证书本身 10. 运行以下命令将 CA 证书导入 JAVA 可信密钥库 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -import -alias root - trustcacerts -file cacert.crt -keystore "C:\Program Files\Trend Micro\Deep Security Manager\ jre\lib\security\cacerts" 11. 运行以下命令将 CA 证书导入您的密钥库 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -import -alias root - trustcacerts -file cacert.crt 76

77 创建 SSL 认证证书 ( 出现警告消息时单击是 ) 12. 运行以下命令将证书回复导入您的密钥库 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -import -alias tomcat - file certreply.txt 13. 运行以下命令查看密钥库中的证书链 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -list -v 14. 将.keystore 文件从用户主目录 C:\Documents and Settings\Administrator 复制到 C:\Program Files\Trend Micro\Deep Security Manager\ 15. 打开文件夹 C:\Program Files\Trend Micro\Deep Security Manager 中的 configuration.properties 文件它将类似于以下内容 : keystorefile=c\:\\\\program Files\\\\Trend Micro\\\\Deep Security Manager\\\\.keystore port=4119 keystorepass=$1$85ef650a5c40bb0f914993ac1ad855f48216fd0664ed2544bbec6de80160b2f installed=true servicename= Trend Micro Deep Security Manager 16. 替换以下字符串中的密码 : keystorepass=xxxx 其中 "xxxx" 是在步骤 5 中提供的密码 17. 保存并关闭该文件 18. 重新启动 Deep Security Manager 服务 19. 使用浏览器连接到趋势科技服务器深度安全防护系统管理中心, 您将注意到新的 SSL 证书已经过 CA 签名 Linux 创建 Linux SSL 认证证书 : 1. 转到趋势科技服务器深度安全防护系统管理中心安装目录 ( 就这些说明而言, 我们假设该目录为 "opt\ opt\dsm"), 然后创建名为 Backupkeystore 的新文件夹 2. 将.keystore 和 configuration.properties 复制到新创建的文件夹 Backupkeystore 3. 从命令提示符转到以下位置 :opt\dsm\jre\bin 4. 运行以下命令, 该命令将创建一个自签名证书 : opt\dsm\jre\bin# keytool -genkey -alias tomcat -keyalg RSA -dname cn=dsmserver -dname 是 CA 将签发的证书的常用名某些 CA 要求使用特定名称来对证书签名请求 (CSR) 进行签名请咨询您的 CA 管理员以查看是否具有该特殊要求 5. 出现提示时选择密码 6. 在用户主目录下创建了新的.keystore 文件如果以 "Administrator" 身份登录, 则会在./root/ 下看到该.keystore 文件如果该文件已隐藏, 请使用以下命令 :find -type f -iname ".keystore" -ls 77

78 创建 SSL 认证证书 7. 使用以下命令查看新生成的证书 : opt\dsm\jre\bin# keytool -list -v 8. 运行以下命令创建 CSR 以让 CA 进行签名 : opt\dsm\jre\bin# keytool -certreq -keyalg RSA -alias tomcat -file certrequest.csr 如果显示 "Keytool unrecognized option '-keyalg'", 请改为使用 '-sigalg' 9. 将 certrequest.csr 发送给 CA 以进行签名将返回两个文件一个是证书回复, 另一个是 CA 证书本身 10. 运行以下命令将 CA 证书导入 JAVA 可信密钥库 : opt\dsm\jre\bin# keytool -import -alias root -trustcacerts -file cacert.crt -keystore "opt\ dsm\jre\lib\security\cacerts" 11. 运行以下命令将 CA 证书导入您的密钥库 : opt\dsm\jre\bin# keytool -import -alias root -trustcacerts -file cacert.crt ( 出现警告消息时单击是 ) 12. 运行以下命令将证书回复导入您的密钥库 : opt\dsm\jre\bin# keytool -import -alias tomcat -file certreply.txt 13. 运行以下命令查看密钥库中的证书链 : opt\dsm\jre\bin# keytool -list -v 14. 将.keystore 文件从用户主目录.\root\ 复制到 \opt\dsm\ 15. 打开文件夹 C:\Program Files\Trend Micro\Deep Security Manager 中的 configuration.properties 文件它将类似于以下内容 : keystorefile= opt\\\dsm\\\.keystore port=4119 keystorepass=$1$85ef650a5c40bb0f914993ac1ad855f48216fd0664ed2544bbec6de80160b2f installed=true servicename= Trend Micro Deep Security Manager 16. 替换以下字符串中的密码 : keystorepass=xxxx 其中 "xxxx" 是在步骤 5 中提供的密码 17. 保存并关闭该文件 18. 重新启动 Deep Security Manager 服务 19. 使用浏览器连接到趋势科技服务器深度安全防护系统管理中心, 您将注意到新的 SSL 证书已经过 CA 签名 78

79 趋势科技服务器深度安全防护系统管理中心静默安装趋势科技服务器深度安全防护系统管理中心静默安装 Windows 要在 Windows 上启动静默安装, 请在安装包所在的目录中打开命令提示符并运行以下命令 : Manager-Windows-<Version>.x64.exe -q -console -Dinstall4j.language=<ISO code> -varfile <PropertiesFile> Linux 要在 Linux 上启动静默安装, 请在安装包所在的目录中打开命令提示符并运行以下命令 : Manager-Linux-<Version>.x64.sh -q -console -Dinstall4j.language=<ISO code> -varfile <PropertiesFile> 参数 "-q" 设置强制 install4j 在无人 ( 静默 ) 模式下执行 "-console" 设置强制消息显示在控制台中 (stdout) 如果有其他语言可用, 利用 -Dinstall4j.language=<ISO code> 选项可以覆盖缺省安装语言 ( 英文 ) 请使用标准 ISO 语言标识符指定语言 : 日语 :ja 简体中文 :zh_cn <PropertiesFile> 自变量是指向标准 Java 属性文件的完整 / 绝对路径每个属性通过其在 Windows 趋势科技服务器深度安全防护系统管理中心安装 ( 上述 ) 中的等效 GUI 窗口和设置来识别例如, 地址和端口窗口上的趋势科技服务器深度安全防护系统管理中心地址指定如下 : AddressAndPortsScreen.ManagerAddress= 此文件中的大多数属性都具有可接受的缺省值, 可以省略使用内置数据库的简单安装唯一需要的值包括 : LicenseScreen.License CredentialsScreen.Administrator.Username CredentialsScreen.Administrator.Password 有关可用设置的完整描述, 请参阅趋势科技服务器深度安全防护系统管理中心设置属性文件 ( 第 81 页 ) 属性文件示例以下是典型属性文件内容的示例 : AddressAndPortsScreen.ManagerAddress= AddressAndPortsScreen.NewNode=True UpgradeVerificationScreen.Overwrite=False LicenseScreen.License.-1=XY-ABCD-ABCDE-ABCDE-ABCDE-ABCDE-ABCDE DatabaseScreen.DatabaseType=Oracle DatabaseScreen.Hostname= xxx.xxx DatabaseScreen.Transport=TCP DatabaseScreen.DatabaseName=XE 79

80 趋势科技服务器深度安全防护系统管理中心静默安装 DatabaseScreen.Username=DSM DatabaseScreen.Password=xxxxxxx AddressAndPortsScreen.ManagerPort=4119 AddressAndPortsScreen.HeartbeatPort=4120 CredentialsScreen.Administrator.Username=masteradmin CredentialsScreen.Administrator.Password=xxxxxxxx CredentialsScreen.UseStrongPasswords=False SecurityUpdateScreen.UpdateComponents=True SoftwareUpdateScreen.Proxy=False SoftwareUpdateScreen.ProxyType="" SoftwareUpdateScreen.ProxyAddress="" SoftwareUpdateScreen.ProxyPort="" SoftwareUpdateScreen.ProxyAuthentication="False" SoftwareUpdateScreen.ProxyUsername="" SoftwareUpdateScreen.ProxyPassword="" SoftwareUpdateScreen.UpdateSoftware=True RelayScreen.Install=True SmartProtectionNetworkScreen.EnableFeedback=False 80

81 趋势科技服务器深度安全防护系统管理中心设置属性文件趋势科技服务器深度安全防护系统管理中心设置属性文件本节包含有关属性文件内容的信息, 该文件可以在趋势科技服务器深度安全防护系统管理中心的命令行安装 ( 静默安装 ) 中使用 ( 请参阅趋势科技服务器深度安全防护系统管理中心静默安装 ( 第 79 页 ) ) 设置属性文件设置属性文件中每个条目的格式如下 : <Screen Name>.<Property Name>=<Property Value> 设置属性文件具有所需值和可选值对于可选条目, 提供无效值将导致使用缺省值所需设置 LicenseScreen 属性可能值 LicenseScreen.License.-1=< 值 > < 用于所有模块的 AC> 空白缺省值注意或属性可能值 LicenseScreen.License.0=< 值 > < 用于防恶意软件的 AC> 空白 LicenseScreen.License.1=< 值 > < 用于防火墙 /DPI 的 AC> 空白 LicenseScreen.License.2=< 值 > < 用于完整性监控的 AC> 空白 LicenseScreen.License.3=< 值 > < 用于日志审查的 AC> 空白缺省值注意 CredentialsScreen 属性可能值 CredentialsScreen.Administrator.Username=< 值 > < 主管理员的用户名 > 空白 CredentialsScreen.Administrator.Password=< 值 > < 主管理员的密码 > 空白缺省值注意可选设置 LanguageScreen 属性可能值缺省值注意 en_us sys.languageid=< 值 > ja zh_cn en_us "en_us" = 英语,"ja" = 日语,"zh_CN" = 简体中文 81

82 趋势科技服务器深度安全防护系统管理中心设置属性文件 UpgradeVerificationScreen 除非检测到现有的安装, 否则不会引用此窗口 / 设置属性可能值缺省值注意 UpgradeVerificationScreen.Overwrite=< 值 > True False False 将此值设置为 True 将覆盖数据库中的任何现有数据执行此操作时将不会进行任何进一步的提示 DatabaseScreen 此窗口可用于定义数据库类型, 也可以定义访问某些数据库类型所需的参数交互式安装提供了一个高级对话框, 以定义 Microsoft SQL Server 的实例名称和域, 但是由于无人参与的安装不支持对话框, 因此这些参数包括在下面的 DatabaseScreen 设置中属性 DatabaseScreen.DatabaseType=< 值 > DatabaseScreen.Hostname=< 值 > DatabaseScreen.DatabaseName=< 值 > DatabaseScreen.Transport=< 值 > DatabaseScreen.Username=< 值 > DatabaseScreen.Password=< 值 > DatabaseScreen.SQLServer.Instance=< 值 > DatabaseScreen.SQLServer.Domain=< 值 > 可能值嵌入式缺省值 Microsoft Microsoft SQL Server Oracle 数据库服务器的名称或 IP 地址当前的主机名任何字符串命名管道 TCP 任何字符串任何字符串任何字符串任何字符 DatabaseScreen.SQLServer.UseDefaultCollation=< True 值 > 串 False SQL Server 当前的主机名 dsm 命名管道空白空白空白空白 False 注意嵌入式不需要仅对 SQL Server 是必需的管理中心用来向数据库服务器进行认证的用户名必须匹配现有的数据库帐户请注意, 趋势科技服务器深度安全防护系统管理中心数据库权限将对应于此用户的权限例如, 如果您选择权限为只读的数据库帐户, 趋势科技服务器深度安全防护系统管理中心将无法写入数据库嵌入式不需要对于 Microsoft SQL Server 和 Oracle 为强制设置管理中心用来向数据库服务器进行认证的密码嵌入式不需要对于 Microsoft SQL Server 和 Oracle 为强制设置仅在支持单个服务器或处理器上的多个实例的 Microsoft SQL Server 上使用只有一个实例可以为缺省实例, 其他任何实例均为命名实例如果趋势科技服务器深度安全防护系统管理中心数据库实例不是缺省实例, 请在此输入实例的名称该值必须匹配现有的实例或者保留为空表示其为缺省实例仅在 Microsoft SQL Server 上使用这是向 SQL Server 进行认证时使用的 Windows 域名上述 DatabaseScreen.Username 和 DatabaseScreen.Password 仅在相应的域中有效仅在 Microsoft SQL Server 上使用排序规则决定了如何对字符串进行排序和比较如果值为 "False", 趋势科技服务器深度安全防护系统将使用 Latin1_General_CS_AS 对文本型列进行排序如果值为 "True", 趋势科技服务器深度安全防护系统将使用 SQL Server 数据库指定的排序方法有关排序规则的其他信息, 请参考 SQL Server 文档 82

83 趋势科技服务器深度安全防护系统管理中心设置属性文件 AddressAndPortsScreen 此窗口定义此计算机的主机名 URL 或 IP 地址并定义管理中心的端口在交互式安装程序中, 此窗口还支持将新的管理中心添加到现有的数据库, 但是在无人参与的安装中不支持此选项属性可能值缺省 < 管理中心主机的 < 当前 AddressAndPortsScreen.ManagerAddress=< 主机名 URL 或的主值 > IP 地址 > 机名 > AddressAndPortsScreen.ManagerPort=< 值 > < 有效的端口号 > 4119 AddressAndPortsScreen.HeartbeatPort=< 值 > AddressAndPortsScreen.NewNode=< 值 > 值 < 有效的端口号 > 4120 True False 注意 True 表示当前安装为新节点如果安装程序在数据库中找到现有数据, 则它会将此安装作 False 为新节点添加 ( 多节点安装始终是静默安装 ) 有关现有数据库的新节点安装信息通过 DatabaseScreen 属性提供 CredentialsScreen 属性可能值缺省值注意 CredentialsScreen.UseStrongPasswords=< 值 > True False False True 表示 DSM 应该设置为强制使用强密码 SecurityUpdateScreen 属性 SecurityUpdateScreen.UpdateComponents=< 值 > SecurityUpdateScreen.Proxy=< 值 > SecurityUpdateScreen.ProxyType=< 值 > SecurityUpdateScreen.ProxyAddress=< 值 > 可能值 True False True False HTTP SOCKS4 SOCKS5 有效的 IPv4 或 IPv6 地址或主机名缺省值 True 注意 True 将指示趋势科技服务器深度安全防护系统管理中心创建预设任务以自动检查安全更新安装完成后将运行预设任务 False True 表示趋势科技服务器深度安全防护系统管理中心使用代理服务器连接到 Internet 以从趋势科技下载安全更新空白空白代理服务器使用的协议代理服务器的 IP 或主机名 SecurityUpdateScreen.ProxyPort=< 值 > 整数空白代理服务器的端口号 SecurityUpdateScreen.ProxyAunthentication=< True 值 > False SecurityUpdateScreen.ProxyUsername=< 值 > 任何字符串空白认证用户名 SecurityUpdateScreen.ProxyPassword=< 值 > 任何字符串空白认证密码 False True 表示代理服务器需要使用认证凭证 SoftwareUpdateScreen 属性 SoftwareUpdateScreen.UpdateSoftware=< 值 > SoftwareUpdateScreen.Proxy=< 值 > SoftwareUpdateScreen.ProxyType=< 值 > 可能值 True False True False HTTP SOCKS4 SOCKS5 缺省值 True 注释 True 将指示趋势科技服务器深度安全防护系统管理中心创建预设任务以自动检查软件更新安装完成后将运行预设任务 False True 表示趋势科技服务器深度安全防护系统管理中心使用代理服务器连接到 Internet 以从趋势科技下载软件更新空白代理服务器使用的协议 83

84 趋势科技服务器深度安全防护系统管理中心设置属性文件属性 SoftwareUpdateScreen.ProxyAddress=< 值 > 可能值有效的 IPv4 或 IPv6 地址或主机名缺省值空白注释代理服务器的 IP 或主机名 SoftwareUpdateScreen.ProxyPort=< 值 > 整数空白代理服务器的端口号 SoftwareUpdateScreen.ProxyAunthentication=< True 值 > False SoftwareUpdateScreen.ProxyUsername=< 值 > 任何字符串空白认证用户名 SoftwareUpdateScreen.ProxyPassword=< 值 > 任何字符串空白认证密码 False True 表示代理服务器需要使用认证凭证 SmartProtectionNetworkScreen 此窗口可定义是否要启用趋势科技智能反馈, 也可以选择定义您的行业属性 SmartProtectionNetworkScreen.EnableFeedback=< 值 > SmartProtectionNetworkScreen.IndustryType=< 值 > 可能值 True False 未指定银行通信传媒教育能源快速消费品 (FMCG) 财务食品饮料政府卫生保健保险制造材料媒体石油和天然气房地产零售科技电信运输公用事业其他缺省值 False 注意 True 表示启用趋势科技智能反馈空白空白对应于未指定属性文件示例以下是典型属性文件内容的示例 : AddressAndPortsScreen.ManagerAddress= AddressAndPortsScreen.NewNode=True UpgradeVerificationScreen.Overwrite=False LicenseScreen.License.-1=XY-ABCD-ABCDE-ABCDE-ABCDE-ABCDE-ABCDE DatabaseScreen.DatabaseType=Oracle DatabaseScreen.Hostname= xxx.xxx DatabaseScreen.Transport=TCP DatabaseScreen.DatabaseName=XE DatabaseScreen.Username=DSM DatabaseScreen.Password=xxxxxxx AddressAndPortsScreen.ManagerPort=4119 AddressAndPortsScreen.HeartbeatPort=4120 CredentialsScreen.Administrator.Username=masteradmin 84

85 趋势科技服务器深度安全防护系统管理中心设置属性文件 CredentialsScreen.Administrator.Password=xxxxxxxx CredentialsScreen.UseStrongPasswords=False SecurityUpdateScreen.UpdateComponents=True SoftwareUpdateScreen.UpdateSoftware=True RelayScreen.Install=True SmartProtectionNetworkScreen.EnableFeedback=False 安装输出以下是一个成功安装的示例输出, 后跟一个失败安装 ( 使用授权无效 ) 的示例输出跟踪中的 [Error] 标记表示故障成功的安装 Stopping Trend Micro Deep Security Manager Service... Checking for previous versions of Trend Micro Deep Security Manager... Upgrade Verification Screen settings accepted... The installation directory has been set to C:\Program Files\Trend Micro\Deep Security Manager. Database Screen settings accepted... License Screen settings accepted... Address And Ports Screen settings accepted... Credentials Screen settings accepted... Security Update Screen settings accepted... Software Update Screen settings accepted... Smart Protection Network Screen settings accepted... All settings accepted, ready to execute... Extracting files... Setting Up... Connecting to the Database... Creating the Database Schema... Creating MasterAdmin Account... Recording Settings... Creating Temporary Directory... Installing Reports... Installing Modules and Plug-ins... Creating Help System... Validating and Applying Activation Codes... Configure Localizable Settings... Setting Default Password Policy... Creating Scheduled Tasks... Creating Asset Importance Entries... Creating Auditor Role... Optimizing... Importing Software Packages... Configuring Relay For Install... Importing Performance Profiles... Recording Installation... Clearing Sessions... Creating Properties File... Creating Shortcut... Configuring SSL... Configuring Service... Configuring Java Security... Configuring Java Logging... Cleaning Up... Starting Deep Security Manager... Finishing installation... 85

86 趋势科技服务器深度安全防护系统管理中心设置属性文件失败的安装此示例显示当属性文件包含无效的使用授权字符串时生成的输出 : Stopping Trend Micro Deep Security Manager Service... Detecting previous versions of Trend Micro Deep Security Manager... Upgrade Verification Screen settings accepted... Database Screen settings accepted... Database Options Screen settings accepted... [ERROR] The license code you have entered is invalid. [ERROR] License Screen settings rejected... Rolling back changes... 86

87 启用多租户启用多租户启用多租户 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 系统设置 > 高级, 然后在多租户选项区域中单击启用多租户模式, 以显示多租户配置多租户配置向导 2. 输入激活码, 然后单击下一步下一步 3. 选择要实施的使用授权模式 : 从主租户继承使用授权 : 为所有租户授予主租户具有的相同使用授权每租户使用授权 : 在此模式下, 租户自己在首次登录时输入使用授权 4. 单击下一步下一步完成在趋势科技服务器深度安全防护系统管理中心中启用多租户管理租户启用多租户模式后, 可在管理管理部分出现的租户租户页面对租户进行管理创建租户创建新租户 : 1. 转至管理 > 租户页面, 然后单击新建新建以显示新建租户新建租户向导 2. 输入租户帐户名称帐户名称可以是 Primary 之外的任意名称, Primary 用于主租户 3. 输入电子邮件地址需要电子邮件地址, 以便每个租户具有一个联系点还用于下一步中三个不同的用户帐户生成方法中的两种 4. 选择语言环境语言环境确定适用于该租户的趋势科技服务器深度安全防护系统管理中心用户界面语言 5. 选择时区将向租户帐户时区中的租户用户显示所有与租户相关的事件 6. 如果趋势科技服务器深度安全防护系统安装使用多个数据库, 您可以选择让趋势科技服务器深度安全防护系统自动选择存储新租户帐户 ( 自动 -- 无首选项 ) 的数据库服务器, 您也可以指定特定服务器不再接受新租户的数据库服务器将不会包括在下拉列表中如果只有一个数据库, 将不显示这些选项完成选择后, 单击下一步下一步继续 87

88 启用多租户 7. 输入新租户帐户首个用户的用户名 8. 选择以下三个密码选项之一 : 无电子邮件 : 在此处定义租户首个用户的用户名和密码, 不发送电子邮件电子邮件确认链接 : 您设置租户首个用户的密码但是, 直到用户单击将通过电子邮件收到的确认链接后, 帐户才会被激活电子邮件生成的密码 : 这允许租户创建者在未指定密码的情况下生成租户手动创建创建者不需要访问权限的用户帐户时, 此选项最适用所有这三个选项均可通过 REST API 获得确认选项为开放公共注册提供了一个合适的方法建议使用 CAPTCHA, 以确保租户创建者是人, 而非自动化的机器人电子邮件确认可确保提供的电子邮件属于此用户, 然后才能访问帐户 9. 单击下一步下一步完成向导并创建租户 ( 创建新租户数据库并填充数据和示例策略可能需要 30 秒到 4 分钟 ) 发送给租户的邮件示例电子邮件确认链接 : 帐户确认请求欢迎使用趋势科技服务器深度安全防护系统! 要开始使用您的帐户, 请单击以下确认 URL 然后可以使用所选密码访问控制台帐户名称 :AnyCo 用户名 :admin 单击以下 URL 激活您的帐户 : D451-05F B6F646&tenantAccount=AnyCo&username=admin 电子邮件生成的密码 : 帐户和用户名通知欢迎使用趋势科技服务器深度安全防护系统! 已为您创建一个新帐户您的密码将生成, 并在一封单独的电子邮件中提供帐户名称 :AnyCo 用户名 :admin 可以使用以下 URL 访问趋势科技服务器深度安全防护系统管理控制台 : 电子邮件生成的密码 : 密码通知这是为您的趋势科技服务器深度安全防护系统帐户自动生成的密码您的帐户名用户名和用于访问趋势科技服务器深度安全防护系统管理控制台的链接将在一封单独的电子邮件中提供密码 :z3igruq0jafi 管理租户租户页面 ( 管理 > 租户 ) 显示所有租户的列表租户可处于以下任一状态 : 88

89 启用多租户已创建 : 正在创建, 但尚未激活需要确认 : 已创建, 但尚未单击发送给租户用户的确认电子邮件中的激活链接 ( 您可以手动覆盖此状态 ) 活动 : 完全在线且受管已挂起 : 不再接受登录待删除 : 可将租户删除, 但未立即执行移除数据库之前, 租户将处于待删除状态至多七天数据库升级失败 : 用于路径升级失败的租户数据库升级按钮可用于解决此问题租户属性双击租户可以查看租户的属性属性窗口常规可更改租户的语言环境时区和状态请注意, 更改时区和语言环境不影响现有的租户用户它将仅影响此租户中的新用户以及非用户特定的 UI 中的事件和其他部分数据库名称表示该租户所用的数据库的名称可通过超链接访问数据库运行的服务器 89

90 启用多租户模块模块选项卡提供了用于保护模块可见性的选项缺省情况下, 将隐藏所有未经授权的模块可通过取消选中始终隐藏未经授权的模块始终隐藏未经授权的模块来更改此设置此外, 可以每个租户为基础显示所选模块如果选中从主租户继承使用授权, 则授权给您 ( 作为主租户 ) 的所有功能将对所有租户可见所选的可见性可用于调整哪些模块对于哪些租户可见如果缺省使用每租户使用授权, 将仅显示对每个租户授权的模块如果您在测试环境中评估趋势科技服务器深度安全防护系统, 并希望查看完整的多租户安装, 您可以启用多租户演示模式处于演示模式时, 管理中心使用模拟租户计算机事件警报和其他数据填充其数据库最初生成七天的数据, 但会不断生成新数据以使用这些数据填充管理中心的控制台报告和事件页面演示模式不能不能用于生产环境! 统计统计信息选项卡显示当前租户的信息, 包括数据库大小处理的作业登录安全事件和系统事件小图显示过去 24 小时的活动 90

91 启用多租户客户端激活客户端激活选项卡显示了一个可从此租户计算机的客户端安装目录运行的命令行指令, 此指令将在计算机上激活客户端以便租户可以分配策略并从趋势科技服务器深度安全防护系统管理中心执行其他配置过程主要联系人已启用中继的客户端每个趋势科技服务器深度安全防护系统管理中心必须拥有至少一个已启用中继的客户端的访问权限, 并且这包括多租户趋势科技服务器深度安全防护系统安装中的租户缺省情况下, 其他租户也可使用主租户缺省中继组中已启用中继的客户端可在主租户的趋势科技服务器深度安全防护系统管理中心的管理 > 系统设置 > 租户 > 多租户选项区域中找到该设置如果此选项已禁用, 则租户必须安装和管理其自己的已启用中继的客户端租户帐户用户的趋势科技服务器深度安全防护系统看法租户用户体验启用多租户后, 登录页面将显示另一个帐户名称帐户名称文本框 : 91

92 启用多租户需要租户输入其帐户名称以及用户名和密码帐户名称允许租户使用重叠的用户名 ( 例如, 如果多个租户与同一台 Active Directory 服务器同步 ) 当您 ( 作为主租户 ) 登录时, 请将帐户名称留空或使用 "Primary" 当租户登录时, 安装环境与首次安装趋势科技服务器深度安全防护系统管理中心时非常相似 UI 租户隐藏以下区域 : 中的某些功能对租户用户不可用已对管理中心节点 widget 多租户 widget 管理 > 系统信息管理 > 使用授权 ( 如果选中继承选项 ) 管理 > 管理中心节点管理 > 租户管理 > 系统设置 : 租户选项卡安全选项卡 > 登录消息更新选项卡 > 允许租户使用主租户已启用中继的客户端的设置高级选项卡 > 负载平衡器高级选项卡 > 插件帮助中的一些内容不适用于租户一些报告不适用于租户基于您在管理 > 系统设置 > 租户选项卡中选择的多租户设置的其他功能还将对租户隐藏某些警报类型 : 波动信号服务器不成功磁盘空间不足管理中心脱机管理中心时间不同步现已推出较新版本的趋势科技服务器深度安全防护系统管理中心计算机数量超过数据库限制当在所有使用授权相关警报中启用继承的使用授权时还要注意的重要一点是 : 租户无法查看主租户的任何多租户功能或任何其他租户的任何数据此外, 某些 API 受到限制, 因为他们只能用于主租户权限 ( 如创建其他租户 ) 有关租户用户可用和不可用部分的更多信息, 请参阅趋势科技服务器深度安全防护系统管理中心的管理 > 系统设置 > 租户页面的联机帮助所有租户均可在多个用户帐户中使用基于角色的访问控制, 以进一步细分访问权限此外, 他们可以将 Active Directory 集成用于用户, 以将认证委派到域每次进行租户认证时仍需要输入租户帐户名称客户端启动的激活缺省情况下, 为所有租户启用客户端启动的激活不同于主租户的客户端启动的激活, 需要密码和租户 ID 才能调用租户用户的激活租户可查看客户端启动的激活所必需的参数, 方法是转至管理 > 更新 > 软件 > 本地软件, 选择客户端安装包, 然后从工具栏选择生成部署脚本 : 92

93 启用多租户此时将显示部署脚本生成器如果租户从平台平台菜单选择其平台, 然后选择自动激活客户端, 则生成的部署脚本将包含带有必需参数的 dsa_control Windows 计算机上客户端启动的激活的脚本示例如下所示 : dsa_control -a dsm://manageraddress:4120/ "tenantid:7155a-d130-29f4-5fe1-8afd102" "tenantpassword: b e7d0d5" 租户诊断由于软件包中包含敏感数据, 租户无法访问管理中心诊断包租户仍然可以通过打开计算机编辑器, 然后选择概述概述页处理措施处理措施选项卡上的客户端诊断来生成客户端诊断使用情况监控趋势科技服务器深度安全防护系统管理中心记录关于租户使用情况的数据将在控制台的租户防护活动 widget 租户属性窗口的统计信息选项卡和退款报告中显示此信息还可以通过状态监控 REST API 访问此信息, 可转至管理 > 系统设置 > 高级 > 状态监控 API 启用或禁用此 API 可定制此退款 ( 或审查 ) 信息, 以确定记录中包含哪些属性此配置旨在调整服务提供程序环境中可能需要的各种收费模式这在企业确定每个业务部门的使用情况方面十分有用多租户控制台 / 报告启用多租户后, 主租户用户可访问其他控制台 widget 以监控租户活动 : 93

94 启用多租户与租户相关的 widget 的一些示例 : 在管理 > 租户页面 ( 有些在可选列中 ) 以及租户属性属性窗口的统计信息统计信息选项卡上会提供相同的信息此信息提供监控整个系统使用情况和查找异常活动指示的功能例如, 如果租户遇到安全事件活动安全事件活动急剧增多的情况, 则可能受到攻击租户报告 ( 位于事件和报告事件和报告部分 ) 提供了更多信息此报告详细介绍了每个租户的防护时长当前数据库大小和计算机数量 ( 激活的和未激活的 ) 94

95 多租户 ( 高级 ) 多租户 ( 高级 ) API 趋势科技服务器深度安全防护系统管理中心包括一些 REST API, 可用于 : 1. 启用多租户 2. 管理租户 3. 访问监控数据 4. 访问费用分摊 ( 防护活动 ) 数据 5. 管理辅助数据库服务器此外, 旧版 SOAP API 包含一个新的认证认证方法, 可接受租户帐户名称作为第三个参数有关 REST API 的其他信息, 请参阅 REST API 文档升级与先前版本相比, 升级没有变化将执行安装程序, 并检测现有安装它会提供升级选项如果选择了升级, 安装程序先通知其他节点关闭, 再开始升级过程首先升级主租户, 然后并行升级其他租户 ( 一次 5 个 ) 一旦安装程序完成, 将对其余管理中心节点执行同一个安装包如果在租户升级期间出现问题, 租户的状态 ( 在管理 > 租户页面上 ) 将显示为需要数据库升级 ( 脱机 ) 可以使用租户界面强制执行升级过程如果强制执行升级不起作用, 请与技术支持人员联系支持租户在某些情况下, 可能需要主租户获得对租户用户界面的访问权限租户列表和租户属性页面提供了一个作为给定租户进行认证的选项, 授予其即时只读访问权限用户将使用前缀 "support_" 以租户特殊帐户的身份登录例如, 如果主租户用户 jdoe 以租户身份登录, 则会创建一个名为 "support_jdoe" 具有完全访问权限角色的帐户一旦支持用户超时或从帐户注销, 即会删除该用户租户可以在系统事件中看到此用户帐户的创建登录注销删除以及任何其他操作主租户中的用户还有其他诊断工具可供使用 : 1. 管理 > 系统信息页面包含有关租户内存使用和线程状态的其他信息此工具可以直接使用, 也可以为趋势科技技术支持提供帮助 2. 管理中心节点磁盘上的 server0.log 包含导致生成日志的租户 ( 和用户, 如果适用 ) 的名称的其他信息这有助于确定问题的根源在某些情况下, 租户需要使用 GUI 中尚不提供的定制调整这通常应趋势科技技术支持的要求用于更改这些设置的命令行工具可接受参数 : -Tenantname "account name" 以便指示特定租户处的设置更改或其他命令行操作如果忽略, 则操作在主租户上执行 95

多租户 ( 高级 ) 负载平衡器缺省情况下, 多节点管理中心向所有客户端和虚拟设备提供所有管理中心节点的地址客户端和虚拟设备使用地址列表随机选择一个要联系的节点, 并继续尝试列表中的其余地址, 直到无法访问任何节点 ( 即全部忙 ) 如果它无法访问任何节点, 它将等待直到下一个波动信号, 并重试这种方法在管理中心节点数固定的环境中非常有效, 不必在管理中心节点前端配置负载平衡器,

96 多租户 ( 高级 ) 负载平衡器缺省情况下, 多节点管理中心向所有客户端和虚拟设备提供所有管理中心节点的地址客户端和虚拟设备使用地址列表随机选择一个要联系的节点, 并继续尝试列表中的其余地址, 直到无法访问任何节点 ( 即全部忙 ) 如果它无法访问任何节点, 它将等待直到下一个波动信号, 并重试这种方法在管理中心节点数固定的环境中非常有效, 不必在管理中心节点前端配置负载平衡器, 即可获得可用性和可伸缩性在多租户环境中, 可能需要按需添加和删除管理中心节点 ( 可能使用云环境的自动缩放功能 ) 在这种情况下, 添加和删除管理中心将导致更新环境中的每个客户端和虚拟设备要避免这种更新, 可以使用负载平衡器设置负载平衡器可配置为针对不同类型的网络通信使用不同的端口, 或者, 如果负载平衡器支持端口重定向, 则可用于在端口 443 上使用三个负载平衡器来公开所有必需的协议 : 在所有情况下, 负载平衡器应配置为使用粘滞会话的 TCP 负载平衡器 ( 而非 SSL 终止 ) 这可确保一个给定的通信交换自始至终在客户端 / 虚拟设备和管理中心之间进行下一个连接可能平衡到另一个节点每个租户数据库的开销大约为 100MB 磁盘空间 ( 归因于填充系统的初始规则策略和事件 ) 由于创建架构和填充初始数据, 租户的创建需要 30 秒至 4 分钟的时间这可确保每一个新租户有最新的配置, 并消除管理数据库模板的负担 ( 特别是在多个数据库服务器之间 ) 96

安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 配置数据库用户帐户 SQL Server 和 Oracle Database 在如下所述的数据库概念中使用不同的术语 SQL Server 多个租户执行的进程数据库服务器数据库 Oracle Database 一个租户的数据集数据库表空间 / 用户以下部分在 SQL

97 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 配置数据库用户帐户 SQL Server 和 Oracle Database 在如下所述的数据库概念中使用不同的术语 SQL Server 多个租户执行的进程数据库服务器数据库 Oracle Database 一个租户的数据集数据库表空间 / 用户以下部分在 SQL Server 和 Oracle Database 二者中都使用了 SQL Server 术语 SQL Server 使用多租户时, 保持主数据库名称简短可使租户的数据库名称更易读 ( 即, 如果主数据库是的数据库名称将是 "MAINDB_1", 第二个租户的数据库名称将是 "MAINDB_2", 依此类推 ) "MAINDB", 则第一个租户由于多租户要求软件能够创建数据库, 因此在 SQL Server 上需要使用 dbcreator 角色例如 : 对于主租户的用户角色, 必须向主数据库分配 DB 所有者 : 97

98 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 如果需要, 可以进一步细化权限, 以便仅包括修改架构和访问数据的能力使用 dbcreator 角色时, 同一个用户将自动拥有该帐户所创建的数据库例如, 下面是创建第一个租户后该用户的属性 : 98

安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 要在辅助数据库服务器上创建第一个帐户, 仅需要使用 dbcreator 服务器角色不必定义用户映射 Oracle Database Oracle Database 中的多租户与 SQL Server 类似, 但有几个重要区别其中,SQL Server 是每数据库服务器一个用户帐户,Oracle Database

99 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 要在辅助数据库服务器上创建第一个帐户, 仅需要使用 dbcreator 服务器角色不必定义用户映射 Oracle Database Oracle Database 中的多租户与 SQL Server 类似, 但有几个重要区别其中,SQL Server 是每数据库服务器一个用户帐户,Oracle Database 是每租户一个用户帐户安装趋势科技服务器深度安全防护系统的用户映射到主租户可以授予该用户分配其他用户和表空间的权限虽然 Oracle 允许在用引号括起来的数据库对象名称中使用特殊字符, 但趋势科技服务器深度安全防护系统不支持在数据库对象名称中使用特殊字符 Oracle Web 站点上的以下页面介绍了不带引号的名称中允许使用的字符 : 趋势科技服务器深度安全防护系统从主 ( 主租户 )Oracle Database 衍生租户数据库名称例如, 如果主数据库是 "MAINDB", 则第一个租户的数据库名称将是 "MAINDB_1", 第二个租户的数据库名称将是 "MAINDB_2", 依此类推 ( 保持主数据库名称简短, 可使租户数据库名称更易读 ) 如果启用了多租户, 则必须分配下列 Oracle Database 权限 : 租户被创建为使用长随机密码的用户, 并授予下列权限 : 99

100 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 对于辅助 Oracle Database 服务器, 必须创建第一个用户帐户 ( 启动用户帐户 ) 此用户将有一个本质上为空的表空间配置与主用户帐户相同 100

展开

ZENworks 11 SP4 系统要求

ZENworks 11 SP4 系统要求 ZENworks 11 SP4 系统 2015 年 12 月以下各节说明 Novell ZENworks 11 SP4 对硬件和软件的 : 第 1 节主服务器 ( 第 1 页 ) 第 2 节受管设备 ( 第 4 页 ) 第 3 节从属服务器 ( 第 11 页 ) 第 4 节数据库 ( 第 14 页 ) 第 5 节 LDAP 目录 ( 第 15