ClientHelpSymantec™ Endpoint Protection 及 Symantec Network Access Control 客户端指南

Similar documents

Symantec™ Sygate Enterprise Protection 防护代理安装使用指南

Norton Ghost 15.0 安裝操作指南

鬆建立強制遵循法規的有效與彈性政策, 並防止資料外洩 Messaging Gateway 硬體裝置整合了 Symantec Data Loss Prevention 精密的結構化資料比對技術, 該技術能分析您

WP TW_APJISTR11.qxd

Cisco WebEx Meetings Server 2.6 版常见问题解答

AVG AntiVirus User Manual

Symantec™ Endpoint Protection 迁移参考指南

一专业名称专业名称 : 会计二入学要求与基本学制入学要求 : 初中毕业生基本学制 : 三年 ; 其中前二年为在校学习时间, 最后一年为企业实习时间层次 : 中职三培养目标本专

发行说明, 版

Faronics WINSelect 标准版用户指南

ESET Smart Security

嘉兴社区教育社区教育 2009 年第 3 期构建终身教育体系研讨社区教育热点打造社区教育品牌交流社区教育经验 2009 年第 3 期总第 9 期目录卷首语积极探索深化实验, 不断推

<%DOC NAME%> (User Manual)

<%DOC NAME%> User Manual

ARIS Design Platform

2Office 365 Microsoft Office 365 Microsoft Office Microsoft Office Microsoft Office 365 Office (Office Web Apps) Office WindowsMAC OS Office 365 Offic

<BBB6D3ADB7C3CECABFC6D1A7CEC4BBAFC6C0C2DB>

第一章系统概述

ESET NOD32 Antivirus

SiteView技术白皮书

目录欢迎使用产品介绍产品概述产品特点代理商系统使用说明登陆基本信息分销商管理帐户

<4D F736F F D20C6F3D2B5CDF8D5BECFB5CDB3BCBCCAF5B9E6B7B6CAE9A3A8C6C0B9C0D3C3A3A92E646F63>

目录 1. 简介受支持的版本... 3 ESET NOD32 Antivirus Kerio 专用版 2010 ESET 有限公司版权所有 ESET NOD32 Antivirus 由 ESET 有限公司开发详情请访问

<%DOC NAME%> (User Manual)

清华得实WebST网络安全行业解决方案

CA Nimsoft Monitor Snap 快速入门指南

06 C H A P T E R 6-1 WWW 6-2 WWW WWW WWW

Avigilon Control Center 6 ACC High Definition Stream Management (HDSM) ACC 6 ( Avigilon Appearance Search ) Avigilon Appearance Search ACC NVR HD Vide

新疆医科大学

KillTest 质量更高服务更好学习资料半年免费更新服务

英语专业（中英文）

宁夏专业技术人员服务平台

2005 Sun Microsystems, Inc Network Circle, Santa Clara, CA U.S.A. Sun Sun Berkeley BSD UNIX X/Open Company, Ltd. / Sun Sun Microsystems Su

快速参考指南

Microsoft Word - fy.doc

第 11 章互聯網技術 11.1 互聯網和萬維網的發展歷史 A. 互聯網的發展互聯網是由 ARPANET 開始發展的 1969 年美國國防部高級研究計劃署 (ARPA) 把部分軍事研究所和大的電腦連接起來建造了㆒個實驗性的電腦網絡稱為 ARPANET 並列的功能

附件 : 2006 年江苏省中小学信息技术教学论文评比结果 ( 各奖次排名不分先后 ) 一等奖 (36 篇 ) 创新文件教与学的探索金坛市教研室王志忠对高中信息技术选修模块数据管

The New Office Office 365 Office 2013 Project 2013 Visio 2013 Office 2013

中科曙光云盘系统

Desktop Management Guide

<30312E20B9EFB7C5AF66BEC7A4A4A175A5CDAC7ABE69B3B1A176AABABDD7AA522E706466>

所级用户操作手册

台南縣白河鎮大竹國民小學

蒙恬科技軟件用戶授權協議本許可協議為蒙恬科技股份有限公司 ( 以下簡稱蒙恬公司 ) 授予您合法使用本軟件程式 ( 本軟件 ) 之協議書, 如果您不同意此協議中的任何條款,

98上課程計畫最終.doc

<%DOC NAME%> (User Manual)

使用本 Brother 设备之前适用型号注释说明商标重要注释适用型号本使用说明书适用于以下型号 : 2.7 英寸触摸显示屏型号 :MFC-J 英寸触摸显示屏型号 :MFC-J272

<4D F736F F D D352DBED6D3F2CDF8D7E9BDA8D3EBB9DCC0EDCFEEC4BFBDCCB3CCD5FDCEC42E646F63>

EMC® VNX® Series VNX8000™ Block 安装指南

Microsoft Word - ch02.doc

CyberLink YouCam °ïÖú

3. 企业债券 : 公司债券 : 5. 证券公司债券 : 6. 企业短期融资券 : 7. 中期票据 : 8. 资产支持证券 : 9. 国际开发机构人民币债券 : 10. 中小非金融企业集合票据例题? 判断

研究生平台使用指导书.doc

( 数据来源 :2011 年剑桥大学 ) 上面这两张图片来自剑桥大学 2011 年提供的一个分析报告, 通过这个报告我们可以看出, 只要通过网络搜索引擎 (Shodan 搜索引擎 ) 进行简单

PPP Intranet Chapter 3 Chapter IaaS PaaS SaaS

優質居所攜手共建

省政协委员陈志实：知识产权市场化须以法治方式推:大奖娱乐官方网站进

05_06_浙江省发展和改革委员会网上并联审批系统实施案例.PDF

_PhotoDirectorUG.book

1. ( B ) IT (A) (B) (C) (D) 2. ( A ) (A) (B) (C) (D) 3. ( B ) (A) GPS (B) GIS (C) ETC (D) CAI 4. ( D ) (A) (B) (C) (D) 5. ( B ) (Stored Program) (A) H

P X-M PowerChute Business Edition v8.0 Basic 85

北京北信源软件股份有限公司招股书（申报稿）

九年一貫資訊議題單元教學設計分析與規劃目的成效 : 數位媒體不管在現今商業市場上或是數位教育教材的廣泛使用中, 都佔了相當大的比重, 除了數位內容傳達不受限於地

<4D F736F F D B77CC4B3ACF6BFFD2DB0D3B77EC2B2B3F8C2BEBAD82E646F63>

<%DOC NAME%> (User Manual)

1. Revo Uninstaller Pro Revo Uninstaller Pro Revo Uninstaller Pro Revo Uninstaller Pro Revo Uninsta ller Pro Revo Uninstaller Pro Revo Uninstaller Pro

关于做好2008年12月全国高校计算机联合考试

Epson Connect NPD TC

<%DOC NAME%> (User Manual)

目录第五部分第六部分第七部分第八部分投标邀请投标人须知附表评标方法和评分细则项目需求和技术方案要求 1

Copyright 2007 Hewlett-Packard Development Company, L.P. Microsoft 和 Windows 是 Microsoft Corporation 在美国的注册商标 Bluetooth 是其所有者拥有的商标,Hew

“PC通”商业计划书.doc

版權 2014 贊雲科技股份有限公司版權保護聲明未經贊雲科技股份有限公司書面許可, 本檔任何部分的內容不得被複製或抄襲用於任何目的本檔的內容在未經通知的情形下可

<4D F736F F D20312D3120B9ABBFAAD7AAC8C3CBB5C3F7CAE9A3A8C9EAB1A8B8E5A3A92E646F63>

Transcription:

Symantec Endpoint Protection 及 Symantec Network Access Control 客户端指南

Symantec Endpoint Protection 及 Symantec Network Access Control 客户端指南本手册介绍的软件基于授权许可协议提供, 且只能在遵守协议条款的前提下使用文档版本 11.00.02.01.00 法律声明 Copyright 2008 Symantec Corporation. 2008 年 Symantec Corporation 版权所有 All rights reserved. 保留所有权利 Symantec Symantec 徽标 LiveUpdate Sygate Symantec AntiVirus Bloodhound Confidence Online Digital Immune System Norton 和 TruScan 是 Symantec Corporation 或其附属公司在美国和其他国家 / 地区的商标或注册商标 Symantec 和赛门铁克是 Symantec Corporation 在中国的注册商标其他名称可能为其各自所有者的商标, 特此声明本 Symantec 产品可能包括 Symantec 必须向第三方支付许可费的第三方软件 ( 第三方程序 ) 部分第三方程序是以开放源或免费软件许可方式获得的本软件随附的许可证协议并未改变这些开放源或免费软件许可所规定的任何权利或义务请参见本文档第三方版权声明附录或本 Symantec 产品随附的 TPIP ReadMe 文件, 以获取有关第三方程序的详细信息本文档中介绍的产品根据限制其使用复制分发和反编译 / 逆向工程的授权许可协议分发未经 Symantec Corporation( 赛门铁克公司 ) 及其特许人 ( 如果存在 ) 事先书面授权, 不得通过任何方式以任何形式复制本文档的任何部分本文档按现状提供, 对于所有明示或暗示的条款陈述和保证, 包括任何适销性针对特定用途的适用性或无侵害知识产权的暗示保证, 均不提供任何担保, 除非此类免责声明的范围在法律上视为无效 Symantec Corporation( 赛门铁克公司 ) 不对任何与提供或使用本文档相关的伴随或后果性损害负责本文档所含信息如有更改, 恕不另行通知根据 FAR 12.212 中的定义, 授权许可的软件和文档被视为商业计算机软件, 受 FAR Section 52.227-19 Commercial Computer Software - Restricted Rights ( 商业计算机软件受限权利 ) 和 DFARS 227.7202 Rights in Commercial Computer Software or Commercial Computer Software Documentation ( 商业计算机软件或商业计算机软件文档权利 ) 中的适用规定, 以及所有后续法规中规定的权利的制约美国政府仅可根据本协议的条款对授权许可的软件和文档进行使用修改发布复制执行显示或披露

Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com/region/cn

技术支持赛门铁克技术支持具有全球性支持中心技术支持的主要任务是响应有关产品特性和功能的特定查询技术支持小组还负责编写我们的联机知识库文章技术支持小组与 Symantec 内的其他职能部门相互协作, 及时解答您的问题例如, 技术支持小组与产品工程和 Symantec 安全响应中心协作, 提供警报服务和病毒定义更新服务 Symantec 提供的维护服务包括 : 一系列支持服务, 使您能为任何规模的单位选择适用的支持服务电话和基于 Web 的支持, 提供快速响应及最新信息升级保证可提供自动软件升级防护全天候提供全球支持高级功能, 包括客户管理服务有关 Symantec 维护计划的更多信息, 请访问我们的网站 : www.symantec.com/region/cn/techsupp/ 与技术支持联系具有有效维护协议的客户可以通过以下网址访问技术支持信息 : www.symantec.com/region/cn/techsupp/ 在联系技术支持之前, 请确保您的计算机符合产品文档中所列的系统要求而且您应当坐在发生问题的计算机旁边, 以便需要时重现问题联系技术支持时, 请准备好以下信息 : 产品版本信息硬件信息可用内存磁盘空间和 NIC 网卡信息操作系统版本和补丁程序级别网络结构路由器网关和 IP 地址信息问题说明 : 错误消息和日志文件联系 Symantec 之前执行过的故障排除操作

最近所做的软件配置更改和网络更改授权许可与产品注册如果您的 Symantec 产品需要注册或许可证密钥, 请访问我们的技术支持网页 : www.symantec.com/region/cn/techsupp/ 客户服务可从以下网站获得客户服务信息 : www.symantec.com/region/cn/techsupp/ 客户服务可帮助您解决以下几类问题 : 有关产品许可或序列号的问题产品注册更新 ( 例如, 更改地址或名称 ) 一般产品信息 ( 功能可用的语言当地经销商 ) 有关产品更新和升级的最新信息有关升级保障和维护合同的信息 Symantec 采购计划的相关信息有关 Symantec 技术支持选项的建议非技术性的售前问题与光盘或手册相关的问题维护协议资源其他企业服务如果想就现有维护协议事宜联络 Symantec, 请通过以下方式联络您所在地区的维护协议管理部门 : 亚太区和日本 :contractsadmin@symantec.com 欧洲中东和非洲 :semea@symantec.com 北美和拉丁美洲 :supportsolutions@symantec.com Symantec 全面提供各种服务以使您能够充分利用您对 Symantec 产品的投资, 并拓展您的知识技能和全球视野, 让您在管理企业安全风险方面占据主动现有下列企业服务 : Symantec 预警解决方案这些解决方案提供计算机攻击的预警全面的威胁分析以及防止攻击发生的应对措施

安全托管服务咨询服务教育服务这些服务消除了管理和监控安全设备和事件的负担, 确保能够对实际威胁快速响应 Symantec 咨询服务由 Symantec 及其可信赖的合作伙伴提供现场专业技术指导 Symantec 咨询服务提供各种服务套餐和可自选的服务选项, 涉及评估设计实施监控和管理等各个方面, 每项服务都注重于建立和维护您的 IT 资源的完整性和可用性教育服务提供全面的技术培训安全教育安全认证和安全意识交流计划要访问有关企业服务的更多信息, 请通过以下 URL 访问我们的网站 : www.symantec.com 从站点索引选择您所在的国家 / 地区或所用的语言

目录技术支持... 4 部分 1 简介... 13 第 1 章 Symantec 客户端简介... 15 关于客户端... 15 关于受管客户端和非受管客户端... 16 关于通知区域图标... 16 保持计算机最新防护功能的方式... 18 关于 Symantec 安全响应中心的角色... 19 受管客户端更新防护功能的方式... 19 非受管客户端更新防护功能的方式... 19 关于安全策略... 20 更新安全策略... 20 获取更多信息... 20 访问联机帮助... 20 访问 Symantec 安全响应中心网站... 21 第 2 章响应客户端... 23 关于客户端交互... 23 处理受感染的文件... 24 关于病毒导致的破坏... 25 关于通知与警报... 25 响应与应用程序相关的通知... 25 响应安全警报... 28 响应网络访问控制通知... 28 第 3 章管理客户端... 29 关于 LiveUpdate... 29 按照调度的时间间隔运行 LiveUpdate... 30 手动运行 LiveUpdate... 30 测试计算机的安全... 30 关于位置... 31 更改位置... 31

8 目录关于防篡改... 32 启用禁用和配置防篡改... 33 部分 2 Symantec Endpoint Protection... 35 第 4 章 Symantec Endpoint Protection 简介... 37 关于 Symantec Endpoint Protection... 37 Symantec Endpoint Protection 保护计算机的方式... 38 关于防病毒和防间谍软件防护... 38 关于网络威胁防护... 38 关于主动型威胁防护... 39 第 5 章 Symantec Endpoint Protection 客户端基础篇... 41 关于病毒和安全风险... 41 客户端响应病毒和安全风险的方式... 44 启用和禁用防护组件... 45 启用和禁用防病毒和防间谍软件防护... 45 启用和禁用网络威胁防护... 47 启用或禁用主动型威胁防护... 47 通过 Windows 安全中心使用客户端... 48 暂停和推迟扫描... 49 第 6 章管理防病毒和防间谍软件防护... 51 关于防病毒和防间谍软件防护... 51 关于扫描文件... 52 Symantec Endpoint Protection 客户端检测到病毒或安全风险时... 54 关于自动防护... 55 关于自动防护和安全风险... 55 关于自动防护和电子邮件扫描... 56 禁用加密电子邮件连接的自动防护处理... 57 查看自动防护扫描统计信息... 57 查看风险列表... 58 配置自动防护以确定文件类型... 58 禁用和启用自动防护安全风险扫描与禁止... 59 配置网络扫描设置... 59 进行防病毒和防间谍软件扫描... 61 Symantec Endpoint Protection 客户端检测病毒和安全风险的方式... 61 关于定义文件... 62 关于扫描压缩文件... 63

目录 9 启动按需扫描... 63 配置防病毒和防间谍软件扫描... 63 创建调度扫描... 64 创建按需扫描和启动扫描... 66 编辑和删除启动扫描用户定义的扫描和调度扫描... 68 解释扫描结果... 69 关于与扫描结果或自动防护结果的交互... 70 将防病毒和防间谍软件扫描的信息提交到 Symantec 安全响应中心... 71 配置针对病毒和安全风险的操作... 71 指定针对病毒的第二操作的提示... 74 指定针对安全风险的第二操作的提示... 75 关于风险影响评级... 75 配置针对病毒和安全风险的通知... 76 针对防病毒和防间谍软件扫描配置集中式例外... 78 关于隔离区... 80 关于隔离区中受感染的文件... 80 关于处理隔离区中受感染的文件... 81 关于处理受安全风险感染的文件... 81 管理隔离区... 81 查看隔离区中的文件和文件详细信息... 82 重新扫描隔离区中的文件以确定是否存在病毒... 82 修复后的文件无法返回到其原始位置时... 83 清除备份项目... 83 从隔离区删除文件... 83 自动从隔离区删除文件... 83 将可能受感染的文件提交到 Symantec 安全响应中心进行分析... 84 第 7 章管理主动型威胁防护... 85 关于 TruScan 主动型威胁扫描... 85 TruScan 主动型威胁扫描检查的进程和应用程序... 86 关于 TruScan 主动型威胁扫描的例外... 87 关于 TruScan 主动型威胁扫描检测... 87 关于误报反应... 88 配置 TruScan 主动型威胁扫描的运行频率... 88 管理 TruScan 主动型威胁检测... 89 设置检测到商业应用程序时采取的操作... 89 指定检测特洛伊木马蠕虫和击键记录程序的操作和敏感级别... 90 指定 TruScan 主动型威胁扫描检测的进程类型... 91 配置 TruScan 主动型威胁扫描检测的通知... 91

10 目录将 TruScan 主动型威胁扫描相关信息提交到 Symantec 安全响应中心... 92 配置 TruScan 主动型威胁扫描的集中式例外... 92 第 8 章管理网络威胁防护... 95 关于管理网络威胁防护... 95 客户端防御网络攻击的方式... 96 查看网络活动... 98 配置防火墙... 100 关于防火墙规则... 100 添加规则... 104 更改规则的顺序... 104 启用与禁用规则... 105 导出和导入规则... 105 编辑和删除规则... 106 启用通信设置和隐藏网页浏览设置... 106 启用智能通信过滤... 108 启动网络文件和打印机共享... 108 禁止通信... 110 配置入侵防护设置... 111 配置入侵防护通知... 112 禁止与取消禁止攻击计算机... 112 配置特定于应用程序的设置... 113 删除应用程序的限制... 115 部分 3 Symantec Network Access Control... 117 第 9 章 Symantec Network Access Control 基础篇... 119 关于 Symantec Network Access Control... 119 Symantec Network Access Control 的运作方式... 119 关于更新主机完整性策略... 120 运行主机完整性检查... 121 补救计算机... 121 查看 Symantec Network Access 日志... 121 关于强制执行... 122 配置客户端进行 802.1x 验证... 122 重新验证计算机... 125

目录 11 部分 4 监控和记录日志... 127 第 10 章使用和管理日志... 129 关于日志... 129 查看日志及日志详细信息... 134 过滤日志视图... 134 管理日志大小... 136 配置防病毒和防间谍软件防护日志条目和主动型威胁防护日志条目的保留时间... 137 配置网络威胁防护日志及客户端管理日志的大小... 137 配置网络威胁防护日志条目和客户端管理日志条目的保留期... 137 关于删除防病毒和防间谍软件系统日志的内容... 137 删除网络威胁防护日志及客户端管理日志的内容... 138 从风险日志和威胁日志隔离风险及威胁... 138 使用网络威胁防护日志和客户端管理日志... 139 刷新网络威胁防护日志和客户端管理日志... 139 启用数据包日志... 139 停止活动响应... 139 回溯记录事件的源... 140 在 Symantec Network Access Control 中使用客户端管理日志... 141 导出日志数据... 141 索引... 145

12 目录

部分 1 简介 Symantec 客户端简介响应客户端管理客户端

14

1 Symantec 客户端简介本章节包括下列主题 : 关于客户端保持计算机最新防护功能的方式关于安全策略获取更多信息关于客户端 Symantec 提供两种端点安全产品, 可搭配使用或单独使用 :Symantec Endpoint Protection 和 Symantec Network Access Control 您或您的管理员已在您的计算机上安装上述一种或两种 Symantec 客户端软件产品如果是管理员安装客户端, 则由管理员决定客户端上启用的产品注意 : 如果您或您的管理员已在您的计算机上安装其中一个产品, 产品名称会出现在标题栏当两种防护都启用时,Symantec Endpoint Protection 会出现在标题栏 Symantec Endpoint Protection 保护计算机不受 Internet 威胁和安全风险的入侵它可以执行下列操作 : 扫描计算机上的病毒已知威胁和安全风险监控端口上的已知攻击特征监控计算机上程序的可疑行为请参见第 37 页的关于 Symantec Endpoint Protection Symantec Network Access Control 可确保计算机的安全设置符合网络策略安全设置可能包括软件软件配置设置特征文件补丁程序或其他元素

16 Symantec 客户端简介关于客户端请参见第 119 页的关于 Symantec Network Access Control 关于受管客户端和非受管客户端关于通知区域图标 Symantec 产品的管理员能够将客户端安装成非受管客户端或受管理员管理的客户端非受管客户端表示管理员不会控制 Symantec 客户端中的设置和操作在非受管客户端中, 您可以控制客户端的所有设置和操作在非受管环境中, 管理员会使用 Symantec Endpoint Protection Manager 远程监控配置和更新客户端使用此管理服务器, 管理员可以确定您对客户端中设置和操作的控制量客户端会检查管理服务器, 以确定是否有新的策略信息或更新可供使用在受管环境中, 您可能不能查看或访问每一个客户端组件客户端中可见的组件和可用的操作视管理员授予计算机的访问权限级别而定客户端设置及其自身设置值的可用性会定期更改例如, 如果管理员更新控制客户端防护的策略, 则设置可能会更改在所有环境中, 客户端都会提示信息和问题您必须响应这些提示请参见第 23 页的关于客户端交互客户端会使用通知区域图标, 指示客户端是联机还是脱机, 以及客户端计算机是否受到充分的保护您可以右键单击此图标以显示常用命令此图标位于桌面的右下角注意 : 在受管客户端上, 如果您的管理员已将它配置为不可用, 则此图标不会显示表 1-1 显示了 Symantec Endpoint Protection 客户端状态图标表 1-1 Symantec Endpoint Protection 状态图标图标说明客户端运行时未发生问题该客户端处于脱机状态或为非受管客户端非受管客户端未连接到管理服务器客户端运行时未发生问题该客户端已连接到管理服务器, 并与其通信安全策略的所有组件都可保护计算机图标显示绿点客户端发生次要问题例如, 防病毒定义可能过期图标显示黄点与黑色惊叹号

Symantec 客户端简介关于客户端 17 图标说明客户端未运行发生了主要问题, 或者至少有一个安全策略防护组件禁用例如, 防病毒和防间谍软件防护可能禁用图标显示带红色轮廓的白点, 白点上划有一道红线表 1-2 显示了 Symantec Network Access Control 客户端状态图标表 1-2 Symantec Network Access Control 状态图标图标说明客户端运行时未发生问题, 且已通过主机完整性检查并更新了安全策略该客户端处于脱机状态或为非受管客户端非受管客户端未连接到管理服务器客户端运行时未发生问题, 且已通过主机完整性检查并更新了安全策略该客户端与管理服务器通信图标显示绿点客户端未通过主机完整性检查或未更新安全策略图标显示带有白色 x 的红点表 1-3 说明通知区域图标可用的命令表 1-3 选项通知区域图标命令说明打开 Symantec Endpoint Protection 打开主窗口打开 Symantec Network Access Control 更新策略重新验证从服务器检索最新安全策略注意 : 此命令仅限受管客户端使用重新验证客户端计算机注意 : 此命令仅限当您的管理员将客户端配置为内置的 802.1x 请求者时可用 Symantec Endpoint Protection 客户端不能使用此命令请参见第 125 页的重新验证计算机禁用 Symantec Endpoint Protection 关闭管理员已授予您禁用权限的防护在您禁用客户端后, 命令文本会从禁用更改为启用您可以选择此命令启用全部的客户端防护

18 Symantec 客户端简介保持计算机最新防护功能的方式隐藏及显示通知区域图标若有必要, 您可以隐藏通知区域图标例如, 当您在 Windows 任务栏上需要更多空间时, 可以将它隐藏起来注意 : 在受管客户端上, 如果您的管理员限制使用此功能, 您便不能隐藏通知区域图标隐藏通知区域图标 1 在主窗口的边栏中, 单击更改设置 2 在更改设置页面的客户端管理旁, 单击配置设置 3 在客户端管理设置对话框中常规选项卡的显示选项下, 取消选中在通知区域中显示 Symantec 安全图标 4 单击确定显示通知区域图标 1 在主窗口的边栏中, 单击更改设置 2 在更改设置页面的客户端管理旁, 单击配置设置 3 在客户端管理设置对话框中常规选项卡的显示选项下, 选中在通知区域中显示 Symantec 安全图标 4 单击确定保持计算机最新防护功能的方式 Symantec 的工程师们对所报告的计算机病毒发作情况进行跟踪以识别新的病毒他们也会跟踪混合型威胁安全风险 ( 如间谍软件 ) 以及在计算机连接 Internet 时可攻击的其他漏洞在标识出风险之后, 他们便会撰写特征 ( 即关于风险的信息 ), 然后将它存储在定义文件中此定义文件包括检测删除和修复风险影响所需的信息当 Symantec Endpoint Protection 扫描病毒和安全风险时, 便会搜索这些类型的特征客户端必须保持最新的其他项目还包括允许和限制的进程列表以及攻击特征进程列表可帮助 TruScan 主动型威胁扫描识别可疑的程序行为, 即使客户端并未识别出特定的威胁攻击特征则可提供入侵防护系统保护计算机免受入侵所需要的信息除了定义文件进程列表和攻击特征, 客户端还必须不定期更新其组件这些组件可包括防病毒和防间谍软件防护引擎 TruScan 主动型威胁扫描引擎以及网络威胁防护防火墙这些更新可能包含小型缺陷修复或产品增强功能

Symantec 客户端简介保持计算机最新防护功能的方式 19 Symantec 会不断提供更新 Symantec 安全响应中心每天都会更新定义文件新的病毒定义至少每周使用 LiveUpdate 发送一次, 每当新的破坏性病毒出现时, 还会随时进行更新注意 : 您的管理员可能会控制客户端的定义文件更新频率请参见第 29 页的关于 LiveUpdate 关于 Symantec 安全响应中心的角色 Symantec Endpoint Protection 的强大后盾是 Symantec 安全响应中心 Symantec 安全响应中心的研究人员会分解每一个病毒和安全风险样本以发现其典型特征和行为他们会使用此信息开发 Symantec 产品用以检测排除和修复病毒与安全风险所造成影响的定义文件由于新种病毒散播的速度相当快,Symantec 安全响应中心已开发出自动化的软件分析工具若您能将受感染的文件从计算机提交到 Symantec 安全响应中心, 将能大幅缩短发现病毒进行分析和开发出解毒方法的时间 Symantec 安全响应中心的研究人员还研究和开发出了一些技术以保护计算机免受安全风险 ( 如间谍软件广告软件和黑客工具 ) 的侵害 Symantec 安全响应中心还维护一个病毒大全, 它提供了有关病毒和安全风险的详细信息必要时, 病毒大全会提供关于删除风险的信息该病毒大全位于 Symantec 安全响应中心网站, 网址如下 : http://www.symantec.com/region/cn/avcenter 受管客户端更新防护功能的方式您的管理员可决定您的病毒和安全风险定义的更新方式您不必执行任何操作, 即可收到新的定义您的管理员可以设置 Symantec Endpoint Protection 中的 LiveUpdate 功能, 以确保您的病毒和安全风险防护保持在最新的状态 LiveUpdate 会连接存储更新的计算机, 判断您的客户端是否需要更新, 然后下载和安装适当的文件存储更新的计算机可能是公司内部的 Symantec Endpoint Protection Manager 服务器或者, 也可能是通过 Internet 访问的 Symantec LiveUpdate 服务器请参见第 29 页的关于 LiveUpdate 非受管客户端更新防护功能的方式管理员不会更新非受管客户端上的防护您可以使用 LiveUpdate 更新软件和定义文件如果您的非受管客户端使用默认的 LiveUpdate 设置, 它会通过 Internet 从 Symantec 服务器每周检查一次更新

20 Symantec 客户端简介关于安全策略关于安全策略您可以更改 LiveUpdate 检查更新的频率如果知道有病毒或其他安全风险爆发时, 还可以手动运行 LiveUpdate 请参见第 29 页的关于 LiveUpdate 安全策略是一组安全设置, 由受管客户端的管理员配置和部署到客户端安全策略会决定客户端设置, 包括您可查看和访问的选项受管客户端会连接至管理服务器, 并自动接收最新的安全策略如果您不能进行网络访问, 管理员会指导您手动更新安全策略请参见第 20 页的更新安全策略更新安全策略控制客户端防护的设置保存在计算机中的一个策略文件中此安全策略文件通常会自动更新但是, 您的管理员可能会在特定情况下指导您手动更新安全策略注意 : 您可以查看系统日志, 确认操作已成功更新策略请参见第 134 页的查看日志及日志详细信息获取更多信息更新安全策略 1 在 Windows 通知区域中, 右键单击客户端图标 2 在弹出菜单中, 单击更新策略如果需要更多信息, 可访问联机帮助您可以从 Symantec 安全响应中心网站获取有关病毒及安全风险的其他信息, 网站 URL 是 : http://www.symantec.com/region/cn/avcenter 访问联机帮助客户端联机帮助系统提供常规信息与步骤, 帮助您保护计算机不受病毒和安全风险的侵袭注意 : 管理员可能已选择不安装这些帮助文件

Symantec 客户端简介获取更多信息 21 访问联机帮助在主窗口中, 执行下列任一操作 : 单击帮助和支持, 然后单击帮助主题在任意单个对话框中, 单击帮助与上下文相关的帮助只能在可执行操作的屏幕中使用在任何窗口中, 按 F1 如果该窗口有与上下文相关的帮助, 则会出现上下文相关帮助如果没有上下文相关帮助, 则会出现完整的帮助系统访问 Symantec 安全响应中心网站如果已连接到 Internet, 则可以访问 Symantec 安全响应中心网站以查看下列项目 : 病毒大全, 其中包含有关所有已知病毒的信息有关恶作剧病毒的信息有关病毒和病毒威胁一般性说明的白皮书有关安全风险的常规信息和详细信息若要访问 Symantec 安全响应中心网站, 请使用下列 URL: 在 Internet 浏览器中, 键入以下网址 : http://www.symantec.com/region/cn/avcenter

22 Symantec 客户端简介获取更多信息

2 响应客户端本章节包括下列主题 : 关于客户端交互处理受感染的文件关于通知与警报关于客户端交互客户端在后台运行, 从而保护您的计算机不受恶意活动的攻击有时, 客户端需要通知您有关活动, 或者提示您提供反馈如果客户端上已启用 Symantec Endpoint Protection, 您可能会遇到下列类型的客户端交互 : 病毒或安全风险检测如果自动防护或扫描检测到病毒或安全风险, 将显示 Symantec Endpoint Protection 检测结果对话框, 其中包含有关感染的详细信息该对话框还会显示 Symantec Endpoint Protection 处理风险时采取的操作除了查看活动和关闭对话框之外, 您通常不需要采取其他任何操作然而, 若有必要, 您也可以采取操作请参见第 24 页的处理受感染的文件应用程序相关通知当计算机上的程序试图访问网络时,Symantec Endpoint Protection 会提示您允许还是拒绝权限请参见第 25 页的响应与应用程序相关的通知安全警报 Symantec Endpoint Protection 会通知您已禁止程序或已检测到危害您的计算机的攻击请参见第 28 页的响应安全警报

24 响应客户端处理受感染的文件处理受感染的文件如果客户端上已启用 Symantec Network Access Control, 则您可能会看到网络访问控制消息如果安全设置与管理员配置的标准不符, 将显示此消息请参见第 28 页的响应网络访问控制通知自动防护默认会持续在计算机上运行对于非受管客户端, 当启动计算机时, 就会运行自动生成的活动扫描对于受管客户端, 管理员通常会配置每周至少运行一次完整扫描自动防护在检测到风险时, 会显示结果对话框扫描运行时, 会出现扫描对话框, 显示扫描结果对于受管客户端, 管理员可能会关闭这些类型的通知如果您收到这类通知, 可能需要对受感染的文件采取操作自动防护和所有扫描类型的默认选项是清除检测到的受感染文件中的病毒如果客户端不能清除文件, 就会记录这个失败, 并将受感染的文件移到隔离区本地隔离区是一个特殊的位置, 保留给受感染的文件使用以及针对相关系统副作用使用对于安全风险, 客户端会隔离受感染的文件, 并删除或修复其副作用客户端不能修复文件时, 会将该检测记录下来注意 : 病毒只要放到隔离区, 便不会扩散当客户端将文件移到隔离区, 您便不能访问该文件 Symantec Endpoint Protection 修复受病毒感染的文件后, 您不必采取其他操作来防护计算机如果客户端隔离了受安全风险感染的文件, 接着加以删除并修复, 则您不必采取其他操作您可能不需要处理操作, 但可能需要对文件执行其他操作例如, 如果要用原来的文件替换受感染的文件, 则您可能决定删除已清除病毒的文件您可以利用通知, 立即处理文件也可以使用日志视图或隔离区, 稍后处理文件请参见第 69 页的解释扫描结果请参见第 138 页的从风险日志和威胁日志隔离风险及威胁请参见第 80 页的关于隔离区处理受感染的文件 1 执行下列操作之一 : 在扫描进度对话框中, 选择在扫描完成后所需的文件在扫描结果对话框中, 选择所需的文件

响应客户端关于通知与警报 25 在客户端的边栏中, 单击查看日志, 再单击防病毒和防间谍软件防护旁的查看日志在日志视图中选择想要的文件 2 右键单击一个或多个文件, 然后选择下列选项之一请注意, 在某些情况下, 客户端可能无法执行您选择的操作撤消执行的操作 : 取消执行的操作清除 ( 仅限病毒 ): 删除文件中的病毒永久删除 : 删除受感染的文件和所有副作用对于安全风险, 请谨慎使用此操作某些情况下, 如果删除安全风险, 可能会造成应用程序不能工作移动到隔离区 : 将受到感染的文件置入隔离区内若是安全风险, 客户端也会试图删除或修复其副作用属性 : 显示有关病毒或安全风险的信息关于病毒导致的破坏关于通知与警报如果 Symantec Endpoint Protection 在发生感染时马上发现该感染, 客户端清除受感染的文件后, 该文件可能可以完全正常使用但是, 在某些情况下,Symantec Endpoint Protection 可能会清除已遭病毒破坏的受感染文件例如,Symantec Endpoint Protection 可能发现损坏文档文件的病毒,Symantec Endpoint Protection 会删除该病毒, 但不能修复受感染文件的内部损坏您可能会在计算机上看见几种不同类型的通知这些通知通常会说明状况, 并且指出客户端试图解决问题的方法您可能会看见下列几种通知类型 : 应用程序相关通知安全警报响应与应用程序相关的通知您可能会看见一个通知询问您是否要允许应用程序或服务运行显示此类型通知的原因有 : 应用程序请求访问您的网络连接访问网络连接的应用程序已升级客户端使用快速切换用户切换用户您的管理员升级了客户端软件

26 响应客户端关于通知与警报您可能会看见下列消息, 通知您有应用程序或服务试图访问计算机 : Internet Explorer (IEXPLORE.EXE) 正试图连接到 www.symantec.com ( 使用远程端口 80 (HTTP - 万维网 )) 是否允许该程序访问网络? 响应试图访问网络的应用程序 1 在消息框中, 单击详细信息您可查看有关连接和应用程序的详细信息, 这些信息包括文件名称版本号及路径名称 2 如果希望客户端在此应用程序下次试图访问您的网络连接时记住您的选择, 单击记住我的回答, 请勿再就此应用程序询问我 3 执行下列操作之一 : 若要允许应用程序访问网络连接, 请单击是只有在您识别该应用程序并确实要让它访问网络连接时, 才单击是如果不确定是否要允许应用程序访问网络连接, 请询问管理员若要阻止应用程序访问网络连接, 请单击否表 2-1 显示可以如何响应询问您是否要允许或禁止应用程序的通知表 2-1 如果单击是是否否应用程序许可通知如果选中记住我的回答... 复选框? 是否是否客户端将... 允许应用程序并不再询问允许该应用程序, 并每次都询问禁止应用程序并不再询问禁止该应用程序, 并每次都询问您可以在正在运行应用程序字段或应用程序列表中更改应用程序操作请参见第 113 页的配置特定于应用程序的设置更改应用程序通知有时候, 您可能会看见一条消息, 指出应用程序已更改 Telnet 程序自上次打开后已更改, 这可能是因为您最近更新过它是否允许它访问网络?

响应客户端关于通知与警报 27 上述消息中列出的应用程序试图访问您的网络连接虽然客户端能够识别该应用程序的名称, 但是自从客户端上次遇到该应用程序后, 它的某些内容已经更改很可能是最近产品进行了升级每个新产品版本会使用与旧版本不同的文件指纹文件客户端检测到文件指纹文件已更改快速切换用户通知如果使用 Windows Vista/XP, 您会看见下列其中一个通知 : Symantec Endpoint Security 无法显示用户界面如果您使用的是 Windows XP 快速用户切换, 请确保所有其他用户已经从 Windows 注销, 然后尝试从 Windows 中注销并重新登录如果您使用的是终端服务, 则不支持用户界面或者 "Symantec Endpoint Protection 并未运行, 但将会启动不过,Symantec Endpoint Protection 无法显示用户界面如果您使用的是 Windows XP 快速用户切换, 请确保所有其他用户已经从 Windows 注销, 然后尝试从 Windows 中注销并重新登录如果您使用的是终端服务, 则不支持用户界面快速切换用户是一种 Windows 功能, 让您不需注销计算机就可以快速切换用户多位用户可以同时共享一台计算机, 并且在来回切换时不需要关闭运行的程序如果您使用快速用户切换功能来切换用户, 那么这些窗口中的某一个窗口将出现若要响应快速切换用户消息, 请按照对话框中的说明操作响应自动更新通知如果客户端软件已自动更新, 您会看见下列通知 : Symantec Endpoint Protection 检测到 Symantec Endpoint Protection Manager 已提供更新版本的软件是否要立即下载? 响应自动更新通知 1 执行下列操作之一 : 若要立刻下载软件, 请单击立即下载若要在指定时间后被提醒, 请单击以后提醒我 2 如果更新软件的安装进程开始后显示一则消息, 请单击确定

28 响应客户端关于通知与警报响应安全警报安全警报会在通知区域图标上方显示一个通知只需要单击确定表示您已读取消息通知显示的原因如下 : 禁止应用程序消息根据管理员设置的规则, 计算机启动的应用程序遭到禁止例如, 您会看见下列消息 : 已禁止应用程序 Internet Explorer, 文件名是 IEXPLORE.EXE 这些通知表示您的客户端已禁止指定为不信任的通信如果客户端被配置为禁止全部通信, 这些通知会经常出现如果客户端被配置为允许全部通信, 这些通知将不会出现入侵您的计算机受到攻击, 将发出警报通知您, 或提供有关处理方法的说明例如, 您会看见下列消息 : 在 10/10/2006 15:37:58 到 10/10/2006 15:47:58 这段时间内禁止来自 IP 地址 192.168.0.3 的通信已记录端口扫描攻击您的管理员可能已禁用客户端计算机上的入侵防护通知若要查看客户端检测到的攻击类型, 可以让客户端显示入侵防护通知请参见第 112 页的配置入侵防护通知响应网络访问控制通知如果 Symantec Network Access Control 客户端未遵从安全策略, 则可能无法访问网络在此情况下, 您会看到一条消息, 说明由于主机完整性检查失败而 Symantec Enforcer 禁止您的通信网络管理员可能在此消息中添加文本, 建议可以采取的补救操作在关闭消息框之后, 打开客户端, 查看其中是否显示任何关于还原网络访问的建议步骤响应网络访问控制通知 1 按照消息框中显示的任何建议步骤进行操作 2 在消息框中, 单击确定

3 管理客户端本章节包括下列主题 : 关于 LiveUpdate 按照调度的时间间隔运行 LiveUpdate 手动运行 LiveUpdate 测试计算机的安全关于位置更改位置关于防篡改启用禁用和配置防篡改关于 LiveUpdate 通过 Internet 连接,LiveUpdate 会将程序更新和防护更新下载到您的计算机程序更新是对您已安装产品的微小改进它们不同于产品升级, 产品升级是整个产品的新版本程序更新通常是为扩展操作系统或硬件兼容性调整性能问题或解决程序错误而创建的程序更新会根据需要进行发布注意 : 有些程序更新可能要求安装完成后重新启动计算机 LiveUpdate 会自动进行更新检索和安装它从 Internet 站点找到并获取文件, 安装它们, 然后从计算机删除残留的文件防护更新是使用最新的威胁防护技术来更新您的 Symantec 产品的文件您收到的防护更新视您安装在计算机上的产品而定

30 管理客户端按照调度的时间间隔运行 LiveUpdate 默认情况下,LiveUpdate 会按调度间隔自动运行根据您的安全设置, 可以手动运行 LiveUpdate 可能也可以禁用 LiveUpdate 或更改 LiveUpdate 调度按照调度的时间间隔运行 LiveUpdate 您可以创建一个计划以使 LiveUpdate 按调度的时间间隔自动运行按照调度的时间间隔运行 LiveUpdate 1 在客户端的边栏中, 单击更改设置 2 在客户端管理旁边, 单击配置设置 3 在客户端管理设置对话框中, 单击调度的更新 4 在调度的更新选项卡上, 选中启用自动更新 5 在频率组框中, 选择每天每周或每月运行更新 6 在时间组框中, 选择在哪一天哪一周或每天什么时间运行更新 7 在失败事件选项组框中, 选中持续尝试, 然后指定客户端重试失败事件的小时数或天数 8 在随机选项组框中, 选中随机产生开始时间为 + 或 -, 然后指定在更新预定时间之前或之后的小时数或天数这样即可设置更新随机开始的时间范围 9 单击确定手动运行 LiveUpdate 您可以使用 LiveUpdate 更新软件和定义文件 LiveUpdate 会从 Symantec 站点检索新的定义文件, 然后替换旧的定义文件 Symantec 产品依赖最新信息来防止计算机受到新发现威胁的侵害 Symantec 通过 LiveUpdate 为您提供这些信息使用 LiveUpdate 获得更新测试计算机的安全在客户端的边栏中, 单击 LiveUpdate LiveUpdate 会连接至 Symantec 服务器, 并检查可用的更新, 然后自动下载和安装这些更新您可以使用扫描的方式, 测试计算机不受威胁和病毒入侵的能力此步骤的扫描对于确保计算机不受入侵是非常重要的其结果可帮助您在客户端上设置各选项以保护计算机不受攻击

管理客户端关于位置 31 测试计算机的安全 1 在客户端的边栏中, 单击状态 2 在网络威胁防护旁, 单击选项 > 查看网络活动 3 单击工具 > 测试网络安全 4 在 Symantec 安全检查网站, 运行下列一项 : 若要检查在线威胁, 请单击安全扫描若要检查病毒, 请单击病毒检测 5 在用户许可协议对话框中, 单击我同意, 然后再单击下一步如果您在步骤 4 单击了病毒检测, 请单击我同意, 然后再单击下一步在任何时候, 如果想要停止扫描, 请单击停止 6 当扫描完成时, 关闭对话框关于位置位置参考以您的网络环境为基础的安全策略例如, 如果您在家中使用笔记本电脑连接到办公室网络, 则管理员可设置一个名为家的位置如果您在办公室中使用笔记本电脑, 则您可使用一个名为办公室的位置其他的位置可以是 VPN 分公司办公室或旅馆在各网络环境中, 由于安全和使用上的需要可能有所不同, 因此客户端可以在这些位置间切换例如, 当您的笔记本电脑连接至办公室网络时, 客户端可以使用一组由管理员配置的限制性策略但当它连接至家用网络时, 客户端则可以使用一组允许您访问更多配置选项的策略管理员会相应地规划和配置您的客户端, 以便客户端能自动为您消除这些差异注意 : 在受管环境中, 只有在管理员提供了必要的访问权限时, 您才能更改位置更改位置若有必要, 您可以更改位置例如, 您可能需要切换至某个位置, 以便同事能够访问您计算机上的文件根据您的安全策略和计算机的活动网络, 会提供一个位置列表

32 管理客户端关于防篡改注意 : 根据可用的安全策略, 您可能能够访问多个位置您可能会发现, 单击某个位置时, 并没有更改到该位置这表示网络配置不适合该位置例如, 只有在检测到办公室局域网 (LAN) 时, 才能够使用称为办公室的位置如果您当前不在该网络上, 则无法更改到该位置关于防篡改更改位置 1 在客户端的边栏中, 单击更改设置 2 在更改设置页的客户端管理旁, 单击配置设置 3 在常规选项卡的位置选项下方, 选择您要更改到的位置 4 单击确定防篡改可为 Symantec 应用程序提供实时防护它可以阻挡恶意软件 ( 如蠕虫特洛伊木马病毒及安全风险 ) 的攻击您可以将防篡改设置为采取下列操作 : 禁止篡改企图并记录事件记录篡改事件但不干扰篡改事件除非您的管理员更改了默认设置, 否则防篡改功能会为受管客户端和非受管客户端启用当防篡改功能检测到篡改企图时, 默认会采取的操作是在防篡改日志中记录该事件您可以将防篡改配置为在检测到篡改企图时在您的计算机上显示通知您可以自定义此消息除非您启用该功能, 否则防篡改不会通知您有关篡改企图的事件如果您使用的是非受管客户端, 则可以更改您的防篡改设置如果您使用的是受管客户端, 只要您的管理员允许, 也可以更改这些设置初次使用 Symantec Endpoint Protection 时, 若您每周监控一次日志, 最好维持默认操作仅记录在没有发现误报可以放心的情况下, 就可以将防篡改设置为禁止并记录注意 : 如果您使用第三方的安全风险扫描程序来检测并防御不需要的广告软件和间谍软件, 该扫描程序通常会影响 Symantec 进程如果您在运行第三方的安全风险扫描程序的同时启用防篡改, 防篡改会生成大量的通知和日志条目最佳的做法是让防篡改一直保持为启用状态, 并在生成的事件数目过多时使用日志过滤功能

管理客户端启用禁用和配置防篡改 33 启用禁用和配置防篡改您可以启用或禁用防篡改如果启用了防篡改, 您可以选择当它检测到篡改 Symantec 软件的企图时所要采取的操作您也可以让防篡改显示消息, 通知您出现了防篡改企图如果您要自定义此消息, 可以使用防篡改会填入适当信息的预定义变量有关预定义变量的信息, 请单击防篡改选项卡上的帮助启用或禁用防篡改 1 在主窗口的边栏中, 单击更改设置 2 在客户端管理旁边, 单击配置设置 3 在防篡改选项卡上, 选中或取消选中防止 Symantec 安全软件被篡改或关闭 4 单击确定配置防篡改 1 在主窗口的边栏中, 单击更改设置 2 在客户端管理旁边, 单击配置设置 3 在防篡改选项卡上的在应用程序试图篡改或关闭 Symantec 安全软件时要采取的操作列表框中, 单击禁止它并记录事件或仅记录事件 4 如果您要在防篡改检测到可疑行为时收到通知, 请选中检测到篡改时显示通知消息如果您启用了这些通知消息, 就可以收到关于 Windows 进程以及 Symantec 进程的通知 5 若要自定义显示的消息, 请更新消息字段的文本 6 单击确定

34 管理客户端启用禁用和配置防篡改

部分 2 Symantec Endpoint Protection Symantec Endpoint Protection 简介 Symantec Endpoint Protection 客户端基础篇管理防病毒和防间谍软件防护管理主动型威胁防护管理网络威胁防护

36

4 Symantec Endpoint Protection 简介本章节包括下列主题 : 关于 Symantec Endpoint Protection Symantec Endpoint Protection 保护计算机的方式关于 Symantec Endpoint Protection 您可以将 Symantec Endpoint Protection 安装为独立版本或受管理员管理的版本独立版本是指管理员不会管理此 Symantec Endpoint Protection 软件, 所以是属于独立客户端如果您管理自己的计算机, 则它必须是下列类型之一 : 未连接至网络的独立计算机, 例如家用计算机或笔记本计算机该计算机必须已使用默认选项设置或管理员预设的设置来安装 Symantec Endpoint Protection 连接到公司网络的远程计算机并且在连接前必须满足安全要求 Symantec Endpoint Protection 的默认设置提供防病毒和防间谍软件防护主动型威胁防护以及网络威胁防护您可以调整这些默认设置以适合公司要求优化系统性能, 并禁用不适用的选项如果是由管理员管理您的计算机, 某些选项可能会锁定或不可用, 具体取决于管理员的安全策略管理员可以在您的计算机上运行扫描并设置调度扫描管理员可告知您什么任务应使用 Symantec Endpoint Protection 执行

38 Symantec Endpoint Protection 简介 Symantec Endpoint Protection 保护计算机的方式 Symantec Endpoint Protection 保护计算机的方式 Symantec Endpoint Protection 提供的安全策略包括多种防护功能来保护您的计算机下列几种防护功能将共同工作, 保护您的计算机不受风险的入侵 : 防病毒和防间谍软件防护网络威胁防护主动型威胁防护关于防病毒和防间谍软件防护关于网络威胁防护防病毒和防间谍软件防护可确保您的计算机免遭已知病毒与安全风险的攻击如果能够很快地从计算机中检测到病毒并删除它们, 那么病毒就不会传播到其他文件中, 也不会引起破坏病毒和安全风险的影响可以修复当 Symantec Endpoint Protection 客户端检测到病毒或安全风险时, 默认情况下客户端会通知您检测的结果如果不希望收到通知, 您或管理员可以将客户端配置为自动处理风险防病毒和防间谍软件防护可提供以特征为基础的扫描, 并包括下列功能 : 自动防护扫描自动防护会持续运行, 并通过监控您计算机上的活动为您的计算机提供实时防护自动防护会在文件执行或打开时查看其是否含病毒或安全风险, 也会在您修改文件时查看其是否含病毒或安全风险例如, 您可能会重命名保存文件, 或在文件夹之间移动或复制文件调度启动及按需扫描您或管理员可以配置其他要在您计算机上运行的扫描这些扫描会搜索受感染文件中残留的病毒特征, 也会搜索受感染文件中安全风险的特征与系统信息您或管理员都可以启动扫描, 系统地检查计算机上的文件是否有病毒和安全风险安全风险可能包括广告软件或间谍软件 Symantec Endpoint Protection 客户端提供了可自定义的防火墙, 可保护您的计算机免遭恶意或无意的入侵和不当使用它可以检测并识别已知的端口扫描及其他常见的攻击然后, 防火墙会选择允许或禁止各种网络服务应用程序端口以及组件来进行响应它包括若干种类型的防护防火墙规则及安全设置, 可保护客户端计算机避开可能造成伤害的网络通信网络威胁防护提供防火墙及入侵防护特征, 可阻挡入侵攻击和恶意内容防火墙可根据各种条件允许或禁止通信防火墙规则可以决定您的计算机是允许还是禁止试图通过网络连接访问您计算机的入站或出站应用程序或服务防火墙规则可以系统地允许或禁止来自或传至特定 IP

Symantec Endpoint Protection 简介 Symantec Endpoint Protection 保护计算机的方式 39 关于主动型威胁防护地址及端口的入站或出站应用程序及通信安全设置可检测并标识常见的攻击在受到攻击之后发送电子邮件显示可自定义消息以及执行其他相关的安全任务主动型威胁防护包含 TruScan 主动型威胁扫描, 可确保您的计算机得到针对未知威胁的零时差攻击防护这些扫描使用启发式技术来分析程序的结构行为和其他属性, 判断其是否具有疑似病毒的特征在很多情况下, 它可以防御各种威胁, 例如群发邮件蠕虫和宏病毒您可能会在更新病毒及安全风险定义之前遇到蠕虫和宏病毒主动型威胁扫描会在 HTML VBScript 和 JavaScript 文件中查找基于脚本的威胁主动型威胁扫描也可以检测可能用于恶意目的的商业应用程序这些商业应用程序包括远程控制程序或击键记录程序您可以配置主动型威胁扫描来隔离检测到的项目, 可以手动还原主动型威胁扫描所隔离的项目客户端还可以自动还原已隔离的项目

40 Symantec Endpoint Protection 简介 Symantec Endpoint Protection 保护计算机的方式

5 Symantec Endpoint Protection 客户端基础篇本章节包括下列主题 : 关于病毒和安全风险客户端响应病毒和安全风险的方式启用和禁用防护组件通过 Windows 安全中心使用客户端暂停和推迟扫描关于病毒和安全风险 Symantec Endpoint Protection 客户端可以同时扫描病毒和安全风险, 如间谍软件或广告软件这些风险可能会将计算机和网络置于危险之中防病毒和防间谍软件扫描也会检测内核级的 Rootkit Rootkit 是任何试图在计算机操作系统藏匿的程序, 可能会被用于恶意的企图默认情况下, 所有防病毒和防间谍软件扫描 ( 包括自动防护扫描 ) 都会检查病毒特洛伊木马蠕虫和各种安全风险表 5-1 说明病毒和安全风险的类型

42 Symantec Endpoint Protection 客户端基础篇关于病毒和安全风险表 5-1 病毒和安全风险风险病毒说明在运行时将它们自身的副本附加到其他计算机程序或文档的程序或代码每当受感染的程序运行, 或用户打开含有宏病毒的文档时, 就会激活附加的病毒程序病毒接着会将其自身附加到其他程序和文档病毒通常会发送一个负载, 如在特定的日期显示一则消息有些病毒专门通过损坏程序删除文件或重新格式化磁盘来破坏数据恶意的 Internet Bot 蠕虫特洛伊木马混合型威胁广告软件在 Internet 上执行自动化任务以用于恶意目的的程序 Bot 可用来对计算机执行自动攻击, 或从 Web 站点收集信息复制时不会感染其他程序的程序有些蠕虫通过在磁盘间自我复制来进行传播, 而另外一些蠕虫只在内存中进行复制, 从而降低计算机的速度包含的代码伪装成或隐藏于无害程序 ( 如游戏或实用程序 ) 的程序将病毒蠕虫特洛伊木马和恶意代码的特征与服务器和 Internet 漏洞结合以启动传送和传播攻击的威胁混合型威胁利用多种方法和技术迅速传播, 导致破坏波及整个网络通过 Internet 秘密收集个人信息并将其中继回另一计算机的独立程序或附加程序广告软件可以跟踪浏览习惯以进行广告宣传, 还可以发送广告宣传内容广告软件可以在用户不知情的情况下, 从 Web 站点 ( 通常以共享软件或免费软件的形式 ) 下载或通过电子邮件或即时消息程序感染通常, 用户在接受软件程序的最终用户授权许可协议时会不知不觉地下载广告软件拨号程序黑客工具玩笑程序其他远程访问程序间谍软件在没有用户许可或用户不知情的状况下利用计算机拨号到 900 号码或是 FTP 网站的程序用户通常会因此需要付费黑客用来非法访问用户计算机的程序例如, 一种黑客工具是击键记录程序, 它跟踪并记录各次击键并将此信息发送给黑客然后, 黑客可以执行端口扫描或漏洞扫描黑客工具还可用于创建病毒以幽默或令人恐惧的方式改变或中断计算机操作的程序例如, 可以从 Web 站点电子邮件或即时消息程序下载的程序当用户试图要删除它时, 它可以移动回收站使其远离鼠标, 或使鼠标单击产生相反的结果这是不符合病毒特洛伊木马蠕虫或其他安全风险类别严格定义的任何其他安全风险允许通过 Internet 从其他计算机进行访问以便获取信息或者攻击或修改用户计算机的程序您可能会安装合法的远程访问程序进程可能会在您不知情的状况下安装这种应用程序该程序可在修改或不修改原始远程访问程序的情况下用于恶意目的可以秘密监控系统活动并检测密码及其他保密信息, 并将信息中继回另一计算机的独立程序间谍软件可以在用户不知情的情况下, 从 Web 站点 ( 通常以共享软件或免费软件的形式 ) 下载或通过电子邮件和即时消息程序感染通常, 用户在接受软件程序的最终用户授权许可协议时会不知不觉地下载间谍软件

Symantec Endpoint Protection 客户端基础篇关于病毒和安全风险 43 风险跟踪软件说明跟踪用户在 Internet 上的路径并向目标系统发送信息的独立应用程序或附加应用程序例如, 此类应用程序可以从 Web 站点电子邮件或即时消息程序下载然后, 它可以获取与用户行为相关的保密信息在默认情况下, 防病毒和防间谍软件扫描会进行下列操作 : 检测删除和修复病毒蠕虫特洛伊木马和混合型威胁的负面影响检测删除和修复广告软件拨号程序黑客工具玩笑程序远程访问程序间谍软件跟踪软件等安全风险的负面影响 Symantec 安全响应中心网站可提供有关威胁和安全风险的最新信息该网站还包含大量的参考信息, 如白皮书和有关病毒及安全风险的详细信息图 5-1 显示了有关黑客工具以及 Symantec 安全响应中心所建议的处理方式的信息

44 Symantec Endpoint Protection 客户端基础篇客户端响应病毒和安全风险的方式图 5-1 Symantec 安全响应中心安全风险说明客户端响应病毒和安全风险的方式客户端可保护计算机免受来自任何来源的病毒和安全风险的感染无论病毒和安全风险是通过硬盘驱动器软盘还是其他网络途径进行传播, 都能保护计算机不受其侵害还可以保护计算机免受通过电子邮件附件或其他方式传播的病毒和安全风险的侵害例如, 在您访问 Internet 时, 安全风险可能在您不知情的情况下将其自身安装在您的计算机上扫描和清除压缩文件的病毒和安全风险对基于 Internet 传播的病毒不必单独更改程序或选项自动防护可在下载未压缩的程序和文档文件时自动对其进行扫描

Symantec Endpoint Protection 客户端基础篇启用和禁用防护组件 45 当客户端检测到病毒时, 在默认情况下客户端会试图清除受感染文件中的病毒客户端也会试图修复病毒的影响如果客户端清除文件, 客户端会完全将风险从您的计算机中删除如果客户端不能清除文件, 客户端会将受感染的文件转至隔离区病毒不能从隔离区扩散感染当使用新病毒定义更新计算机时, 客户端会自动检查隔离区您可以重新扫描隔离区中的项目最新的定义可能会清除或修复先前隔离的文件注意 : 管理员可以选择自动扫描隔离区中的文件启用和禁用防护组件在默认情况下, 客户端会针对安全风险隔离受感染的文件客户端还会返回有关安全风险已更改为先前状态的系统信息某些安全风险在不导致计算机上其他程序 ( 如 Web 浏览器 ) 损坏的情况下, 无法彻底删除您的防病毒及防间谍软件设置可能不会自动处理风险此时, 客户端会在停止某个进程或重新启动计算机之前提示您另外, 还可以配置设置以对安全风险只使用仅记录操作当客户端软件发现安全风险时, 会在扫描窗口中包含指向 Symantec 安全响应中心的链接在 Symantec 安全响应中心网站, 您可以了解更多有关安全风险的信息系统管理员也可能会发送一条自定义消息您可以在计算机上启用或禁用防护任何防护被禁用后, 状态页面最上方的状态栏会指示该防护已关闭您可以单击修复选项来启用所有已禁用的防护或者, 您可以分别启用个别防护启用和禁用防病毒和防间谍软件防护如果您尚未更改默认选项设置, 自动防护会在计算机启动时加载以便抵御病毒和安全风险自动防护会在程序运行时检查其是否带有病毒或安全风险它也会监控您计算机上任何可能指示有病毒或安全风险存在的活动当检测到病毒类病毒活动 ( 可能是病毒活动的事件 ) 或安全风险时, 自动防护会发出警报您可以启用或禁用文件和进程的自动防护您也可以启用或禁用 Internet 电子邮件的自动防护以及电子邮件组软件应用程序的自动防护在受管环境中, 您的管理员可以锁定这些设置可能要禁用自动防护的情况在某些情况下, 自动防护所警告的类病毒活动可能是您已知的非病毒活动例如, 您在安装新的计算机程序时, 就可能会看到警告如果您要安装更多应用程序, 但要避免生成警告, 可以暂时禁用自动防护在完成任务后务必要启用自动防护以确保计算机的安全

46 Symantec Endpoint Protection 客户端基础篇启用和禁用防护组件如果禁用自动防护, 其他类型的扫描 ( 调度或启动扫描 ) 仍会依照您或管理员的配置运行管理员可能会锁定自动防护, 让您不能任意禁用它相反地, 管理员也可能会指定您可以暂时禁用自动防护, 但在指定的一段时间过后, 自动防护就会自动启用关于自动防护以及防病毒和防间谍软件防护状态自动防护设置会决定客户端和 Windows 通知区域中的防病毒和防间谍软件防护状态当禁用任何类型的自动防护时, 防病毒和防间谍软件状态在状态页面上显示成红色客户端图标会在 Windows 桌面右下角的任务栏中显示为完整的盾牌在某些配置中, 图标不会出现当右键单击图标时, 若已启用文件和进程的自动防护, 启用自动防护旁会出现一个复选标记当禁用文件和进程的自动防护时, 客户端图标会显示常见的禁止符号, 即红色圆圈中间带一条斜线文件系统自动防护启用时, 即使电子邮件的自动防护已经禁用, 图标也会出现绿点启用或禁用文件系统自动防护您可以启用或禁用自动防护监控文件系统, 但前提必须是管理员没有锁定设置从任务栏启用和禁用文件系统自动防护在 Windows 桌面的通知区域中, 右键单击客户端图标, 然后执行下列操作之一 : 单击启用 Symantec Endpoint Protection 单击禁用 Symantec Endpoint Protection 从客户端启用或禁用文件系统自动防护在客户端的状态页面上, 在防病毒和防间谍软件防护旁执行下列操作之一 : 单击选项 > 启用防病毒和防间谍软件防护单击选项 > 禁用防病毒和防间谍软件防护启用或禁用电子邮件的自动防护您可以启用或禁用针对 Internet 电子邮件 Microsoft Outlook 电子邮件或 Lotus Notes 电子邮件的自动防护管理员可能会锁定这些设置

Symantec Endpoint Protection 客户端基础篇启用和禁用防护组件 47 启用或禁用电子邮件的自动防护 1 在客户端的边栏中, 单击更改设置 2 在防病毒和防间谍软件防护旁, 单击配置设置 3 执行下列操作之一 : 在 Internet 电子邮件自动防护选项卡上, 选中或取消选中启用 Internet 电子邮件自动防护在 Outlook 自动防护选项卡上, 选中或取消选中启用 Microsoft Outlook 自动防护在 Notes 自动防护选项卡上, 选中或取消选中启用 Lotus Notes 自动防护 4 单击确定启用和禁用网络威胁防护在某些情况下, 您可能想要禁用网络威胁防护例如, 您可能想要安装一个应用程序, 但如果不禁用网络威胁防护, 客户端可能会禁止该应用程序您的管理员可能已针对您可以禁用防护的时机与时间长短设置了以下限制 : 客户端允许所有通信或只允许所有传出通信禁用防护的时间长度在重新启动客户端之前, 可以禁用防护的次数如果您可以禁用防护, 就可以随时重新启用管理员也可以随时启用或禁用防护, 而且会覆盖您设置的防护状态请参见第 95 页的关于管理网络威胁防护请参见第 112 页的禁止与取消禁止攻击计算机启用或禁用网络威胁防护在客户端上, 在状态页面的网络威胁防护旁, 执行以下操作之一 : 单击选项 > 启用网络威胁防护单击选项 > 禁用网络威胁防护启用或禁用主动型威胁防护启用扫描特洛伊木马和蠕虫和扫描击键记录程序设置时, 会启用主动型威胁防护如果两项设置之一禁用, 客户端就会将主动型威胁防护状态显示为已禁用请参见第 85 页的关于 TruScan 主动型威胁扫描

48 Symantec Endpoint Protection 客户端基础篇通过 Windows 安全中心使用客户端有关以下步骤中所使用选项的详细信息, 您可以单击帮助启用或禁用主动型威胁防护在客户端上, 在状态页面的主动型威胁防护旁, 执行以下操作之一 : 单击选项 > 启用主动型威胁防护单击选项 > 禁用主动型威胁防护通过 Windows 安全中心使用客户端如果您在 Windows XP( 已安装 Service Pack 2) 上使用 Windows 安全中心 (WSC) 来监控安全状态, 则可以在 WSC 中查看 Symantec Endpoint Protection 的状态表 5-2 显示了 WSC 中的防护状态报告表 5-2 WSC 防护状态报告 Symantec 产品状态尚未安装 Symantec Endpoint Protection 已安装 Symantec Endpoint Protection, 并启用了全面防护已安装 Symantec Endpoint Protection, 但病毒和安全风险定义不是最新的已安装 Symantec Endpoint Protection, 但未启用文件系统自动防护已安装 Symantec Endpoint Protection, 但未启用文件系统自动防护, 而且病毒和安全风险定义不是最新的 Symantec Endpoint Protection 已安装, 但 Rtvscan 已被手动关闭防护状态未找到 ( 红色 ) 启用 ( 绿色 ) 已过期 ( 红色 ) 关闭 ( 红色 ) 关闭 ( 红色 ) 关闭 ( 红色 ) 表 5-3 显示了 WSC 中的 Symantec Endpoint Protection 防火墙状态报告表 5-3 WSC 防火墙状态报告 Symantec 产品状态未安装 Symantec Firewall 已安装并启用 Symantec Firewall 已安装 Symantec Firewall, 但未启用防火墙状态未找到 ( 红色 ) 启用 ( 绿色 ) 关闭 ( 红色 )

Symantec Endpoint Protection 客户端基础篇暂停和推迟扫描 49 Symantec 产品状态尚未安装或启用 Symantec Firewall, 但已安装并且已启用第三方防火墙防火墙状态启用 ( 绿色 ) 注意 : 在 Symantec Endpoint Protection 中, 默认情况下禁用 Windows 防火墙暂停和推迟扫描如果启用了多个防火墙,WSC 将报告已安装和启用了多个防火墙使用暂停功能可以在扫描过程中随时停止扫描, 并在另一时间恢复扫描可以暂停所启动的任何扫描网络管理员将决定您是否可以暂停管理员调度的扫描对于网络管理员启动的调度扫描, 可能也允许您推迟该扫描如果管理员已启用了推迟功能, 则您可以将管理员调度的扫描推迟一定的时间继续扫描时, 会从头重新开始如果您想要在短暂停止之后继续扫描, 可暂停扫描若推迟扫描的时间较长, 请使用推迟功能使用下列过程可暂停您或管理员启动的扫描如果暂停扫描选项不可用, 则表示网络管理员已禁用了暂停功能注意 : 如果您在客户端扫描压缩文件时暂停扫描, 客户端可能要几分钟后才能响应暂停请求

50 Symantec Endpoint Protection 客户端基础篇暂停和推迟扫描暂停扫描 1 当运行扫描时, 在扫描对话框中, 单击暂停图标若是您启动的扫描, 扫描会停在当前的阶段, 而且此扫描对话框会一直保持为打开状态, 直至您再次启动扫描若是您的管理员启动的扫描, 则会出现暂停调度扫描对话框 2 单击暂停调度扫描对话框中的暂停管理员调度的扫描会停止在当前位置, 并且此扫描对话框会一直保持打开状态, 直至您再次启动扫描 3 在此扫描对话框中, 单击开始图标以继续扫描推迟管理员调度的扫描 1 管理员调度的扫描在运行时, 单击扫描对话框中的暂停扫描 2 在暂停调度扫描对话框中, 单击推迟 1 小时或推迟 3 小时管理员会指定允许您推迟扫描的时间段当暂停的时间到达限制时, 便会从头开始重新扫描管理员会指定您可以推迟调度扫描的次数, 在达到限定次数后会禁用该功能

6 管理防病毒和防间谍软件防护本章节包括下列主题 : 关于防病毒和防间谍软件防护关于自动防护进行防病毒和防间谍软件扫描配置防病毒和防间谍软件扫描解释扫描结果将防病毒和防间谍软件扫描的信息提交到 Symantec 安全响应中心配置针对病毒和安全风险的操作配置针对病毒和安全风险的通知针对防病毒和防间谍软件扫描配置集中式例外关于隔离区管理隔离区关于防病毒和防间谍软件防护 Symantec Endpoint Protection 客户端包括适用于多数用户的默认防病毒和防间谍软件设置您可以更改设置, 自定义安全网络的设置您也可以自定义自动防护扫描调度扫描启动扫描和按需扫描的策略设置防病毒和防间谍软件设置包括下列设置 : 扫描内容

52 管理防病毒和防间谍软件防护关于防病毒和防间谍软件防护检测到病毒或安全风险时采取的操作关于扫描文件默认情况下, 防病毒和防间谍软件扫描会扫描所有文件类型调度扫描启动扫描和按需扫描默认也会检查所有文件类型您可以选择根据扩展名扫描文件, 但是这会降低病毒和安全风险的防护能力如果您选择了要扫描的文件扩展名, 则即使病毒更改文件的扩展名, 自动防护也会确定文件的类型请参见第 58 页的配置自动防护以确定文件类型您还可以选择将特定文件从扫描中排除例如, 您可能知道某个文件不会在扫描时触发病毒警报您可以将该文件从后续的扫描中排除如果电子邮件应用程序使用单个收件箱文件如果电子邮件应用程序将所有电子邮件存储在单个文件中, 则您应该创建集中式例外, 才不会扫描收件箱文件 Outlook Express Eudora Mozilla 或 Netscape 都是将所有电子邮件存储在单个收件箱文件中的电子邮件应用程序可以将客户端配置为隔离它所检测到的病毒如果客户端在收件箱文件中检测到病毒, 客户端就会隔离整个收件箱如果客户端隔离收件箱, 您就不能访问电子邮件 Symantec 一般会建议您对文件进行扫描然而, 如果从扫描中排除收件箱文件, 则打开电子邮件时, 客户端仍会检测病毒打开某电子邮件时, 如果客户端发现病毒, 则客户端会安全地隔离或删除该邮件您可以配置集中式例外, 排除该文件请参见第 78 页的针对防病毒和防间谍软件扫描配置集中式例外关于根据扩展名扫描客户端可根据扩展名扫描计算机可以选择下列类型的文件扩展名 : 文档文件程序文件包括 Microsoft Word 与 Excel 文档, 以及与这些文档关联的模板文件客户端会搜索文档文件是否受宏病毒感染包括动态链接库 (.dll) 批处理文件 (.bat) 命令文件 (.com) 可执行文件 (.exe) 与其他程序文件客户端会搜索程序文件是否受文件病毒感染

管理防病毒和防间谍软件防护关于防病毒和防间谍软件防护 53 将文件扩展名添加到自动防护扫描的扫描列表 1 在客户端的边栏中, 单击更改设置 2 在防病毒和防间谍软件防护旁, 单击配置设置 3 在防病毒和防间谍软件防护设置对话框的文件系统自动防护选项卡上, 单击文件类型下的所选的 4 单击扩展名 5 在文本框中, 键入要添加的扩展名, 然后单击添加 6 根据需要重复步骤 5, 然后单击确定 7 单击确定将文件扩展名添加到按需扫描调度扫描或启动扫描的扫描列表 1 在客户端的边栏中, 单击扫描威胁 2 右键单击要添加文件扩展名的扫描, 然后选择编辑更改只应用于您选择的特定扫描 3 在扫描选项选项卡的文件类型下, 选择所选的扩展名, 然后单击扩展名 4 键入要添加的扩展名, 然后单击添加 5 根据需要重复步骤 4, 然后单击确定 6 单击确定关于扫描所有文件类型客户端可以扫描计算机上的所有文件, 而不管其扩展名为何扫描所有文件可以确保提供最全面的防护与按扩展名扫描相比, 扫描所有文件耗时更多, 但可提供更好的防护, 使您免遭病毒和安全风险的威胁关于排除扫描项目您可以将客户端配置为排除扫描某个安全风险您可能会想要排除扫描某个风险例如, 在您工作时, 可能需要使用某个广告软件客户端可能不允许该广告软件如果贵公司的安全策略是允许广告软件, 您便可以排除扫描该风险客户端可能会将文件标记为受感染, 但该文件并没有包含病毒可能会出现这种情况, 原因是特定的病毒定义旨在捕捉所有可能的病毒变种由于病毒定义必须有一定的广度, 因此客户端有时会将干净的文件报告成受感染的文件如果防病毒和防间谍软件扫描一直将未感染病毒的文件误判为受到感染, 您可将该文件从扫描项目中排除排除项就是不希望或不需要包括在扫描中的项目

54 管理防病毒和防间谍软件防护关于防病毒和防间谍软件防护贵公司的安全策略可能允许您运行客户端报告为风险的软件在这种情况下, 您可以排除包括该软件的文件夹使用集中式例外, 可排除扫描的项目此例外会应用到所有运行的防病毒和防间谍软件扫描您的管理员可能也会配置例外管理员定义的例外, 会优先于用户定义的例外请参见第 78 页的针对防病毒和防间谍软件扫描配置集中式例外警告 : 排除文件时一定要谨慎一旦将文件从扫描中排除, 即使以后该文件感染了病毒, 客户端也不会对其采取清除病毒的操作这就对计算机安全构成了潜在的威胁关于防止宏病毒感染客户端会自动检测并删除多数 Microsoft Word 与 Excel 宏病毒如果定期运行调度扫描, 计算机就可以免受宏病毒感染自动防护也会定期搜索和清除任何检测到的宏病毒要最好地防止宏病毒感染, 请执行以下操作 : 启用自动防护自动防护会持续扫描访问过或修改过的文件为电子邮件运行自动防护 ( 如果可用 ) 通过禁用自动宏来保护您的全局模板文件 Symantec Endpoint Protection 客户端检测到病毒或安全风险时病毒和安全风险感染文件时, 客户端会以不同的方式响应风险类型对于各类风险, 客户端会先使用第一操作, 如果第一操作失败, 然后会使用第二操作默认情况下, 客户端检测到病毒时, 会先尝试清除受感染文件中的病毒然后, 如果客户端不能清除文件, 就会记录失败情况, 并将受感染的文件移动到隔离区默认情况下, 客户端检测到安全风险时, 会将风险隔离客户端也会尝试删除或修复安全风险造成的任何更改如果客户端不能隔离安全风险, 它就会记录风险, 并使其不操作注意 : 在隔离区中, 风险不会传播如果客户端将文件移动到隔离区, 您就不能访问该文件客户端也可以还原它所隔离项目的更改对于各扫描类型, 您可以更改客户端处理病毒和安全风险方式的设置对于各类别的风险和个别安全风险, 您可以设置不同的操作

管理防病毒和防间谍软件防护关于自动防护 55 注意 : 在某些情况下, 您可能会无意中安装了一个包含安全风险 ( 如广告软件或间谍软件 ) 的应用程序如果 Symantec 确定隔离风险不会损害计算机, 则客户端就会隔离风险如果客户端立即隔离风险, 则可能使计算机处于不稳定状态因此, 客户端会先等待应用程序安装完成, 再隔离风险然后修复该风险的影响关于自动防护关于自动防护和安全风险自动防护是防御病毒攻击的最佳选择每当您访问复制保存移动或打开某文件时, 自动防护就会扫描该文件以确保病毒没有附加在该文件上自动防护会扫描包括可执行代码的文件扩展名和所有的.exe 与.doc 文件即使病毒更改了文件的扩展名, 自动防护也可以确定该文件的类型例如, 病毒可能将文件的扩展名更改为另一种扩展名, 而这种扩展名与您配置自动防护应扫描的文件扩展名不同如果您的管理员未锁定启用或禁用自动防护的设置, 您便可以将其启用或禁用请参见第 45 页的启用和禁用防病毒和防间谍软件防护在默认情况下, 自动防护会执行下列操作 : 扫描安全风险, 如广告软件或间谍软件隔离受感染的文件删除或修复安全风险带来的负面影响可以在自动防护中禁用安全风险扫描请参见第 59 页的禁用和启用自动防护安全风险扫描与禁止如果自动防护检测到某个进程不断将安全风险下载到您的计算机, 便会显示通知并记录检测 ( 自动防护必须配置为发送通知 ) 如果进程持续下载同一安全风险, 则计算机上会显示多次通知, 且自动防护会记录多个事件为避免多次通知和记录多个事件, 自动防护会在检测到此安全风险三次后, 自动停止发送关于该安全风险的通知此外, 自动防护在检测到同一事件三次后, 也会停止记录该事件在某些情况下, 自动防护不会停止发送安全风险的通知, 也不会停止记录安全风险事件在下列任一情况下, 自动防护会不断发送通知并记录事件 : 在客户端计算机上, 您或您的管理员已经禁用了禁止安装安全风险时 ( 默认为启用 ) 对进程下载的安全风险类型所采取的操作含有不操作的操作时