- PDF 免费下载

Similar documents

修改版-操作手册.doc

采取行动的机会 90% 开拓成功的道路 2

说明为了反映教运行的基本状态, 为校和院制定相关政策和进行教建设与改革提供据依据, 校从程资源 ( 开类别开量规模 ) 教师结构程考核等维度, 对 2015 年春季期教运行基

<433A5C446F63756D656E E E67735C41646D696E F725CD7C0C3E65CC2DBCEC4CFB5CDB3CAB9D3C3D6B8C4CFA3A8BCF2BBAFA3A95CCAB9D3C3D6B8C4CF31302D31392E646F63>

评委 : 李炎斌 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单

深圳市新亚电子制程股份有限公司

何秋琳张立春视觉学习研究进展视觉注意视觉感知

0 年上半年评价与考核细则序号部门要素值考核内容考核方式考核标准考核 ( 扣原因 ) 考评得 3 安全生产目 30 无同等责任以上道路交通亡人事故无轻伤责任事故无重大质量

评委 : 徐岩宇 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单

目录一系统访问... 1 二门户首页申报用户审核用户... 2 三系统登录用户名密码登录新用户注册用户登录已注册用

全国建筑市场注册执业人员不良行为记录认定标准（试行）.doc

<4D F736F F D D323630D6D0B9FAD3A6B6D4C6F8BAF2B1E4BBAFB5C4D5FEB2DFD3EBD0D0B6AF C4EAB6C8B1A8B8E6>

抗战时期国民政府的银行监理体制探析 % # % % % ) % % # # + #, ) +, % % % % % % % %

Microsoft Word - 第7章图表反转形态.doc

上海证券交易所会议纪要

,,,,, :,, (.,, );, (, : ), (.., ;. &., ;.. &.., ;, ;, ),,,,,,, ( ) ( ),,,,.,,,,,, : ;, ;,.,,,,, (., : - ),,,, ( ),,,, (, : ),, :,

<4D F736F F D20B9D8D3DAB0BABBAAA3A8C9CFBAA3A3A9D7D4B6AFBBAFB9A4B3CCB9C9B7DDD3D0CFDEB9ABCBBE C4EAC4EAB6C8B9C9B6ABB4F3BBE1B7A8C2C9D2E2BCFBCAE92E646F6378>

自服务按钮无法访问新系统的自服务页面因此建议用户从信网中心 ( 主页, 右下角位置的常用下载, 或校园网用户自服务 ( 首页

国债回购交易业务指引

3 月 30 日在中国证券报上海证券报证券时报证券日报和上海证券交易所网站上发出召开本次股东大会公告, 该公告中载明了召开股东大会的日期网络投票的方式时间以及审

珠江钢琴股东大会

金不少于 800 万元, 净资产不少于 960 万元 ; (3) 近五年独立承担过单项合同额不少于 1000 万元的智能化工程 ( 设计或施工或设计施工一体 ) 不少于 2 项 ; (4) 近三年每年

云信Linux SSH认证代理用户手册

Microsoft Word - 文件汇编.doc

18 上报该学期新生数据至阳光平台第一学期第四周至第六周 19 督促学习中心提交新增专业申请第一学期第四周至第八周 20 编制全国网络统考十二月批次考前模拟题第一学

ETF、分级基金规模、份额变化统计

一公共卫生硕士专业学位论文的概述学位论文是对研究生进行科学研究或承担专门技术工作的全面训练, 是培养研究生创新能力, 综合运用所学知识发现问题, 分析问题和解决

目录关于图标... 3 登陆主界面... 3 工单管理... 5 工单列表... 5 搜索工单... 5 工单详情... 6 创建工单... 9 设备管理巡检计划查询详情销售管

证券代码：证券简称：长城电脑公告编号：

Cybozu Garoon 3 管理员手册

<443A5C6D B5C30312EB9A4D7F7CEC4B5B55C30322EBACFCDACCEC4B5B55C C30342EC8CBC9E7CCFC5C31332ECFEEC4BFC5E0D1B55C E30385C322EB2D9D7F7CAD6B2E12E646F63>

Template BR_Rec_2005.dot

附件 : 上海市建筑施工企业施工现场项目管理机构关键岗位人员配备指南二一四年九月十一日 2

B-002 行政处罚在气象探测环境保护范围内从事危害气象探测环境活动的处罚中华人民共和国气象法第三十五条第一款第二项 B-003 行政处罚在

光明乳业股份有限公司

年 8 月 11 日, 公司召开 2015 年第五次临时股东大会, 审议通过了关于公司 <2015 年股票期权激励计划 ( 草案 )> 及其摘要的议案关于提请股东大会授权董事会办理公

教师上报成绩流程图

工程造价咨询企业管理系统操作手册目录 1 造价企业登录企业基本信息查看企业人员信息查看企业基本信息操作企业简介企业章

黄金原油总持仓增长, 同比增幅分别为 4.2% 和 4.1% 而铜白银以及玉米则出现减持, 减持同比减少分别为 9.4%,9.4% 以及 6.5% 大豆, 豆粕结束连续 4 周总持仓量增长, 出现小幅

( ) 信号与系统 Ⅰ 学科基础必修课教周 2016 年 06 月 13 日 (08:00-09:35) ( )

一从分封制到郡县制一从打虎亭汉墓说起

上海证券交易所会议纪要

三门峡市质量技术监督局清单公示

目录页 1. 欢迎使用网上预约面谈访问系统新用户新用户登入帐户程序启动网上预约面谈访问帐户核对帐户的地址资料

( 二 ) 现行统一高考制度不利于培养人的创新精神,,,,,,,,,,,,, [ ],,,,,,,,,,, :, ;,,,,,,? ( 三 ) 现行统一高考制度不利于全体学生都获得全面发展,, [ ],,,,,,,,,,,

《C语言基础入门》课程教学大纲

世华财讯模拟操作手册

目录第一章博星卓越电子商务营销策划实践平台硬件使用介绍... 3 第二章博星卓越电子商务营销策划实践平台管理员端功能使用介绍系统管理员登陆班

i 1) 系统运作前设定 *1. [2.1 网页主机名称设定 ] -- 设定校务系统的主机 IP 地址, 以供其他个人电脑连接及使用该系统 *2. [2.3.1 输入 / 修改学校资料 ] -- 输入系统使

关于修订《沪市股票上网发行资金申购

2016 年荔湾区财政核定支出汇总表表二单位名称 : 广州文化公园基本支出项目支出科目编码预算科目名称一般公共预算 5, , , , ,

<4D F736F F D20B6C0C1A2B6ADCAC2D0ECCCFABEFDCFC8C9FABCB0CCE1C3FBC8CBC9F9C3F72E646F63>

·岗位设置管理流程

徐天宏：《基因天堂》.doc

Microsoft Word - 第3章.doc

全国教师资格认定管理信息系统

2. 本次修改后, 投资者申购新股的持有市值要求市值计算规则及证券账户使用的相关规定是否发生了变化? 答 : 未发生变化投资者申购新股的持有市值是指, 以投资者为单位

第一部分 MagiCAD for Revit 安装流程

联想电子订单操作指南

现场会议时间为 :2016 年 5 月 19 日网络投票时间为 :2016 年 5 月 18 日年 5 月 19 日其中通过深圳证券交易所交易系统进行网络投票的时间为 2016 年 5 月 19 日 9:30-

龚亚夫在重新思考基础教育英语教学的理念一文中援引的观点认为当跳出本族语主义的思维定式后需要重新思考许多相连带的问题比如许多发音的细微区别并不影响理解和

合并计算配售对象持有多个证券账户的, 多个证券账户市值合并计算确认多个证券账户为同一配售对象持有的原则为证券账户注册资料中的账户持有人名称有效身份证明文件

2 熟悉 Visual Basic 的集成开发环境 3 了解可视化面向对象编程事件驱动交互式开发等基本概念 4 了解 Visual Basic 的特点环境要求与安装方法 1 Visual Basic 开发应用

2016年德州市机构编制委员会

正规培训达规定标准学时数, 并取得结业证书二级可编程师 ( 具备以下条件之一者 ) (1) 连续从事本职业工作 13 年以上 (2) 取得本职业三级职业资格证书后, 连续从事本职业

收入支出项目 2016 年预算项目 2016 年预算预算 01 表单位 : 万元 ( 保留两位小数 ) 一公共财政预算拨款一人员经费一般财力人员支出成品

2014年中央财经大学研究生招生录取工作简报

<4D F736F F D20B9D8D3DA BDECB1CFD2B5C9FAC5C9C7B2B1A8B5BDB5C8D3D0B9D8B9A4D7F7B5C4CDA8D6AAA3A E362E38A3A92E646F63>

登录、注册功能的测试用例设计.doc

第四条建设单位对可能产生职业病危害的建设项目, 应当依照本办法向安全生产监督管理部门申请职业卫生三同时的备案审核审查和竣工验收建设项目职业卫生三同时工作可

目录第一章行政办公介绍行政办公的作用... 4 第二章行政办公使用说明会议管理会议管理概述如何设置会议室如

证监会行政审批事项目录

境外上市外资股股东持有股份总数 (H 股 ) 489,157,907 3 出席会议的股东所持有表决权股份数占公司有表决权股份总数的其中 :A 股股东持股占股份总数的

四川省农村义务教育学生

工程勘察资质标准根据建设工程勘察设计管理条例和建设工程勘察设计资质管理规定, 制定本标准一总则 ( 一 ) 本标准包括工程勘察相应专业类型主要专业技术人员配备技术

2 根据广东省交通建设工程施工现场开工前考核评表或根据广东省交通建设工程施工现场实施过程考核评表的和内容进行核查 ; 3 现场抽查具有代表性的各岗位人员 ( 从事

全国艺术科学规划项目

<4D F736F F D20B3D6B2D6CFDEB6EEB1EDB8F1D7EED6D52E646F63>

中中中中部中岗位条件历其它历史师地理师生物师体与健康师从事中历史工从事中地理工从事中生物工从事中体与健康工 2. 课程与论 ( 历史 ); 2. 科 ( 历史 )

2006年顺德区高中阶段学校招生录取分数线

定位和描述 : 程序设计 / 办公软件高级应用级考核内容包括计算机语言与基础程序设计能力, 要求参试者掌握一门计算机语言, 可选类别有高级语言程序设计类数据库编程类

目录 1. 考生电脑安装配置考生电脑系统需求初次使用故障修复试卷结构与分值在线考试登录考前倒

Microsoft Word - 中节能_工业项目节能评估审查导则Draft.doc

证券代码：证券简称：长城电脑公告编号：

新, 各地各部门 ( 单位 ) 各文化事业单位要高度重视, 切实加强领导, 精心组织实施要根据事业单位岗位设置管理的规定和要求, 在深入调查研究广泛听取意见的基础上, 研究提

<4D F736F F D20BFC9B1E0B3CCD0F2BFD8D6C6CFB5CDB3C9E8BCC6CAA6B9FABCD2D6B0D2B5B1EAD7BC2E646F63>

Transcription:

TM OfficeScan Corporate Edition 8.0 针对企业台式机与网络服务器的综合性集成安全方案管理员指南 e Endpoint Security

Trend Micro Incorporated/ 趋势科技 ( 中国 ) 有限公司保留不经通知修改该文档及其所述产品的权利在安装和使用本软件之前, 请详阅自述文件发布注释和最新版本的适用用户文档, 这些都可从趋势科技 Web 站点获得 : http://www.trendmicro.com/download/zh-cn/ 趋势科技趋势科技 T 球徽标防毒墙网络版控制管理中心损害清除服务 emanager InterScan 网络病毒墙防毒墙群件版 ServerProtect 和 TrendLabs 是 Trend Micro Incorporated/ 趋势科技 ( 中国 ) 有限公司的商标或注册商标所有其他产品或公司名称均为其各自所有者的商标或注册商标版权所有 2001-2007 Trend Micro Incorporated/ 趋势科技 ( 中国 ) 有限公司保留所有权利文档编号 :OSCM83234/70529 发布日期 :2007 年 6 月受美国专利号 5,623,600 5,889,943 5,951,698 6.119,165 的保护

趋势科技防毒墙网络版的用户文档介绍该软件的主要功能组件以及针对贵组织生产环境的安装说明在安装和使用该软件之前, 请详细阅读有关如何使用软件中特定功能的详细信息, 可在联机帮助文件和趋势科技 Web 站点上的在线知识库中获得趋势科技始终将设法改进其文档如果您对此文档或任何趋势科技文档存有疑问注释或建议, 请访问 dservice@trendmicro.com.cn 与我们联系请在以下站点评估此文档 : http://www.trendmicro.com/download/zh-cn/default.asp

目录目录第 1 章 : 防毒墙网络版简介关于防毒墙网络版... 1-2 此发行版的新功能... 1-2 防病毒... 1-2 防火墙... 1-3 Web 威胁防护... 1-3 组件复制... 1-5 插件管理器... 1-5 Web 控制台管理... 1-5 平台支持... 1-6 关键功能和优点... 1-7 安全风险防护... 1-7 增强的防间谍软件功能... 1-7 集中管理... 1-7 安全和策略实施... 1-8 防毒墙网络版防火墙... 1-8 损害清除服务... 1-11 防毒墙网络版服务器... 1-12 防毒墙网络版服务器... 1-13 防毒墙网络版组件与程序... 1-20 Hotfix 修补程序和 Service Pack... 1-24 安全风险... 1-25 病毒和恶意软件... 1-25 网络病毒... 1-27 间谍软件和灰色软件... 1-27 i

趋势科技防毒墙网络版 8.0 管理员指南网络钓鱼攻击... 1-31 防毒墙网络版文档... 1-32 第 2 章 : 术语... 1-33 防毒墙网络版入门 Web 控制台... 2-1 防毒墙网络版域... 2-3 代理服务器设置... 2-4 用于服务器组件更新的代理服务器... 2-4 用于客户机组件更新的代理服务器... 2-5 组件更新... 2-6 更新源... 2-6 组件复制... 2-7 服务器更新... 2-8 更新代理... 2-12 客户机更新... 2-14 组件更新权限和设置... 2-19 组件还原... 2-22 扫描设置... 2-22 扫描类型... 2-22 病毒 / 恶意软件扫描... 2-24 间谍软件 / 灰色软件扫描... 2-32 扫描权限... 2-36 Web 站点信誉配置... 2-37 Web 威胁... 2-37 信誉分值... 2-37 安全级别... 2-37 Web 站点信誉策略和计算机位置... 2-38 允许的 URL... 2-38 ii

目录第 3 章 : Web 站点信誉日志... 2-39 管理联网计算机防毒墙网络版防火墙... 3-2 策略... 3-2 策略例外... 3-3 概要文件... 3-4 缺省设置... 3-6 防火墙权限... 3-8 防火墙测试... 3-8 防火墙 : 如何禁用... 3-8 爆发防护... 3-9 爆发阻止... 3-9 爆发阻止策略... 3-9 爆发后任务... 3-10 客户机通知... 3-11 安全风险通知... 3-11 其他通知... 3-13 客户机 - 服务器连接验证... 3-13 客户机权限和其他设置... 3-14 全局客户机设置... 3-16 客户机设置管理... 3-18 Cisco NAC... 3-19 第 4 章 : 管理防毒墙网络版服务器趋势科技防毒墙控制管理中心... 4-2 日志... 4-2 iii

趋势科技防毒墙网络版 8.0 管理员指南联网计算机的日志... 4-2 服务器更新日志... 4-3 系统事件日志... 4-4 日志删除... 4-4 许可证... 4-5 防毒墙网络版数据库备份... 4-6 防毒墙网络版 Web 服务器信息... 4-6 管理员通知... 4-7 标准通知... 4-8 爆发通知... 4-8 Web 控制台密码... 4-8 非活动客户机... 4-9 隔离管理器... 4-10 管理工具和客户机工具... 4-10 全球病毒跟踪计划... 4-12 第 5 章 : 了解策略服务器 for Cisco NAC 组件和术语... 5-2 组件... 5-2 术语... 5-3 Cisco NAC 体系结构... 5-4 客户机验证顺序... 5-5 策略服务器... 5-7 策略服务器策略和规则... 5-8 iv

目录规则组成... 5-9 缺省规则... 5-11 策略组成... 5-12 缺省策略... 5-13 同步... 5-14 证书... 5-15 CA 证书... 5-17 策略服务器系统需求... 5-17 操作系统... 5-17 硬件... 5-18 Web 服务器... 5-18 Web 控制台... 5-18 Cisco Trust Agent (CTA) 需求... 5-19 操作系统... 5-19 硬件... 5-19 其他... 5-19 支持的平台和需求... 5-20 第 6 章 : 部署策略服务器 for Cisco NAC 策略服务器 for NAC 部署概述... 6-2 Cisco Secure ACS 服务器登记... 6-3 CA 证书安装... 6-3 策略服务器 SSL 证书准备... 6-6 Cisco Trust Agent 部署... 6-8 Cisco Trust Agent 升级和部署... 6-10 Cisco Trust Agent 安装验证... 6-12 v

趋势科技防毒墙网络版 8.0 管理员指南策略服务器 for Cisco NAC 安装... 6-12 ACS 服务器配置... 6-15 策略服务器 for Cisco NAC 配置... 6-15 第 7 章 : 从防毒墙网络版配置策略服务器... 6-16 策略服务器的摘要信息... 6-17 策略服务器注册... 6-18 规则... 6-19 策略... 6-19 客户机验证日志... 6-19 客户机日志维护... 6-20 管理工具... 6-20 使用控制管理中心管理防毒墙网络版控制管理中心基本功能... 7-2 趋势科技管理通信协议... 7-3 降低网络负载和软件包大小... 7-4 支持 NAT 和防火墙遍历... 7-5 支持 HTTPS... 7-6 支持单向和双向通信... 7-6 支持单点登录 (SSO)... 7-7 MCP 代理波动信号... 7-7 时间表栏... 7-8 正确的波动信号设置... 7-9 防毒墙网络版注册... 7-10 防毒墙网络版管理... 7-10 产品目录... 7-11 产品目录任务... 7-11 防毒墙网络版配置... 7-13 防毒墙网络版任务管理... 7-14 vi

目录防毒墙网络版日志... 7-15 防毒墙网络版移除后恢复... 7-17 搜索工具... 7-18 目录管理器... 7-19 目录管理器选项... 7-19 目录管理器任务... 7-20 临时... 7-22 使用临时... 7-23 与临时相关的任务... 7-23 组件下载和部署... 7-26 更新管理器... 7-27 手动下载... 7-27 预设下载例外... 7-34 预设下载... 7-35 报告... 7-43 第 8 章 : 本地报告... 7-44 全局报告... 7-44 报告模板... 7-45 报告概要文件... 7-46 与报告相关的任务... 7-47 常见问题和故障排除资源常见问题... 8-1 组件更新... 8-1 服务器管理... 8-2 客户机管理... 8-4 调试日志... 8-5 故障排除资源... 8-5 情况诊断工具... 8-5 vii

趋势科技防毒墙网络版 8.0 管理员指南第 9 章 : 防毒墙网络版服务器日志... 8-5 防毒墙网络版客户机日志... 8-12 与趋势科技联系技术支持... 9-1 加速您的支持呼叫... 9-2 趋势科技知识库... 9-3 TrendLabs... 9-3 安全信息中心... 9-4 将可疑文件发送给趋势科技... 9-4 文档反馈... 9-5 附录 A: 使用第三方软件配置防毒墙网络版 Check Point 体系结构和配置概述...A-1 防毒墙网络版集成...A-2 Check Point for 防毒墙网络版配置...A-4 安装 SecureClient 支持...A-5 附录 B: 词汇表术语与定义...B-1 viii

图表图表普通客户机图标... 1-14 漫游客户机图标... 1-17 需要用户操作的客户机情况... 1-17 客户机功能组件... 1-19 防毒墙网络版组件... 1-20 防毒墙网络版程序... 1-22 病毒和恶意软件类型... 1-25 间谍软件和灰色软件类型... 1-27 防毒墙网络版文档中使用的术语... 1-33 客户机组件更新过程中使用的代理服务器设置... 2-5 组件更新选项... 2-6 组件复制场景... 2-10 更新代理的系统需求... 2-13 选定客户机用户的组件更新权限... 2-19 选定客户机用户的组件更新设置... 2-19 预设更新场景 1... 2-21 预设更新场景 2... 2-21 病毒 / 恶意软件扫描条件... 2-24 基于用户活动的实时扫描行为... 2-25 全局病毒 / 恶意软件扫描设置... 2-27 可用的病毒 / 恶意软件扫描处理措施... 2-29 趋势科技建议的对病毒 / 恶意软件的扫描处理措施... 2-30 其他病毒 / 恶意软件扫描处理措施选项... 2-31 间谍软件 / 灰色软件扫描条件... 2-32 可用间谍软件 / 灰色软件扫描处理措施... 2-35 其他间谍软件 / 灰色软件扫描选项... 2-36 客户机用户的扫描权限... 2-36 缺省防火墙策略... 3-6 缺省防火墙概要文件... 3-7 缺省防火墙策略例外... 3-7 选定客户机的权限和设置... 3-14 全局客户机设置... 3-16 策略服务器 for Cisco NAC 组件... 5-2 ix

趋势科技防毒墙网络版 8.0 管理员指南与策略服务器 for Cisco NAC 相关的术语... 5-3 缺省规则... 5-11 Cisco NAC 证书... 5-15 支持的平台和需求... 5-20 控制管理中心功能... 7-2 波动信号建议... 7-9 控制管理中心产品目录... 7-10 用于事件日志的搜索参数... 7-16 用于安全日志的搜索参数... 7-17 搜索参数... 7-18 SCV 文件参数的名称和值...A-4 x

防毒墙网络版简介第 1 章本章中的主题 : 关于防毒墙网络版 ( 第 1-2 页 ) 此发行版的新功能 ( 第 1-2 页 ) 关键功能和优点 ( 第 1-7 页 ) 防毒墙网络版服务器 ( 第 1-12 页 ) 防毒墙网络版服务器 ( 第 1-13 页 ) 防毒墙网络版组件与程序 ( 第 1-20 页 ) 安全风险 ( 第 1-25 页 ) 防毒墙网络版文档 ( 第 1-32 页 ) 1-1

趋势科技防毒墙网络版 8.0 管理员指南关于防毒墙网络版趋势科技防毒墙网络版保护企业网络不受病毒特洛伊木马蠕虫病毒黑客和网络病毒, 再加上间谍软件和混合威胁攻击的危害作为一个集成的解决方案, 它可以保护台式机便携式计算机和网络服务器, 而基于 Web 的管理控制台可以使其轻松在每台客户机和服务器上设置协同的安全策略和部署自动更新通过与趋势科技网络病毒墙或任何 Network Admission Control (NAC) 设备结合, 防毒墙网络版可以在非兼容计算机上执行策略, 然后补救重定向限制拒绝或允许网络访问本章概述了防毒墙网络版的特性功能和技术此发行版的新功能防毒墙网络版包括以下新功能和增强 : 防病毒 IntelliTrap 病毒编写者经常通过使用实时压缩算法来尝试绕开病毒过滤 IntelliTrap 通过阻止带有实时压缩可执行文件的文件来帮助减少病毒 / 恶意软件进入您网络的风险要启用 IntelliTrap, 请转到联网计算机 > 客户机管理 > 设置 > { 扫描类型 } > 病毒 / 恶意软件选项卡 > 扫描设置 1-2

防毒墙网络版简介 GeneriClean GeneriClean, 也称为参照性清除, 是一种即使没有病毒清除组件可用也能清除病毒 / 恶意软件的新技术 GeneriClean 使用检测到的文件作为基础, 确定检测到的文件是否在内存和注册表项中具有相应的进程 / 服务, 然后将其一起移除防火墙将允许的网络通信记入日志除了根据防火墙策略允许或拒绝网络通信, 防毒墙网络版客户机现在还可以将允许的网络通信记入日志, 而且如果被授予权限, 还能将这些日志发送给服务器然后, 无需中断客户机用户, 您就可以审计来自客户端计算机的允许的网络通信并可以识别可能的恶意活动客户机防火墙日志可以允许特定的客户机自动将防火墙日志发送到服务器 ( 在联网计算机 > 客户机管理 > 设置 > 权限和其他设置中 ), 并可制定发送日志的时间表 ( 联网计算机 > 全局客户机设置 ) Web 威胁防护 Web 站点信誉除了基于文件的扫描, 防毒墙网络版现在还包括检测和阻止基于 Web 安全风险的功能, 包括网络钓鱼攻击请参阅 Web 站点信誉配置 ( 第 2-37 页 ) 以获取详细信息通过转到联网计算机 > Web 站点信誉来配置 Web 站点信誉设置 1-3

趋势科技防毒墙网络版 8.0 管理员指南防间谍软件防毒墙网络版附带了新的间谍软件扫描和清除引擎, 可以检测和清除比以前更多的间谍软件 / 灰色软件, 误报更少该产品包括以下新功能 : 实时检测对文件系统进行实时间谍软件 / 灰色软件扫描会阻止或停止间谍软件执行间谍软件 / 灰色软件恢复对间谍软件 / 灰色软件采取处理措施后, 防毒墙网络版客户机会备份间谍软件 / 灰色软件数据, 如果您认为间谍软件 / 灰色软件安全, 则防毒墙网络版服务器可以随时将其恢复可以选择要恢复的间谍软件 / 灰色软件数据段要恢复间谍软件 / 灰色软件, 请转至联网计算机 > 客户机管理 > 任务 > 间谍软件 / 灰色软件恢复评估模式评估模式允许您先评估间谍软件 / 灰色软件是否合法, 然后根据您的评估采取处理措施例如, 可将合法的间谍软件 / 灰色软件添加到间谍软件 / 灰色软件批准列表要配置评估模式设置, 请转到联网计算机 > 全局客户机设置 > 间谍软件 / 灰色软件设置 Rootkit 检测此版本还包括了一个检测和移除 rootkit 的新组件当前正在兴风作浪的 rootkit 破坏常规操作系统功能应用程序通常假定其为合法的以 1-4

防毒墙网络版简介获取对用户计算机的大部分控制权如果不重新安装计算机, 则移除 rootkit 将非常困难组件复制每次防毒墙网络版更新其组件时, 下载完整病毒码将占用大量带宽此版本的防毒墙网络版仅下载新的可用病毒码, 从而减少病毒码下载量请参阅组件复制 ( 第 2-7 页 ) 以获取详细信息插件管理器插件程序在产品发行版之外开发并且尚未完全集成到防毒墙网络版中有了插件管理器, 您不再需要等到产品发行才能开始使用插件程序这些程序开始可用时, 插件管理器即会在防毒墙网络版 Web 控制台中显示它们, 供防毒墙网络版服务器和防毒墙网络版客户机使用然后可以从 Web 控制台中安装和管理上述程序, 包括将客户机插件程序部署到客户机通过在 Web 控制台的主菜单上单击插件管理器来下载和安装插件管理器安装后, 可以检查可用的插件程序 Web 控制台管理管理员和客户机用户现在可以各自管理防间谍软件和防病毒功能使用客户机树上的菜单项管理所有与客户机相关的任务通过在主菜单中单击通知来管理 Web 控制台中的通知消息和设置 1-5

趋势科技防毒墙网络版 8.0 管理员指南平台支持 Microsoft 证实防毒墙网络版客户机支持 Windows Vista 平台 (32 位和 64 位 ) 注意 : 防毒墙网络版服务器不支持 Microsoft Vista 运行 Windows Vista 的计算机将拥有多数防毒墙网络版程序和功能, 以下程序和功能除外 : Microsoft Outlook 邮件扫描 Check Point SecureClient Cisco NAC 2 看守程序 DLL 注入功能镜像安装实用程序 (ImgSetup.exe) 注意 : 即使不支持镜像安装, 客户机也能够在服务器提示更改 GUID 时自动更改感染源通知 ( 警报器服务已移除 ) 1-6

防毒墙网络版简介关键功能和优点防毒墙网络版具有以下功能和优点 : 安全风险防护防毒墙网络版保护您的联网计算机免受病毒 / 恶意软件间谍软件 / 灰色软件和 Web 威胁的危害防毒墙网络版客户机提供安全风险防护, 向防毒墙网络版服务器报告事件以及从防毒墙网络版服务器获得更新防毒墙网络版服务器托管 Web 控制台, 从更新源 ( 例如, 趋势科技 ActiveUpdate 服务器 ) 下载更新以及启动客户机以更新组件增强的防间谍软件功能防毒墙网络版可防御各种间谍软件, 其中包括广告程序拨号程序恶作剧程序远程访问工具和密码破解程序通过使用全面最新的间谍软件数据库和定制的例外列表, 可降低与间谍软件相关的延迟崩溃和支持呼叫的风险防毒墙网络版还阻止键盘侧录软件盗取机密信息, 保持带宽以及保护企业生产率这些能力完善了趋势科技 InterScan Web Security Suite 的功能, 还提供了从 Web 网关到客户机 / 服务器网络的端对端间谍软件防护集中管理通过基于 Web 的管理控制台, 管理员可以透明访问网络上的所有客户机和服务器 Web 控制台可协调安全策略病毒码文件和软件更新在每台客户机和服务器上的自动部署结合爆发阻止服务,Web 控制台可在病毒码文件可用前关闭感染站点, 以及快速部署特定于攻击的安全策略以阻止或抑制爆发防毒墙网络版还执行实时监控, 提供事件通知以及传全面的报告管理员可以执行远程管理, 为个别台式机或组设置定制的策略以及锁定客户机安全设置 1-7

趋势科技防毒墙网络版 8.0 管理员指南安全和策略实施防毒墙网络版与 Cisco Trust Agent 无缝集成, 以便在 Cisco 自我防御网络中实现最有效的策略实施防毒墙网络版还包括策略服务器, 用于与 Cisco Access Control Server 自动进行通信当与趋势科技网络病毒墙或任何 Network Admission Control (NAC) 设备结合时, 防毒墙网络版都可以检查试图进入网络的客户机, 然后补救重定向限制拒绝或允许访问如果某个计算机易受攻击或已受感染, 防毒墙网络版可以自动将隔离此计算机及其所在的网段, 直到所有 PC 都已更新或清除完成防毒墙网络版防火墙防毒墙网络版防火墙使用基于状态的检查高性能的网络病毒扫描和清除来保护网络上的客户机和服务器通过中央管理控制台, 可以创建按 IP 地址端口号或协议过滤连接的规则, 然后将这些规则应用到不同的用户组中注意 : 可以在也启用 Windows 防火墙的 Windows XP 计算机上安装配置和使用防毒墙网络版防火墙但是, 必须仔细管理策略以避免创建有冲突的防火墙策略和产生意外结果例如, 将一个防火墙配置为允许来自一个特定端口的网络通信, 而其他防火墙阻止来自同一端口的网络通信, 则防毒墙网络版会阻止网络通信有关互联网连接防火墙的详细信息, 请参阅您的 Microsoft 文档网络通信过滤防毒墙网络版防火墙过滤所有入站和出站的网络通信, 可根据以下标准阻止某些类型的网络通信 : 方向 ( 入站 / 出站 ) 协议 (TCP/UDP/ICMP) 1-8

防毒墙网络版简介目标端口源起计算机和目标计算机扫描网络病毒防毒墙网络版防火墙还会在每个数据包中查找是否有网络病毒可定制的概要文件和策略防毒墙网络版防火墙让您可以配置策略以阻止或允许指定类型的网络通信将策略分配到一个或多个概要文件, 然后可将这些概要文件部署到指定的防毒墙网络版客户机这提供了为客户机组织和配置防火墙设置的高度定制的方法基于状态的检查防毒墙网络版防火墙是基于状态进行检查的防火墙 ; 它监视到客户机的所有连接并记住所有连接状态它可以确定任何连接中的特定条件, 预测应采取的处理措施及检测正常连接中是否存在中断因此, 过滤决定不仅基于概要文件和策略, 还基于通过分析连接和过滤经过防火墙的数据包所建立的环境入侵检测系统防毒墙网络版防火墙还包括入侵检测系统 (IDS) 启用后, IDS 可以帮助确定网络数据包中可能表示会攻击客户机的特征码防毒墙网络版防火墙可以帮助阻止以下众所周知的入侵 : Too Big Fragment: 拒绝服务攻击, 黑客将特大的 TCP/UDP 数据包定向到目标计算机这会导致计算机缓存溢出, 从而使计算机死机或重新启动 Ping of Death: 拒绝服务攻击, 黑客将特大的 ICMP 数据包定向到目标计算机这会导致计算机缓存溢出, 从而使计算机死机或重新启动 1-9

趋势科技防毒墙网络版 8.0 管理员指南 Conflicted ARP: 一种攻击类型, 黑客会发送带有相同源和目标 IP 地址的地址解析协议 (ARP) 请求目标计算机会持续向自身发送 ARP 响应 ( 其 MAC 地址 ), 从而导致其死机或崩溃 SYN Flood: 拒绝服务攻击, 程序会将多个 TCP 同步 (SYN) 数据包发送到计算机, 从而导致计算机持续发送同步应答 (SYN/ACK) 响应这会耗尽计算机的内存, 并最终导致计算机崩溃 Overlapping Fragment: 与 Teardrop 攻击相似, 这种拒绝服务攻击会向计算机发送重叠的 TCP 碎片会覆盖第一个 TCP 碎片中的头信息, 并有可能通过防火墙然后防火墙可能会允许带有恶意代码的后续碎片通过, 到达目标计算机 Teardrop: 与 Overlapping Fragment 攻击相似, 这种拒绝服务攻击涉及 IP 碎片第二个或后面的 IP 碎片中的混淆偏移值会导致接收计算机操作系统在尝试重新整理碎片时崩溃 Tiny Fragment 攻击 : 一种攻击类型, 用一个很小的 TCP 碎片将第一个 TCP 数据包的头信息压到下一个碎片中这可导致过滤网络通信的路由器忽略可能包含恶意数据的后续碎片 Fragmented IGMP: 一种拒绝服务攻击, 向目标计算机发送被分割的 IGMP 数据包, 导致无法正确处理 IGMP 数据包这会使计算机死机或变慢 LAND Attack: 一种攻击类型, 向计算机发送带有相同源地址和目标地址的 IP 同步 (SYN) 数据包, 导致计算机向自身发送同步应答 (SYN/ACK) 响应这会使计算机死机或变慢防火墙违例爆发监控防火墙违例超出特定阈值 ( 可能意味着发生攻击 ) 时, 防毒墙网络版防火墙会向指定收件人发送定制的通知消息 1-10

防毒墙网络版简介客户机防火墙权限您可以授予客户机用户在防毒墙网络版客户机控制台上查看他们的防火墙设置的权限还可以授予用户启用或禁用防火墙入侵检测系统和防火墙违例通知消息的权限损害清除服务损害清除服务通过全自动过程, 清除计算机上基于文件的病毒和网络病毒以及病毒和蠕虫病毒残留 ( 特洛伊木马注册表项和含病毒的文件 ) 防毒墙网络版和损害清除服务是趋势科技企业防护战略 (EPS) 的关键组件, 专为前瞻性管理病毒爆发周期 ( 从漏洞阻止到恶意代码消除 ) 而设计有关企业防护战略的更多信息, 请访问以下 Web 站点 : http://www.trendmicro.com/cn/home/enterprise.htm 损害清除服务解决方案要处理由特洛伊木马造成的威胁和损害, 损害清除服务将执行以下操作 : 检测和移除活动的特洛伊木马杀死特洛伊木马创建的进程修复特洛伊木马修改的系统文件删除特洛伊木马留下的文件和应用程序由于损害清除服务在后台自动运行, 因此不需要配置它它运行时用户甚至没有察觉但是, 防毒墙网络版可能有时会通知用户重新启动计算机以完成移除特洛伊木马的过程 1-11

趋势科技防毒墙网络版 8.0 管理员指南防毒墙网络版服务器防毒墙网络版基于 HTTP 的服务器是所有客户机配置安全风险日志和客户机程序及更新的中央储存库该服务器执行两个重要功能 : 安装监控和管理联网计算机客户机从趋势科技更新服务器下载组件并将它们分发给客户机防毒墙网络版服务器可提供服务器与客户机之间的实时双向通信可以从基于浏览器的 Web 控制台 ( 可从网络中的任何虚拟位置访问 ) 管理客户机该服务器通过超文本传输协议 (HTTP) 与客户机 ( 和使用服务器的客户机 ) 通信该服务器仅安装基于 HTTP 的客户机如果客户端计算机不支持 TCP/IP, 则无法安装基于 HTTP 的客户机 1-12

防毒墙网络版简介 Internet 防毒墙网络版服务器从更新源下载组件防毒墙网络版服务器 Web 控制台通过 Web 控制台管理防毒墙网络版服务器和客户机防毒墙网络版客户机图 1-1 基于 HTTP 的服务器的工作原理防毒墙网络版服务器通过在每台计算机上安装防毒墙网络版客户机可保护 Windows 计算机免受安全风险的危害该客户机将提供三种扫描方法 : 实时扫描预设扫描和手动扫描客户机会向作为其安装源的父服务器报告可以通过使用客户机迁移程序工具使客户机向另一服务器报告 ( 有关此工具的详细信息, 请参阅联机帮助 ) 客户机会实时向服务器发送事件和状态信息以为您提供更新的客户机信息事件的示例包括病毒 / 恶意软件检测客户机启动客户机关闭扫描启动和更新完成 1-13

趋势科技防毒墙网络版 8.0 管理员指南从客户机控制台 ( 如果您授予用户此权限 ) 和服务器 Web 控制台配置客户机上的扫描设置要在整个网络上执行统一的桌面保护, 请选择不要授予客户机修改扫描设置或移除客户机程序的权限防毒墙网络版客户机有两种类型 : 普通客户机漫游客户机普通客户机普通客户机与服务器保持持续的连接防毒墙网络版系统托盘图标的变化反映了普通客户机的状态更改注意 : 防毒墙网络版不仅对实时扫描使用实时扫描服务, 还对手动扫描和预设扫描使用实时扫描服务这表示如果实时扫描服务停止, 客户端计算机将失去保护如果实时扫描停止运行, 则图标的颜色也会变为红色表 1-1 普通客户机图标图标状态描述实时扫描联机所有组件为最新并且服务工作正常已启用联机病毒码文件暂时尚未更新已启用联机立即扫描手动扫描或预设扫描正在运行在病毒 / 恶意软件和间谍软件 / 灰色软件扫描过程中显示此图标已启用 1-14

防毒墙网络版简介表 1-1 普通客户机图标图标状态描述实时扫描联机实时扫描已禁用注意 : 如果对间谍软件 / 灰色软件禁用了实时扫描, 但却对病毒 / 恶意软件启用实时扫描, 则客户机上的实时扫描状态为已启用, 且客户机图标为 : 已禁用联机实时扫描已禁用并且病毒码文件暂时尚未更新已禁用联机实时扫描服务已停止已禁用联机实时扫描服务已停止并且病毒码文件暂时尚未更新已禁用脱机客户机与服务器已断开连接已启用脱机客户机已从服务器断开连接并且病毒码文件暂时尚未更新已启用脱机客户机已断开连接并且实时扫描已禁用已禁用脱机客户机已从服务器断开连接 ; 实时扫描已禁用 ; 并且病毒码文件暂时尚未更新已禁用脱机脱机客户机已从服务器断开连接并且实时扫描服务已停止客户机已从服务器断开连接 ; 实时扫描服务已停止 ; 并且病毒码文件暂时尚未更新已禁用已禁用 1-15

趋势科技防毒墙网络版 8.0 管理员指南漫游客户机处于漫游模式中的客户机会被隔离, 因此, 无法与防毒墙网络版服务器通信具有漫游权限的用户可以在防毒墙网络版服务器干预 ( 如服务器启动的扫描 ) 阻止他们完成某项任务 ( 例如, 执行演示时 ) 时启用漫游模式尽管与服务器的通信已中断, 但如果漫游客户机连接到互联网并且配置为从更新代理或趋势科技 ActiveUpdate 服务器获取更新, 则仍然可以更新组件应为长期与防毒墙网络版服务器失去连接的客户机分配漫游权限要分配该权限, 请转至联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡只在以下情形中才会发生对漫游客户机的更新 : 客户机用户执行手动更新时设置了自动更新部署并且将漫游客户机包含在将要更新的客户机中时授予了客户机启用预设更新的权限时有关如何更新客户机的详细信息, 请参阅客户机更新 ( 第 2-14 页 ) 防毒墙网络版系统托盘图标的变为反映漫游客户机的状态 1-16

防毒墙网络版简介注意 : 防毒墙网络版不仅对实时扫描使用实时扫描服务, 还对手动扫描和预设扫描使用实时扫描服务这表示如果实时扫描服务停止, 客户端计算机将失去保护如果实时扫描停止运行, 则图标的颜色也会变为红色表 1-2 漫游客户机图标图标描述实时扫描所有组件为最新并且服务工作正常已启用实时扫描已禁用已禁用病毒码文件暂时尚未更新已启用实时扫描已禁用并且病毒码文件暂时尚未更新已禁用实时扫描服务已停止已禁用实时扫描服务已停止并且病毒码文件暂时尚未更新已禁用所需的用户操作如果客户机图标表示以下情况中的任意一种, 则请执行必要的操作表 1-3 需要用户操作的客户机情况情况暂时不更新的病毒码文件操作客户机用户需要更新组件从 Web 控制台中, 可在更新 > 联网计算机中配置组件更新设置, 或在联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡 > 组件更新权限中向用户授予更新权限 1-17

趋势科技防毒墙网络版 8.0 管理员指南情况实时扫描服务已停止操作用户可以从 Windows 服务窗口手动启动该服务 (OfficeScan NT RealTime Scan) 实时扫描已禁用从 Web 控制台启用实时扫描 ( 联网计算机 > 客户机管理 > 设置 > 实时扫描设置 ) 实时扫描已禁用且客户机处于漫游模式与服务器断开连接的客户机用户需要先禁用漫游模式禁用漫游模式后, 请从 Web 控制台中启用实时扫描先从 Web 控制台验证连接 ( 联网计算机 > 连接验证 ), 然后再检查连接验证日志 ( 日志 > 联网计算机的日志 > 连接验证 ) 如果验证后客户机仍处于断开连接状态 : 如果连接状态在服务器和客户机上均为脱机, 则请检查网络连接如果连接状态在客户机上为脱机但在服务器上为联机, 则服务器域名可能已更改, 而客户机将使用该域名连接到服务器 ( 如果在服务器安装过程中选中域名 ) 将防毒墙网络版服务器的域名注册到 DNS 或 WINS 服务器, 或将该域名和 IP 信息添加到客户端计算机的 {Windows 文件夹 }\system32\drivers\etc 文件夹中的 hosts 文件如果连接状态在客户机上为联机但在服务器上为脱机, 则请检查防毒墙网络版防火墙设置防火墙可能会阻止服务器到客户机的通信, 但是会允许客户机到服务器的通信如果连接状态在客户机上为联机但在服务器上为脱机, 则客户机的 IP 地址可能已更改, 但是其状态在服务器上还未更新 ( 例如, 重新加载客户机时 ) 可以尝试重新部署该客户机 1-18

防毒墙网络版简介受支持的操作系统的客户机功能组件防毒墙网络版客户机支持 Windows 2000 XP/Server 2003 (32 位和 64 位 ) 和 Vista 操作系统表 1-4 客户机功能组件功能 Windows 2000 Windows XP/Server 2003 (32 位 ) Windows XP/Server 2003 (64 位 ) Windows Vista 手动扫描实时扫描和预设扫描组件更新 ( 手动和预设更新 ) 更新代理 Web 站点信誉 Microsoft Outlook 邮件扫描防毒墙网络版防火墙损害清除服务 Cisco NAC 支持插件管理器漫游模式 1-19

趋势科技防毒墙网络版 8.0 管理员指南表 1-4 客户机功能组件功能 Windows 2000 Windows XP/Server 2003 (32 位 ) Windows XP/Server 2003 (64 位 ) Windows Vista SecureClient 支持防毒墙网络版组件与程序防毒墙网络版包括以下组件与程序 : 表 1-5 防毒墙网络版组件组件描述防病毒病毒码病毒扫描引擎 IntelliTrap 特征码 IntelliTrap 例外特征码帮助防毒墙网络版识别表示病毒存在的病毒特征 ( 独特模式位和字节 ) 的文件 ( 有关详细信息, 请参阅病毒码 ( 第 1-22 页 )) 对病毒 / 恶意软件进行扫描并采取适当处理措施的引擎 ; 支持 32 位和 64 位平台用于检测打包为可执行文件的实时压缩文件的文件包含批准的压缩文件列表的文件防间谍软件间谍软件特征码间谍软件扫描引擎识别以下位置中的间谍软件 / 灰色软件 : 文件和程序内存中的模块 Windows 注册表和 URL 快捷方式对间谍软件 / 灰色软件进行扫描并采取适当处理措施的引擎 ; 支持 32 位和 64 位平台 1-20

防毒墙网络版简介表 1-5 防毒墙网络版组件组件间谍软件主动监控特征码 Venus Spy Trap 引擎描述用于实时间谍软件 / 灰色软件扫描的文件注意 : 仅当同时激活防病毒和 Web 威胁防护服务时, 此组件才可用允许应用程序监控新的可执行文件, 并在发现间谍软件 / 灰色软件时删除间谍软件 / 灰色软件 ; 支持 32 位和 64 位平台注意 : 当仅激活 Web 威胁防护服务时, 此组件才可用如果同时激活防病毒和 Web 威胁防护服务, 此组件将不可用损害清除服务病毒清除引擎病毒清除模板引擎损害清除服务用于扫描及移除特洛伊木马和特洛伊木马进程 ; 支持 32 位和 64 位平台此模板由病毒清除引擎使用, 可帮助识别特洛伊木马文件和进程, 以便引擎可以清除它们防火墙通用防火墙驱动程序通用防火墙特征码与通用防火墙特征码结合使用, 以扫描客户端计算机中的网络病毒 ; 支持 32 位和 64 位平台此文件类似于病毒码, 可帮助防毒墙网络版识别表示病毒存在的病毒签名 ( 独特模式位和字节 ) Web 站点信誉 URL 过滤引擎可简化防毒墙网络版和趋势科技 URL 过滤服务之间的通信的引擎 URL 过滤服务是一个将 URL 分级并向防毒墙网络版提供分级信息的系统公共组件防 rootkit 驱动程序由间谍软件扫描引擎使用的内核方式驱动程序, 提供绕开任何由 rootkit 引起的潜在重定向的功能 ; 支持 32 位平台 1-21

趋势科技防毒墙网络版 8.0 管理员指南表 1-6 防毒墙网络版程序程序描述客户机程序防毒墙网络版客户机程序, 提供抵御安全风险的实际防护 ; 支持 32 位和 64 位平台 Cisco Trust Agent Hotfix 和安全修补程序用于启用客户机与路由器之间通信的支持 Cisco NAC 的程序 ; 仅当如果安装有面向 Cisco NAC 的策略服务器时才有效对客户相关问题或新发现的安全漏洞的工作区解决方案, 可以从趋势科技 Web 站点下载, 然后部署到防毒墙网络版服务器和 / 或客户机程序注意 : 除这些组件外, 防毒墙网络版客户机还从防毒墙网络版服务器接收更新的配置文件客户机需要这些配置文件应用新的设置每次通过 Web 控制台修改防毒墙网络版设置时, 配置文件也随之更改病毒码趋势科技病毒扫描引擎使用一个外部数据文件, 称为病毒码病毒码包括帮助防毒墙网络版识别最新病毒 / 恶意软件和混合攻击的信息趋势科技将每周创建和发布几次新版本的病毒码, 并将在发现有特殊损害性的病毒 / 恶意软件后随时创建和发布新版本所有使用 ActiveUpdate 功能的趋势科技产品可以在趋势科技服务器上检测病毒码新版本的可用性, 和 / 或自动轮询该服务器以获取最新文件提示 : 趋势科技建议预设至少每周自动更新一次, 这是所有产品的缺省设置 1-22

防毒墙网络版简介可以从以下 Web 站点下载病毒码和其他防毒墙网络版病毒码文件, 从中还可以找到当前版本发布日期和包括在该文件中的所有新病毒定义列表 : http://www.trendmicro.com/download/zh-cn/ 趋势科技扫描引擎所有趋势科技产品的核心是一个扫描引擎扫描引擎最初是为了响应早期的文件型计算机病毒而开发的, 现在已非常精密复杂, 并且能够检测互联网蠕虫病毒群发邮件特洛伊木马威胁网络钓鱼站点间谍软件网络利用以及病毒扫描引擎可检测两种类型的威胁 : 正在传播 : 正在积极传播已得到控制的 : 已控制的病毒, 不传播, 但是开发出来用于研究不是扫描每个文件的每个字节, 而是引擎和病毒码文件协同工作, 不仅识别病毒代码的指示特征, 还识别文件中病毒可能隐藏的精确位置防毒墙网络版可在检测到病毒 / 恶意软件后移除, 并恢复文件的完整性国际计算机安全组织 ( 包括 ICSA, 国际计算机安全协会 ) 每年都会证实趋势科技扫描引擎合格 1-23

趋势科技防毒墙网络版 8.0 管理员指南更新扫描引擎趋势科技通过将多数对时间灵敏的病毒 / 恶意软件信息存储在病毒码中, 能够将扫描引擎更新次数最小化, 同时还会将防护保持最新然而, 趋势科技将定期提供新的扫描引擎版本趋势科技将在以下情况下发布新的引擎 : 将新的扫描和检测技术纳入软件中发现扫描引擎无法处理的新的可能有害的病毒 / 恶意软件扫描性能的增强添加了文件格式脚本语言编码和 / 或压缩格式 Hotfix 修补程序和 Service Pack 在官方产品发布后, 趋势科技经常会开发出 Hotfix 修补程序和 Service Pack, 以解决问题, 增强产品性能以及添加新功能以下是趋势科技可能发布的项的摘要 : Hotfix: 单个客户报告的问题的变通方法或解决方法 Hotfix 特定于问题, 因此不会发布给所有客户 Windows Hotfix 包括一个安装程序, 而非 Windows Hotfix 没有 ( 通常需要停止守护程序, 复制文件以覆盖安装过程中其对应文件, 然后再重新启动守护程序 ) 安全修补程序 : 针对安全问题且适用于所有客户部署的 Hotfix Windows 安全修补程序包括一个安装程序, 而非 Windows 修补程序通常有一个安装脚本修补程序 : 一组解决多个程序问题的 Hotfix 和安全修补程序趋势科技会定期提供修补程序 Windows 修补程序包括一个安装程序, 而非 Windows 修补程序通常有一个安装脚本 1-24

防毒墙网络版简介 Service Pack: 足以成为产品升级的 Hotfix 修补程序和功能组件增强的组合 Windows 和非 Windows Service Pack 都包括一个安装程序和安装脚本您的供应商或技术支持提供商可能会在这些项可用时与您联系请访问趋势科技 Web 站点来获取有关新 Hotfix 修补程序和 Service Pack 发布的信息 : http://www.trendmicro.com/download/zh-cn/ 所有发布都包括一个包含有安装部署和配置信息的自述文件执行安装前, 请仔细阅读该自述文件注意 : 缺省情况下, 防毒墙网络版客户机可以安装 Hotfix 如果不想要客户机安装 Hotfix, 则请通过在 Web 控制台中转至联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 设置选项卡更改客户机更新设置安全风险安全风险是病毒 / 恶意软件间谍软件 / 灰色软件和 Web 威胁的统称防毒墙网络版可以保护计算机不受以下安全风险的危害 : 病毒和恶意软件现在有好几万个病毒 / 恶意软件, 每天还有更多的被创建出来虽然计算机病毒一度流行于 DOS 或 Windows, 如今, 通过利用企业网络电子邮件系统和 Web 站点的漏洞, 计算机病毒会导致更大量的损害表 1-7 病毒和恶意软件类型类型恶作剧程序描述象病毒一样的程序, 经常操纵计算机显示器上的内容 1-25

趋势科技防毒墙网络版 8.0 管理员指南表 1-7 病毒和恶意软件类型特洛伊木马病毒 ActiveX 恶意代码引导区病毒 COM 和 EXE 文件感染源 Java 恶意代码宏病毒类型 VBScript JavaScript 或 HTML 病毒蠕虫病毒测试病毒加壳软件描述可执行程序, 不复制, 而是驻留在系统上执行恶意行为, 例如为电脑黑客潜入打开端口特洛伊木马程序常常使用端口获得计算机的访问权声称要清除计算机里的病毒, 实际上将病毒入站计算机的应用程序, 就是特洛伊木马程序的一个示例传统的防病毒解决方案能检测和移除病毒, 但不能处理特洛伊木马, 尤其那些已经在系统上运行的特洛伊木马执行复制的程序要执行此操作, 病毒需要将自己附在其他程序文件中, 宿主程序一运行病毒就运行驻留在 Web 页面上执行 ActiveX 控件的代码感染分区或磁盘的引导区的病毒扩展名为.com 或.exe 的可执行程序用 Java 编写或嵌入在 Java 中独立于操作系统的病毒代码编码为应用程序的宏且通常包含在文档里的病毒驻留在 Web 页面上且通过浏览器下载的病毒一个独立程序 ( 或一组程序 ), 能将自身或片段的功能副本传播到其他计算机系统 ( 通常通过电子邮件 ) 行为类似真的病毒的无害文件, 病毒扫描软件可检测到使用测试病毒 ( 例如, EICAR 测试脚本 ) 以验证防病毒安装正在正常扫描压缩且 / 或加密的 Windows 或 Linux 可执行程序, 通常为特洛伊木马程序压缩可执行文件使得加壳软件更难以被防病毒产品检测到 1-26

防毒墙网络版简介网络病毒严格来说, 通过网络传播的病毒不是网络病毒上述病毒 / 恶意软件中, 只有部分 ( 例如, 蠕虫病毒 ) 称得上是网络病毒具体来说, 网络病毒使用网络协议 ( 例如,TCP FTP UDP HTTP 和电子邮件协议 ) 来复制它们通常不篡改系统文件或修改硬盘驱动器的引导区网络病毒感染客户端计算机的内存, 强制客户端用通信淹没网络, 引起延迟甚至网络完全瘫痪由于网络病毒保留在内存里, 因此一般的基于 I/O 的文件扫描方法通常检测不到防毒墙网络版防火墙使用通用防火墙特征码来识别和阻止网络病毒间谍软件和灰色软件您的计算机存在潜在威胁而没有病毒 / 恶意软件的风险间谍软件 / 灰色软件是指不能归类为病毒或特洛伊木马, 但是仍然可以对网络上的计算机性能产生不利影响, 并为贵组织带来重大安全机密和法律风险的应用程序或文件通常间谍软件 / 灰色软件将执行各种不受欢迎并有威胁性的操作, 如使用弹出窗口引起用户不愉快, 记录用户的击键, 以及将计算机漏洞暴露于攻击的威胁之下间谍软件 / 灰色软件的类型防毒墙网络版可检测以下间谍软件 / 灰色软件类型 : 表 1-8 间谍软件和灰色软件类型类型间谍软件广告软件描述收集数据 ( 如帐户用户名和密码信用卡号和其他机密信息 ), 并将这些数据传送给第三方显示广告并收集数据 ( 如, Web 冲浪首选项 ) 以用于将未来广告的目标指向用户 1-27

趋势科技防毒墙网络版 8.0 管理员指南表 1-8 间谍软件和灰色软件类型拨号程序恶作剧程序黑客工具远程访问工具密码破解应用程序其他类型更改客户机的互联网设置, 并强制计算机通过调制解调器拨打预配置的电话号码这些通常是按呼叫付费, 或者是会为贵组织产生高额费用的国际号码导致计算机行为异常, 例如, 打开和关闭 CD-ROM 托盘以及显示许多消息框帮助黑客进入计算机帮助黑客远程访问及控制计算机帮助破解帐户的用户名和密码其他类型的潜在恶意程序描述间谍软件 / 灰色软件进入网络的方式在用户下载在安装软件包中包括灰色软件应用程序的合法软件时, 间谍软件 / 灰色软件经常会进入公司网络大部分软件程序都包括最终用户授权合约书 (EULA), 用户在下载前必须接受此授权合约书通常, EULA 会包括有关该应用程序的信息及其收集个人数据的预期用途的信息 ; 但是, 用户经常不会注意到此信息, 或者不理解法律术语潜在风险和威胁如果网络上存在有间谍软件和其他类型的灰色软件, 将有导致以下后果的潜在可能 : 降低计算机性能 : 为完成它们的任务, 间谍软件 / 灰色软件应用程序经常需要大量的 CPU 和系统内存资源与 Web 浏览器相关的崩溃增加 : 某些类型的灰色软件 ( 例如, 广告程序 ), 经常会在一个浏览器框或窗口中显示信息根据这些应 1-28

防毒墙网络版简介用程序中的代码与系统进程交互的方式, 灰色软件有时可以导致浏览器崩溃或锁死, 甚至可能要求计算机重新启动降低用户效率 : 由于需要关闭经常出现的弹出广告及处理恶作剧程序的负面影响, 用户将不必要地打断他们的主要任务降低网络带宽 : 间谍软件 / 灰色软件应用程序通常会将它们收集的数据定期传送给运行在您网络上的其他应用程序或网络之外的其他位置丢失个人和公司信息 : 并非间谍软件 / 灰色软件应用程序收集的所有数据都如同用户访问的 Web 站点列表一样是无害的间谍软件 / 灰色软件还可以收集用户输入以访问他们个人帐户 ( 例如, 银行帐户 ) 和访问网络资源的公司帐户的用户名和密码更高的法律责任风险 : 如果您网络上的计算机资源被劫持, 黑客可能能够利用您的客户端计算机在您网络外的计算机上发动攻击或安装间谍软件 / 灰色软件如果您的网络资源参与这些类型的活动, 将可能使贵组织承担由其他方造成的损失而引发的法律责任预防间谍软件 / 灰色软件您可以采取许多方法阻止间谍软件 / 灰色软件安装到您的计算机上趋势科技建议坚持以下标准惯例 : 配置所有类型的扫描 ( 手动扫描实时扫描预设扫描和立即扫描 ) 以扫描和移除间谍软件 / 灰色软件文件和应用程序请参阅扫描类型 ( 第 2-22 页 ) 以获取详细信息培养您的客户机用户进行以下操作 : 对于他们要下载及安装到计算机上的应用程序, 阅读最终用户授权合约书 (EULA) 及所包括的文档 1-29

趋势科技防毒墙网络版 8.0 管理员指南对于要求授权以下载并安装软件的任何消息都单击否, 除非客户机用户确信该软件的创建者和他们查看的 Web 站点都可信不理会主动发送的商业电子邮件 ( 垃圾邮件 ), 特别是如果垃圾邮件要求用户单击某个按钮或超链接配置确保安全限制级别的 Web 浏览器设置趋势科技建议要求 Web 浏览器安装 ActiveX 控件之前提示用户要提高 Internet Explorer (IE) 的安全级别, 请转至工具 > Internet 选项 > 安全, 然后将滑块移动到较高级别如果此设置导致您要访问的站点出现问题, 请单击站点..., 然后将要访问的站点添加到受信任的站点列表如果使用 Microsoft Outlook, 请配置安全设置, 以便 Outlook 不会自动下载 HTML 项, 例如, 在垃圾邮件中发送的图片不允许使用对等文件共享服务间谍软件和其他灰色软件应用程序可能会伪装成用户可能要下载的其他类型的文件, 例如, MP3 音乐文件定期检查客户端计算机上安装的软件, 并仔细检查可能是间谍软件或其他灰色软件的应用程序如果发现某个应用程序或文件未被防毒墙网络版检测为灰色软件, 但您认为是某种类型的灰色软件, 请将其发送给趋势科技 : http://www.trendmicro.com/cn/support/subwizard/overview TrendLabs 将分析您提交的文件和应用程序将您的 Windows 操作系统始终更新到最新的 Microsoft 修补程序请参阅 Microsoft Web 站点以了解详细信息 1-30

防毒墙网络版简介网络钓鱼攻击网络钓鱼 (Phish 或 Phishing) 是一种正在迅速发展的欺诈形式, 它通过伪造合法的 Web 站点来试图欺骗 Web 用户以盗取私人信息通常情况下, 没有疑心的用户会收到一封听上去很紧急的 ( 并且看起来真实的 ) 电子邮件, 告诉他们现在他们的帐户出现了问题, 必须要立即解决以免帐户中止该电子邮件包含一个到看似真实的 Web 站点的 URL ( 复制合法的电子邮件和 Web 网点非常容易 ), 但是随后会更改所谓的后台 ( 即, 所收集数据的收件人 ) 该电子邮件提示用户登录到站点并确认一些帐户信息黑客会接收用户提供的数据, 如登录名密码信用卡号或社会安全号网络钓鱼欺诈快速便宜且易于维持它对于从事犯罪活动的那些罪犯也有相当大的潜在利润甚至是了解计算机的用户都难以察觉网络钓鱼执法部门也难以跟踪更糟的是无法对其起诉请向趋势科技报告怀疑是网络钓鱼站点的任一 Web 站点请参阅将可疑文件发送给趋势科技 ( 第 9-4 页 ) 以获取详细信息 1-31

趋势科技防毒墙网络版 8.0 管理员指南防毒墙网络版文档防毒墙网络版的文档集包括以下内容 : 安装与部署指南 :PDF 文档, 包括安装防毒墙网络版服务器和客户机的需求和过程管理员指南 :PDF 文档, 包含防毒墙网络版概述入门信息安全风险防护和防毒墙网络版管理联机帮助 : 编译为 WebHelp 格式的 HTML 文件, 提供操作指导使用建议和字段特定信息可通过防毒墙网络版服务器和客户机控制台访问联机帮助也有策略服务器控制台漏洞扫描程序工具和防毒墙网络版主安装程序的帮助文件自述文件 : 包含已知问题和基本安装步骤列表该文件可能还包含联机帮助或印刷文档中尚未包括的最新产品信息可以在 http://www.trendmicro.com/download/zh-cn/ 下载最新版本的安装与部署指南以及管理员指南 1-32

防毒墙网络版简介术语表 1-9 防毒墙网络版文档中使用的术语术语描述客户机客户端计算机客户机用户 ( 或用户 ) 服务器服务器计算机管理员 ( 或防毒墙网络版管理员 ) 安全风险产品服务防毒墙网络版客户机程序安装有防毒墙网络版客户机的计算机在客户端计算机上管理防毒墙网络版客户机的人防毒墙网络版服务器程序安装有防毒墙网络版服务器的计算机管理防毒墙网络版服务器的人病毒 / 恶意软件间谍软件 / 灰色软件和 Web 威胁的统称包括防病毒损害清除服务和 Web 威胁防护在防毒墙网络版安装过程中可以激活的所有功能防毒墙网络版服务由 Microsoft 管理控制台 (MMC) 托管的服务例如, 防毒墙网络版主服务 ofcservice.exe 程序组件包括防毒墙网络版客户机 Cisco Trust Agent 和插件管理器负责对安全风险进行扫描删除和采取处理措施 1-33

趋势科技防毒墙网络版 8.0 管理员指南 1-34

防毒墙网络版入门第 2 章本章中的主题 : Web 控制台 ( 第 2-1 页 ) 防毒墙网络版域 ( 第 2-3 页 ) 代理服务器设置 ( 第 2-4 页 ) 组件更新 ( 第 2-6 页 ) 扫描设置 ( 第 2-22 页 ) Web 站点信誉配置 ( 第 2-37 页 ) Web 控制台 Web 控制台是监控整个企业网络中的防毒墙网络版的中心点该控制台提供一组缺省设置和缺省值, 您可以根据安全需求和规范来配置这些缺省设置和缺省值 Web 控制台使用标准的互联网技术, 如 Java CGI HTML 和 HTTP 2-1

趋势科技防毒墙网络版 8.0 管理员指南可以使用 Web 控制台执行以下操作 : 管理在联网计算机上安装的客户机将客户机聚集在逻辑域中以便同时配置和管理设置扫描配置并在单个或多个联网计算机上调用手动扫描接收有关网络中安全风险的通知并查看由客户机发送的日志使用电子邮件寻呼机和 SNMP Trap 发布爆发从网络中安装有所需的 Web 浏览器和通信协议的任一计算机中打开 Web 控制台在 Web 浏览器上, 根据防毒墙网络版服务器安装的类型在地址栏中键入以下内容之一 : 在缺省站点上无 SSL:http://{ 防毒墙网络版服务器 }/OfficeScan 在虚拟站点上无 SSL:http://{ 防毒墙网络版服务器 }:{ 端口号 }/ OfficeScan 在缺省站点上有 SSL:https://{ 防毒墙网络版服务器 }/OfficeScan 在虚拟站点上有 SSL:https://{ 防毒墙网络版服务器 }:{ 端口号 }/ OfficeScan 注意 : 如果从先前版本的防毒墙网络版升级, 则 Web 浏览器和代理服务器缓存文件可能妨碍防毒墙网络版 Web 控制台正常加载在浏览器和位于防毒墙网络版服务器和用来访问 Web 控制台的计算机之间的代理服务器上清除缓存内存 2-2

防毒墙网络版入门防毒墙网络版域防毒墙网络版中的域是一组共享相同配置运行相同任务的客户机通过将客户机分组为域, 可以同时对所有域成员配置管理和应用相同的配置图 2-1 带有域列表的防毒墙网络版客户机树为简化管理, 根据部门或所执行的功能对客户机分组另外, 对更易受感染的客户机进行分组, 以对它们应用更安全的配置防毒墙网络版域与 Microsoft Windows 域不同一个 Microsoft Windows 域中可以有几个防毒墙网络版域缺省情况下, 防毒墙网络版模拟网络上的域客户机树中的域名和客户机名与网络中的域名和计算机名同名防毒墙网络版还根据网络上的域结构分配客户机可以删除或重命名防毒墙网络版创建的域创建一个新域或将客户机从一个域转移到另一个域 2-3

趋势科技防毒墙网络版 8.0 管理员指南提示 : 也可以通过现有的 NetBIOS Windows Active Directory 或 DNS 域对客户机进行分组要使用此设置, 请在 Web 控制台中转至联网计算机 > 全局客户机设置 > 客户机分组代理服务器设置可以配置防毒墙网络版服务器以在连接到 ActiveUpdate 服务器时使用互联网代理服务器设置来更新组件类似地, 可以配置客户机以在与服务器通信和更新组件时使用内部网代理服务器设置更新组件时客户机可以使用的其他设置包括自动代理服务器设置和用户配置的代理服务器设置 ( 如果授予用户配置代理服务器设置的权限 ) 用于服务器组件更新的代理服务器要配置服务器以使用代理服务器访问互联网和连接到 ActiveUpdate 服务器, 请转至管理 > 代理服务器设置 > Internet 代理服务器有关服务器组件更新的详细信息, 请参阅服务器更新 ( 第 2-8 页 ) 2-4

防毒墙网络版入门用于客户机组件更新的代理服务器防毒墙网络版客户机在自动更新过程中或执行立即更新时使用代理服务器设置有关自动更新和立即更新的详细信息, 请参阅客户机更新方法 ( 第 2-15 页 ) 表 2-1 客户机组件更新过程中使用的代理服务器设置更新方法使用的代理服务器设置用法自动更新立即更新在联网计算机 > 全局客户机设置中配置的自动代理服务器设置在管理 > 代理服务器设置 > Intranet 代理服务器选项卡中配置的内部网代理服务器设置在联网计算机 > 全局客户机设置中配置的自动代理服务器配置设置用户配置的代理服务器设置可以在联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡中授予用户配置代理服务器设置的权限防毒墙网络版客户机将首先使用自动代理服务器设置来更新组件如果未启用自动代理服务器设置, 则将使用内部网代理服务器设置如果两种设置都禁用, 则客户机将不使用任何代理服务器设置防毒墙网络版客户机将首先使用自动代理服务器设置来更新组件如果未启用自动代理服务器设置, 则将使用用户配置的代理服务器设置如果两种配置都禁用, 或者如果禁用了自动代理服务器设置且客户机用户没有所需的权限, 则更新组件时客户机将不使用任何代理服务器 2-5

趋势科技防毒墙网络版 8.0 管理员指南组件更新要帮助确保客户机处于不受最新安全风险危害的状态, 请定期更新防毒墙网络版组件有关其他组件的信息, 请参阅防毒墙网络版组件与程序 ( 第 1-20 页 ) 要配置防毒墙网络版以更新组件, 请执行以下操作 : 1. 更新服务器请参阅服务器更新 ( 第 2-8 页 ) 2. 分配特定客户机以充当更新代理, 并配置设置 ( 有关详细信息, 请参阅更新代理 ( 第 2-12 页 )) 3. 更新客户机请参阅客户机更新 ( 第 2-14 页 ) 更新源选择更新源时, 请考虑客户机和更新源之间的网络部分的带宽 ( 有关更新如何影响网络通信的详细信息, 请参阅安装与部署指南 ) 下表描述了不同的组件更新选项和建议使用它们的时间表 2-2 组件更新选项更新选项描述建议 ActiveUpdate 服务器 >> 防毒墙网络版服务器 >> 客户机 ActiveUpdate 服务器 >> 防毒墙网络版服务器 >> 更新代理 >> 客户机防毒墙网络版服务器将从 ActiveUpdate 服务器 ( 或其他更新源 ) 接收更新的组件, 并将在客户机上启动组件更新防毒墙网络版服务器将从 ActiveUpdate 服务器 ( 或其他更新源 ) 接收更新的组件, 并将在客户机上启动组件更新然后充当更新代理的客户机将通知客户机更新组件如果防毒墙网络版服务器和客户机之间的网络无低带宽部分, 则使用此方法如果防毒墙网络版服务器和客户机之间的网络有低带宽部分, 则使用此方法以平衡网络上的网络通信负载 2-6

防毒墙网络版入门表 2-2 组件更新选项更新选项描述建议 ActiveUpdate 服务器 >> 更新代理 >> 客户机 ActiveUpdate 服务器 >> 客户机更新代理将直接从 ActiveUpdate 服务器 ( 或其他更新源 ) 接收更新的组件, 并通知客户机更新组件防毒墙外客户机直接从 ActiveUpdate 服务器 ( 或其他更新源 ) 处接收更新的组件仅当在从防毒墙网络版服务器或其他更新代理更新更新代理的过程中遇到问题时, 使用此方法在多数情况下, 更新代理从防毒墙网络版服务器或其他更新代理处接收更新的速度比从外部更新源处接收的速度快仅当在从防毒墙网络版服务器或其他更新代理更新客户机的过程中遇到问题时, 使用此方法在多数情况下, 客户机从防毒墙网络版服务器或更新代理处接收更新的速度比从外部更新源处接收的速度快组件复制可以从趋势科技 ActiveUpdate 服务器下载最新版本的完整病毒码文件时, 也可以下载 14 个增量病毒码增量病毒码是完整病毒码文件的较小版本, 说明了最新病毒码文件版本和先前完整的病毒码文件版本之间的差异例如, 如果最新版本为 175, 则增量病毒码 v_173.175 包括在 V175 中但不在 V173 中的签名 ( 由于发布的病毒码编号增量为 2, 因此 V173 是前一完整病毒码版本 ) 增量病毒码 v_171.175 包括在 V175 中但不在 V171 中的签名要减少下载最新病毒码时产生的流量, 防毒墙网络版会执行组件复制, 这是一种组件更新方法, 其中防毒墙网络版服务器和更新代理只下载增量病毒码 2-7

趋势科技防毒墙网络版 8.0 管理员指南组件复制适用于以下组件 : 病毒码间谍软件特征码间谍软件主动监控特征码病毒清除模板 IntelliTrap 例外特征码有关防毒墙网络版服务器和更新代理的组件复制原理, 请参阅以下各节 : 防毒墙网络版服务器的组件复制过程 ( 第 2-9 页 ) 更新代理的组件复制过程 ( 第 2-14 页 ) 服务器更新通常, 趋势科技仅在防毒墙网络版新版本发布过程中更新扫描引擎但是, 趋势科技会定期发布病毒码文件以保持您的客户机防护为最新由于定期提供病毒码文件更新, 因此防毒墙网络版将使用一个名称为组件复制的机制, 该机制允许更快速地下载病毒码文件请参阅更新代理 ( 第 2-12 页 ) 以获取详细信息趋势科技建议每天更新以确保服务器和客户机都有最新的组件如果使用代理服务器连接到互联网, 则请确保已适当配置代理服务器设置以成功下载更新要配置代理服务器设置, 请转至管理 > 代理服务器设置更新后, 在日志 > 服务器更新日志中验证服务器更新日志 2-8

防毒墙网络版入门服务器更新方法防毒墙网络版将为您提供服务器的以下组件更新方法 : 预设更新 : 配置服务器以基于时间表检查更新源和自动下载任何可用的更新要配置预设的更新设置, 请转至更新 > 服务器 > 预设更新手动更新 : 趋势科技建议安装 / 升级防毒墙网络版服务器后和有爆发时手动更新服务器组件要手动更新服务器, 请转至更新 > 服务器 > 手动更新或单击主菜单顶部的立即更新服务器服务器更新源配置服务器以从趋势科技 ActiveUpdate 服务器或另一个源下载防毒墙网络版组件 ( 更新 > 服务器 > 更新源 ) 服务器下载任何可用更新后, 可以基于在更新 > 联网计算机 > 自动更新中指定的设置, 自动通知客户机更新其组件如果组件更新非常重要, 则允许用户通过转至更新 > 联网计算机 > 手动更新立即通知客户机注意 : 如果在更新 > 联网计算机 > 自动更新中未指定部署时间表或事件触发的更新设置, 则服务器将下载更新但不通知客户机更新防毒墙网络版服务器的组件复制过程有可用的新版本时立即更新组件可减小组件复制对服务器性能的影响因此, 请确保定期下载组件为帮助说明服务器的组件复制, 请参考以下场景 : 2-9

趋势科技防毒墙网络版 8.0 管理员指南表 2-3 组件复制场景防毒墙网络版服务器上的完整病毒码 ActiveUpdate 服务器上的最新版本当前版本 : 171 其他可用版本 : 169 167 165 163 161 159 完整病毒码版本 : 175 增量病毒码 : 173.175 171.175 169.175 167.175 165.175 163.175 161.175 159.175 157.175 155.175 153.175 151.175 149.175 147.175 1. 防毒墙服务器将其当前完整病毒码版本与 ActiveUpdate 服务器上的最新版本进行比较如果两个版本之差小于或等于 14, 则服务器只下载代表两个版本之差的增量病毒码注意 : 如果此差值大于 14, 则服务器自动下载完整版本的病毒码文件和 14 个增量病毒码基于示例说明 : V171 与 V175 之差为 2 换言之, 服务器没有 V173 和 V175 服务器将下载增量病毒码 171.175 此增量病毒码代表 V171 和 V175 之间的差异 2. 服务器将该增量病毒码和其当前完整病毒码合并以生成最新的完整病毒码基于示例说明 : 在服务器上, 防毒墙网络版将 V171 与增量病毒码 171.175 合并以生成 V175 服务器有 1 个增量病毒码 (171.175) 和最新的完整病毒码 (V175) 2-10

防毒墙网络版入门 3. 服务器基于服务器上可用的其他完整病毒码生成增量病毒码如果服务器不生成这些增量病毒码, 错过下载较早增量病毒码的客户机将自动下载完整病毒码文件, 这将造成更大的网络流量基于示例说明 : 由于服务器具有病毒码 V169 V167 V165 V163 V161 和 V159, 因此它可以生成以下增量病毒码 : 169.175 167.175 165.175 163.175 161.175 159.175 服务器不需要使用 V171, 因为它已经具有增量病毒码 171.175 现在, 服务器有 7 个增量病毒码 : 171.175 169.175 167.175 165.175 163.175 161.175 159.175 服务器保留这最新的 7 个完整病毒码版本 (V175 V171 V169 V167 V165 V163 和 V161) 并去除任何旧版本 (V159) 4. 服务器将其当前增量病毒码与 ActiveUpdate 服务器上可用的增量病毒码进行比较服务器下载它没有的增量病毒码基于示例说明 : ActiveUpdate 服务器有 14 个增量病毒码 : 173.175 171.175 169.175 167.175 165.175 163.175 161.175 159.175 157.175 155.175 153.175 151.175 149.175 147.175 2-11

趋势科技防毒墙网络版 8.0 管理员指南防毒墙网络版服务器有 7 个增量病毒码 : 171.175 169.175 167.175 165.175 163.175 161.175 159.175 防毒墙网络版服务器下载其他 7 个增量病毒码 : 173.175 157.175 155.175 153.175 151.175 149.175 147.175 现在, 服务器有 ActiveUpdate 服务器上可用的所有增量病毒码 5. 最新的完整病毒码和 14 个增量病毒码已提供给客户机更新代理如果认识到客户机和防毒墙网络版服务器之间的网络的低带宽或大流量部分, 则可以将防毒墙网络版客户机分配为充当更新代理, 或充当其他客户机的更新源这将帮助分摊向所有客户机部署组件的负担如果网络按位置分段, 且各段之间的网络链路流量负载较大, 则趋势科技建议在每个段上至少允许一台客户机充当更新代理 2-12

防毒墙网络版入门更新代理的需求和详细信息表 2-4. 更新代理的系统需求资源操作系统硬件更新请求容量需求 Windows 2000 XP Server 2003 和 Vista 处理器 :800MHz Intel Pentium 或其相当的处理器内存 : 512MB (Windows 2000 XP 和 Server 2003) 1GB (Windows Vista) 可用磁盘空间 :700MB 其他 : 颜色为 256 或更高时支持分辨率为 800 x 600 的显示器取决于计算机的硬件规格更新代理配置 1. 在联网计算机 > 客户机管理 > 设置 > 更新代理设置中授予客户机充当更新代理的权限 2. 选择一个更新代理可以用于接收更新组件的更新源要启用更新代理以从防毒墙网络版服务器处获取组件更新, 请转至更新 > 联网计算机 > 更新源注意 : 与防毒墙网络版服务器类似, 更新代理也可在下载组件时使用组件复制请参阅更新代理 ( 第 2-12 页 ) 以获取详细信息 2-13

趋势科技防毒墙网络版 8.0 管理员指南 3. 在更新 > 联网计算机 > 更新源 > 定制的更新源列表中, 指定将从更新代理更新的客户机, 然后分配相应的更新代理注意 : 单个更新代理可以处理的并行客户机连接的数量取决于计算机的硬件规格更新代理的组件复制过程 1. 更新代理将其当前完整病毒码版本与更新源上的最新版本进行比较如果两个版本之差小于或等于 14, 则更新代理只下载代表两个版本之差的增量病毒码注意 : 如果此差值大于 14, 则更新代理自动下载完整版本的病毒码文件 2. 更新代理将其下载的增量病毒码和其当前完整病毒码合并以生成最新的完整病毒码 3. 更新代理下载更新源上的所有剩余增量病毒码 4. 最新的完整病毒码和所有 14 个增量病毒码已提供给客户机客户机更新要确保客户机处于不受最新安全风险危害的状态, 请定期更新客户机组件有关防毒墙网络版组件的列表, 请参阅防毒墙网络版组件与程序 ( 第 1-20 页 ) 不能从 Web 控制台的更新菜单中升级防毒墙网络版程序注意 : 有关防毒墙网络版客户机程序升级的信息, 请参阅安装与部署指南要升级 Cisco Trust Agent, 请转至 Cisco NAC > 代理部署 2-14

防毒墙网络版入门除组件外, 防毒墙网络版客户机在客户机更新过程中还自动接收更新过的配置文件客户机需要这些配置文件应用新的设置每次通过 Web 控制台修改防毒墙网络版设置时, 配置文件也随之更改更新客户机前, 请验证服务器的组件为最新有关如何更新服务器的信息, 请参阅服务器更新 ( 第 2-8 页 ) 客户机更新方法可以使用自动或手动更新在客户机上启动组件更新还可以授予用户手动更新客户机组件的权限自动更新 : 趋势科技建议您始终使用自动更新它可移除置于执行手动更新的客户机上的负担, 并可消除客户端计算机没有最新组件的风险要配置自动更新设置, 请转至更新 > 联网计算机 > 自动更新还可以配置客户机在自动更新过程中使用代理服务器设置有关详细信息, 请参阅用于服务器组件更新的代理服务器 ( 第 2-4 页 ) 事件触发更新 : 服务器可以通知联机客户机在下载最新组件后更新组件, 还可以在脱机客户机重新启动并连接到服务器时通知它们 ( 可选 ) 更新后在客户端计算机上启动立即扫描 ( 手动扫描 ) 注意 : 如果防毒墙网络版服务器在下载组件后, 无法向客户机成功发送更新通知, 则会在 15 分钟自动重新发送通知服务器在客户机响应之前, 会连续发送更新通知, 最多 5 次如果第五次尝试未成功, 则服务器会停止发送通知使客户机在重新启动并连接到防毒墙网络版服务器时启动组件更新 ( 漫游客户机除外 ), 如果选择该选项更新组件, 则组件更新将仍然继续 2-15

趋势科技防毒墙网络版 8.0 管理员指南基于时间表更新 : 带有执行预设更新权限的客户机会根据指定的时间表检查更新的客户机更新源指定时间表前, 请选择可以执行预设更新的客户机要向选定的客户机授予启用 / 禁用预设更新的权限, 请转至联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡 > 组件更新权限授予权限时, 缺省设置为启用预设更新如果客户机用户从客户机控制台禁用预设更新, 则更新将不会在指定的更新日期和时间继续要自动启用预设更新而无需客户机用户干预, 请转到联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 其他设置选项卡 > 更新设置有关将基于时间表更新与网络地址转换一起使用的信息, 请参阅使用 NAT 的客户机预设更新 ( 第 2-18 页 ) 手动更新 : 要启用手动更新, 请转至更新 > 联网计算机 > 手动更新趋势科技建议客户机组件严重过时和有爆发时手动更新客户机组件客户机较长时间无法从更新源更新组件时, 客户机组件将严重过时在客户机上立即更新 : 要向客户机用户授予手动更新客户机组件的权限, 请转至联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡 > 组件更新权限授予该权限后, 客户机用户右键单击系统托盘内的防毒墙网络版客户机图标时, 可以使用立即更新选项还可以允许客户机以在立即更新过程中使用代理服务器设置有关详细信息, 请参阅用于服务器组件更新的代理服务器 ( 第 2-4 页 ) 2-16

防毒墙网络版入门客户机更新源客户机将从在更新 > 联网计算机 > 更新源中指定的更新源获取更新可以选择防毒墙网络版服务器或定制的更新源更新源优先级如果防毒墙网络版客户机无法从选定的更新源更新, 则会尝试其他源更新源优先级如下 : 1. 首先是定制的更新源列表中的第一项 ( 如果从定制的源更新 ), 接下来为第二项, 以此类推 2. 防毒墙网络版服务器 ( 如果选择直接从标准更新源更新, 或在所有定制的更新源不可用的情况下, 如果选择从防毒墙网络版服务器更新 ) 3. 趋势科技 ActiveUpdate 服务器这是最后可用的更新源如果客户端计算机已有互联网连接, 则可直接从趋势科技 ActiveUpdate 服务器更新组件有两种方法可实施此选项 : a. 通过转到联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 其他设置选项卡 > 更新设置, 将 ActiveUpdate 服务器用作备份源 b. 强制客户机从 ActiveUpdate 服务器 ( 作为首选 ) 更新要执行此操作, 请在更新 > 联网计算机 > 更新源中将 ActiveUpdate 服务器添加到定制的更新源列表, 并确保其位于该列表的顶部将 ActiveUpdate 服务器作为更新源添加时, 您需要其 URL, 如下所示 : http://www.trendmicro.com/download/zh-cn/ 不能从浏览器打开此 URL 2-17

趋势科技防毒墙网络版 8.0 管理员指南提示 : 趋势科技建议您将 ActiveUpdate 服务器用作备份源强制所有客户机持续从 ActiveUpdate 服务器 ( 作为首选 ) 更新可极大地降低本地网络与 Internet 之间的网络带宽耗用趋势科技建议您仅当从防毒墙网络版服务器或更新代理更新遇到问题时使用此选项使用 NAT 的客户机预设更新如果网络使用网络地址转换 (NAT), 则会出现以下问题 : 客户机在 Web 控制台上将显示为脱机防毒墙网络版服务器无法成功通知客户机更新和配置更改可以通过使用预设更新将更新的组件和配置文件从服务器部署到客户机来解决这些问题执行以下操作 : 在客户端计算机上安装防毒墙网络版客户机之前 : 在更新 > 联网计算机 > 自动更新 > 基于时间表更新中配置客户机更新时间表在联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡 > 组件更新权限中授予客户机启用预设更新的权限如果在客户端计算机上已存在防毒墙网络版客户机 : 在联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡 > 组件更新权限中给于客户机执行立即更新的权限指导用户手动更新客户端计算机上的组件 ( 通过右键单击系统托盘中的防毒墙网络版图标, 然后单击立即更新 ) 以获取更新的配置设置客户机更新时, 会收到更新的组件和配置文件 2-18

防毒墙网络版入门组件更新权限和设置在联网计算机 > 客户机管理 > 设置 > 权限和其他设置中为选定的客户机配置更新权限和设置权限表 2-5 选定客户机用户的组件更新权限选项描述客户机控制台导航执行立即更新允许客户机用户手动更新客户机组件右键单击系统托盘上的防毒墙网络版图标, 然后单击立即更新启用预设更新允许客户机用户启用 / 禁用预设更新尽管用户具有启用 / 禁用预设更新的权限, 但没有配置实际时间表的权限必须在更新 > 联网计算机 > 自动更新 > 基于时间表更新中指定时间表右键单击系统托盘上的防毒墙网络版图标, 然后单击 { 启用 / 禁用 } 预设更新其他设置表 2-6 选定客户机用户的组件更新设置选项客户机从趋势科技 ActiveUpdate 服务器下载更新描述启动更新时, 防毒墙网络版客户机首先从更新 > 联网计算机 > 更新源窗口中指定的更新源中获取更新如果更新失败, 则客户机尝试从防毒墙网络版服务器更新如果从防毒墙网络版服务器更新失败, 则选择此选项可使客户机能够尝试从趋势科技 ActiveUpdate 服务器更新客户机控制台导航无 2-19

趋势科技防毒墙网络版 8.0 管理员指南表 2-6 选定客户机用户的组件更新设置选项启用预设更新客户机可以更新组件, 但不能升级客户机程序也不能部署 Hotfix 描述此选项允许您启用 / 禁用选定客户机上的预设更新此选项允许组件更新继续, 但是阻止使用所有升级方法部署 Hotfix 和升级客户机如果不选择此选项, 则所有客户机将同时连接到服务器以升级或安装 Hotfix 如果有很多客户机, 则这可能大大影响服务器性能如果选择此选项, 则计划如何将客户机升级或 Hotfix 在服务器上部署的影响最小化, 然后再执行您的计划有关客户机升级方法的详细信息, 请参阅安装与部署指南客户机控制台导航无无 2-20

防毒墙网络版入门关于权限选项卡和其他设置选项卡中启用预设更新选项的注释有两种在选定客户机上启用 / 禁用预设更新的方法授予客户机启用 / 禁用预设更新的权限自己启用 / 禁用预设更新而没有任何用户的打扰可以选择一个或同时选择两个选项有关这些选项的工作原理的信息, 请参阅下面的两个表表 2-7 预设更新场景 1 预设更新选项状态结果在权限选项卡上在其他设置选项卡上已启用 ( 用户具有启用 / 禁用预设更新的权限 ) 已启用或已禁用如果客户机用户禁用预设更新, 则在更新时间表指定的时间内, 防毒墙网络版客户机将不会更新组件否则, 更新将继续表 2-8 预设更新场景 2 预设更新选项状态结果在权限选项卡上已禁用在更新时间表指定的时间内, 防毒墙网络版客户机将更新组件在其他设置选项卡上已启用 2-21

趋势科技防毒墙网络版 8.0 管理员指南组件还原还原是指恢复到先前的病毒码或病毒扫描引擎版本如果这些组件未正常运行, 则将它们还原到其先前的版本防毒墙网络版保留病毒扫描引擎的当前版本和前一版本, 以及病毒码的最近五个版本注意 : 可以只还原病毒码和病毒扫描引擎防毒墙网络版将对运行 32 位和 64 位平台的客户机使用不同的扫描引擎需要分别还原这些扫描引擎所有类型的扫描引擎的还原过程都相同要还原组件, 请转至更新 > 还原扫描设置要配置扫描设置, 请在 Web 控制台上转至联网计算机 > 客户机管理 > 设置 > { 扫描类型 } 在联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡 > { 防病毒 / 反间谍软件权限 } 中授予客户机用户配置扫描设置的权限扫描类型防毒墙网络版将提供多种扫描类型以保护您的客户机不受病毒 / 恶意软件和间谍软件 / 灰色软件的危害实时扫描防毒墙网络版实时扫描文件如果防毒墙网络版没有检测到安全风险, 则用户可以继续打开或保存文件如果防毒墙网络版检测到一个安全风险, 则显示内容为文件名和特定安全风险的通知消息可以配置将在通知 > 客户机用户通知中显示的通知消息 2-22

防毒墙网络版入门手动扫描用户在客户机控制台中启动对病毒 / 恶意软件的手动扫描后, 手动扫描会立即开始扫描时间的长度取决于要扫描文件的数量及客户端计算机的硬件资源间谍软件 / 灰色软件的扫描时间和范围取决于您或 ( 具有手动扫描配置权限的 ) 客户机用户指定的扫描方法可以在 Web 控制台的手动扫描设置页中选择使用的扫描方法预设扫描预设扫描和手动扫描的扫描行为相似唯一的区别是预设扫描在预设的日期和时间自动运行使用预设扫描在客户机上使例行任务扫描自动化并提高扫描管理效率立即扫描立即扫描和手动扫描是同一类型的扫描唯一的不同是您使用 Web 控制台远程启动立即扫描, 而用户在其客户端计算机上本地运行手动扫描 2-23

趋势科技防毒墙网络版 8.0 管理员指南病毒 / 恶意软件扫描本部分为您提供可用的病毒 / 恶意软件扫描选项和设置病毒 / 恶意软件扫描条件防毒墙网络版将提供以下病毒 / 恶意软件扫描条件 : 表 2-9 病毒 / 恶意软件扫描条件扫描条件选项和描述扫描类型要扫描的文件选择一个 : 所有可扫描文件 : 扫描用户打开或保存的所有文件所有类型已由 IntelliScan 扫描的文件类型 : 只扫描已知可能包含恶意代码的文件, 甚至是用无害扩展名伪装的文件仅带有指定的扩展名的文件扫描设置多个选择 : 扫描引导区 : 扫描客户端计算机硬盘的引导区扫描网络上的映射驱动器和共享文件夹 : 扫描任何映射到客户端计算机的网络驱动器或文件夹扫描隐藏文件夹启用 IntelliTrap: 阻止实时压缩可执行文件并将其与其他恶意软件特征配对不扫描层数多于指定压缩层数的压缩文件在系统关闭期间扫描软盘 CPU 使用率选择一个 : 高 : 不间断连续扫描文件中 : 文件扫描时有短暂的暂停手动扫描预设扫描立即扫描手动扫描实时扫猫手动扫描所有类型所有类型实时扫描手动扫描预设扫描立即扫描低 : 文件扫描时有较长的暂停 2-24

防毒墙网络版入门表 2-9 病毒 / 恶意软件扫描条件扫描条件选项和描述扫描类型用户对要扫描的文件执行的活动选择一个 : 扫描正在创建 / 修改的文件扫描正在检索的文件扫描正在创建 / 修改和检索的文件有关用户活动的示例, 请参阅表 2-10 实时扫描时间表选择一个 ( 然后选择扫描开始时间 ): 每日一次预设扫描每周一次每月一次表 2-10 基于用户活动的实时扫描行为如果选定的选项是... 活动扫描正在创建 / 修改的文件扫描正在检索的文件扫描正在创建 / 修改和检索的文件打开只读文件实时扫描未扫描该文件实时扫描扫描该文件实时扫描扫描该文件从排除扫描的目录中复制或移动文件实时扫描将在目标目录中扫描该文件 ( 如果防毒墙网络版没有排除此目录免于扫描 ) 实时扫描未扫描目标目录中的文件实时扫描将在目标目录中扫描该文件 ( 如果防毒墙网络版没有排除此目录免于扫描 ) 2-25

趋势科技防毒墙网络版 8.0 管理员指南病毒 / 恶意软件扫描例外要提高扫描性能和跳过可引起假警报的扫描文件, 可以排除特定文件文件扩展名和目录手动扫描实时扫描预设扫描和立即扫描都有其单独的例外列表要配置扫描例外设置, 请转至联网计算机 > 客户机管理 > 设置 { 扫描类型 } 对于手动扫描预设扫描和立即扫描, 请转至病毒 / 恶意软件选项卡 > 扫描例外对于实时扫描, 请转至目标选项卡 > 扫描例外防毒墙网络版可在扫描中排除以下趋势科技产品的目录如果有一个趋势科技产品未列在下面, 则可以手动将产品目录添加到扫描例外列表防毒墙群件版 for Microsoft Exchange ( 除 V7 外的所有版本 ) 注意 : 如果使用 V7, 则可以将以下文件夹添加到例外列表 : \Smex\Temp \Smex\Storage \Smex\ShareResPool\ ScanMail emanager 3.11 5.1 5.11 5.12 面向 Lotus Notes emanager NT 的防毒墙群件版趋势科技防毒墙邮件安全版 InterScan Web Security Suite InterScan Web Protect InterScan VirusWall 3.53 InterScan FTP VirusWall 2-26

防毒墙网络版入门 InterScan Web VirusWall InterScan E-mail VirusWall InterScan NSAPI 插件 InterScan emanager 3.5x 注意 : 还可以通过转至联网计算机 > 全局客户机设置 > 病毒 / 恶意软件扫描设置配置防毒墙网络版, 以将 Microsoft Exchange 2000/2003 目录从手动扫描实时扫描预设扫描和立即扫描中排除对于 Microsoft Exchange 2007, 需要手动将目录添加到扫描例外列表有关扫描例外的详细信息, 请参考 http://technet.microsoft.com/en-us/library/bb332342.aspx 全局病毒 / 恶意软件扫描设置在联网计算机 > 全局客户机设置中配置全局病毒 / 恶意软件扫描设置表 2-11 全局病毒 / 恶意软件扫描设置设置配置大型压缩文件的扫描设置描述防毒墙网络版将检查文件大小和病毒 / 恶意软件计数限制以确定是否要扫描包含在压缩文件中的单个文件如果解压缩后文件大小超过 MB, 则不对其进行扫描 : 防毒墙网络版不扫描任何超过限制的文件防毒墙网络版检测到第个压缩文件中的病毒 / 恶意程序后即停止扫描 : 防毒墙网络版已检测到指定数量的病毒 / 恶意软件时, 将停止扫描压缩文件中剩余的未扫描文件压缩文件中检测到的大量病毒 / 恶意软件造成了很大的威胁, 并导致访问文件不安全请考虑手动删除压缩文件, 而不是使病毒扫描引擎对压缩文件中包含的每个被感染文件都采取处理措施清除压缩文件中的病毒 : 对压缩文件中检测到的病毒 / 恶意软件的扫描处理措施为清除 2-27

趋势科技防毒墙网络版 8.0 管理员指南表 2-11 全局病毒 / 恶意软件扫描设置设置最多扫描个 OLE 层将手动扫描添加到客户端计算机的 Windows 快捷菜单中从实时扫描中排除防毒墙网络版服务器数据库文件夹扫描中排除 Microsoft Exchange 服务器文件夹描述通过对象链接与嵌入 (OLE), 用户可以用一个应用程序创建对象, 然后将这些对象链接到或嵌入第二个应用程序启用此选项使用户可以通过右键单击 Windows 桌面上或 Windows 资源管理器内的文件或文件夹, 然后单击使用防毒墙网络版客户机扫描来扫描文件和文件夹缺省情况下, 防毒墙网络版不扫描自己的数据库趋势科技建议保持此设置以防止在扫描过程中可能发生的任何对数据库可能的任何损坏在手动扫描实时扫描预设扫描和立即扫描的过程中, 防毒墙网络版不会扫描 Microsoft Exchange 2000/2003 服务器文件夹中是否有病毒 / 恶意软件如果使防病毒和 Web 威胁防护服务同时激活, 启用此选项也不会在实时扫描过程中扫描 Microsoft Exchange 文件夹中是否有间谍软件 / 灰色软件注意 : 对于 Microsoft Exchange 2007 文件夹, 需要手动将这些文件夹添加到扫描例外列表有关扫描例外的详细信息, 请参考 http://technet.microsoft.com/en-us/library/bb332342.a spx, 有关该过程的信息, 请参阅病毒 / 恶意软件扫描例外 ( 第 2-26 页 ) 病毒 / 恶意软件扫描处理措施防毒墙网络版可以基于在联网计算机 > 客户机管理 > 设置 > { 扫描类型 } > 处理措施选项卡中指定的扫描设置针对病毒 / 恶意软件采取各种处理措施可以使用 ActiveAction ( 趋势科技建议的扫描处理措施 ) 或为每个病毒 / 恶意软件类型都定制扫描处理措施如果选择 ActiveAction, 则不再需要为每个病毒 / 恶意软件类型都指定扫描处理措施有关每个病毒 / 恶意软件类型的详细信息, 请参阅病毒和恶意软件 ( 第 1-25 页 ) 2-28

防毒墙网络版入门以下是可用的扫描处理措施 : 表 2-12 可用的病毒 / 恶意软件扫描处理措施扫描处理措施描述扫描类型删除删除受感染文件所有类型隔离清除更名不予处理文件拒绝访问更名受感染文件并将其移动到客户端计算机的隔离目录 ( 即, { 防毒墙网络版客户机文件夹 }\ Suspect) 中客户机连接到服务器时, 会将隔离的文件发送到服务器的隔离目录中防毒墙网络版将为服务器计算机中的隔离文件加密和更名缺省服务器隔离目录为 { 防毒墙网络版服务器文件夹 }\PCCSRV\Virus, 该目录可以通过转至联网计算机 > 客户机管理 > 设置 > { 扫描类型 } > 处理措施选项卡来更改还可以恢复加密的文件清除可清除的文件后才允许对该文件进行完全访问, 或者使指定的下一处理措施处理非可清除文件如果选择清除, 则可以配置第二个处理措施如果清除失败, 则防毒墙网络版将采取此扫描处理措施将受感染文件的扩展名更改为 vir 用户最初不能打开该文件, 但是将该文件与特定应用程序关联后即可打开该文件打开更名的受感染文件时, 病毒 / 恶意软件可能执行允许完全访问受感染文件, 而不对该文件执行任何操作用户可以复制 / 删除 / 打开该文件拒绝访问 ( 复制打开 ) 受感染文件客户机将不把该文件移动到其他位置 ( 与隔离相对 ) 用户可以手动删除该文件所有类型所有类型所有类型手动扫描预设扫描立即扫描实时扫描 2-29

趋势科技防毒墙网络版 8.0 管理员指南表 2-13 趋势科技建议的对病毒 / 恶意软件的扫描处理措施病毒 / 恶意软件类型第一项处理措施实时扫描第二项处理措施手动扫描 / 预设扫描 / 立即扫描第一项处理措施第一项处理措施恶作剧程序特洛伊木马隔离无隔离无隔离无隔离无病毒清除隔离清除隔离测试病毒文件拒绝访问无不予处理无加壳软件隔离无隔离无其它清除隔离清除隔离常规 * 不予处理无不予处理无 * 趋势科技根据某些特征将此病毒 / 恶意软件类型标记为可疑不予处理只是暂时的扫描处理措施确定病毒 / 恶意软件是否是安全风险后, 趋势科技将相应更改扫描处理措施 2-30

防毒墙网络版入门其他病毒 / 恶意软件扫描处理措施选项表 2-14 其他病毒 / 恶意软件扫描处理措施选项选项请指定隔离目录防毒墙网络版将先把隔离的文件存储在客户端计算机的 \Suspect 文件夹中, 然后将这些文件发送到指定的隔离目录请以 URL UNC 路径或绝对文件路径格式指定隔离目录如果使用 UNC 路径, 则请确保隔离目录文件夹已共享给组 Everyone, 且对此组分配了读取和写入权限警告 : 如果指定了不正确的隔离目录, 则防毒墙网络版客户机会将文件保留在 \Suspect 文件夹上, 直到指定了正确的隔离目录在服务器的病毒 / 恶意软件日志中, 扫描结果是无法将隔离的文件发送到指定的隔离文件夹隔离目录可以是以下目录中的任何一个 : 扫描类型所有类型隔离目录接受的格式示例防毒墙网络版服务器计算机上的目录另一台防毒墙网络版服务器计算机上的目录 ( 如果网络上有其他服务器 ) 网络上的另一台计算机 URL UNC 路径 URL UNC 路径 UNC 路径 http://{ 防毒墙网络版服务器 } ( 这是缺省路径 ) \\{ 防毒墙网络版服务器 }\ofcscan\virus http://{ 防毒墙网络版服务器 2} \\{ 防毒墙网络版服务器 2}\ofcscan\Virus \\{ 计算机名 }\temp 客户端计算机上的另一个目录绝对路径 C:\temp 先备份后清除客户端计算机上的备份目录是 OfficeScan Client\Backup 可以解密备份文件有关解密备份文件的信息, 请参阅联机帮助所有类型 2-31

趋势科技防毒墙网络版 8.0 管理员指南表 2-14 其他病毒 / 恶意软件扫描处理措施选项选项检测到病毒 / 恶意软件时在客户端计算机上显示通知消息要定制通知消息, 请转至通知 > 客户机用户通知 > 病毒 / 恶意软件选项卡扫描类型实时扫描预设扫描间谍软件 / 灰色软件扫描本部分为您提供可用的间谍软件 / 灰色软件扫描选项和设置间谍软件 / 灰色软件扫描条件防毒墙网络版将提供以下间谍软件 / 灰色软件扫描条件 : 表 2-15 间谍软件 / 灰色软件扫描条件扫描条件选项和描述扫描类型扫描方法选择一个 : 快速 : 仅扫描间谍软件 / 灰色软件通常攻击的计算机区域手动扫描预设扫描立即扫描用户对要扫描的文件执行的活动 * 要扫描的文件 * 完全 : 扫描整个计算机选择一个 : 扫描正在创建 / 修改的文件扫描正在检索的文件扫描正在创建 / 修改和检索的文件有关用户活动的示例, 请参阅表 2-10 选择一个 : 所有可扫描文件 : 扫描用户打开或保存的所有文件已由 IntelliScan 扫描的文件类型 : 只扫描已知可能包含恶意代码的文件, 甚至是用无害扩展名伪装的文件仅带有指定的扩展名的文件实时扫描实时扫描 2-32

防毒墙网络版入门表 2-15 间谍软件 / 灰色软件扫描条件扫描条件选项和描述扫描类型时间表选择一个 ( 然后选择扫描开始时间 ): 每日一次预设扫描每周一次每月一次 * 仅当同时激活防病毒和 Web 威胁防护服务时可用 ; 当只激活 Web 威胁防护服务时不可用间谍软件 / 灰色软件扫描例外要提高扫描性能和跳过可引起假警报的扫描文件, 可以在间谍软件 / 灰色软件扫描中排除特定文件扩展名手动扫描实时扫描预设扫描和立即扫描都有其单独的例外列表要配置扫描例外设置, 请转至联网计算机 > 客户机管理 > 设置 { 扫描类型 } 对于手动扫描预设扫描和立即扫描, 请转至间谍软件 / 灰色软件选项卡 > 扫描例外对于实时扫描, 请转至目标选项卡 > 扫描例外 2-33

趋势科技防毒墙网络版 8.0 管理员指南间谍软件 / 灰色软件批准列表可能存在某些应用程序和文件, 防毒墙网络版认为是间谍软件或灰色软件, 但您仍要允许客户端计算机保留可以配置间谍软件 / 灰色软件批准列表, 来阻止防毒墙网络版扫描这些应用程序和文件并阻止防毒墙网络版将其视为间谍软件 / 灰色软件防毒墙网络版的批准列表中最多可容纳 1024 种间谍软件 / 灰色软件要管理间谍软件 / 灰色软件批准列表, 请转至联网计算机 > 客户机管理 > 设置 > 间谍软件 / 灰色软件批准列表要将已检测到的间谍软件 / 灰色软件添加到批准列表, 请转至以下位置中的其中一个 : 联网计算机 > 客户机管理 > 日志 > 间谍软件 / 灰色软件日志 > 间谍软件 / 灰色软件日志标准 > 间谍软件 / 灰色软件日志 > 添加到批准列表日志 > 联网计算机的日志 > 安全风险 > 查看日志 > 间谍软件 / 灰色软件日志 > 间谍软件 / 灰色软件日志标准 > 间谍软件 / 灰色软件日志 > 添加到批准列表全局间谍软件 / 灰色软件扫描设置在联网计算机 > 全局客户机设置中配置全局间谍软件 / 灰色软件扫描设置以下是可用的设置 : 启用评估模式 : 在评估模式中时, 防毒墙网络版将记录间谍软件 / 灰色软件检测日志, 但不会尝试清除间谍软件 / 灰色软件组件清除将终止进程或删除注册表文件 cookie 和快捷方式趋势科技提供评估模式以允许您先评估间谍软件 / 灰色软件是否合法, 然后 2-34

防毒墙网络版入门根据您的评估采取适当的处理措施例如, 可将合法的间谍软件 / 灰色软件添加到批准列表中注意 : 评估模式会覆盖任何用户配置的扫描处理措施例如, 即使您选择清除作为手动扫描的处理措施, 在评估模式过程中, 不予处理仍保留为扫描处理措施扫描 cookie: 缺省情况下, 防毒墙网络版不扫描 cookie 如果您认为联网计算机中的 cookie 为潜在的安全风险, 请选择此选项间谍软件 / 灰色软件扫描处理措施防毒墙网络版可以基于在联网计算机 > 客户机管理 > 设置 > { 扫描类型 } > 处理措施选项卡中指定的扫描设置针对间谍软件 / 灰色软件采取各种处理措施从该窗口的间谍软件 / 灰色软件部分的可用扫描处理措施中选择有关间谍软件 / 灰色软件类型的信息, 请参阅间谍软件和灰色软件 ( 第 1-27 页 ) 以下是可用的扫描处理措施 : 表 2-16 可用间谍软件 / 灰色软件扫描处理措施扫描处理措施描述扫描类型清除终止进程或删除注册表项文件 cookie 和快捷方式手动扫描实时扫描预设扫描立即扫描不予处理文件拒绝访问将间谍软件 / 灰色软件检测记入日志以进行评估拒绝访问 ( 复制打开 ) 检测到的间谍软件 / 灰色软件组件手动扫描预设扫描立即扫描实时扫描 2-35

趋势科技防毒墙网络版 8.0 管理员指南其他间谍软件 / 灰色软件扫描处理措施选项表 2-17 其他间谍软件 / 灰色软件扫描选项选项检测到间谍软件 / 灰色软件时显示通知消息要定制通知消息, 请转至通知 > 客户机用户通知 > 间谍软件 / 灰色软件选项卡扫描类型实时扫描预设扫描扫描权限在联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡中授予选定的客户机用户以下扫描权限表 2-18 客户机用户的扫描权限选项描述客户机控制台导航为病毒 / 恶意软件配置手动扫描实时扫描和预设扫描设置为间谍软件 / 灰色软件配置手动扫描实时扫描和预设扫描设置停止预设扫描邮件扫描权限允许客户机用户配置其自身病毒 / 恶意软件扫描设置允许客户机用户配置其自身间谍软件 / 灰色软件扫描设置允许客户机用户停止正在运行的预设扫描 ( 既针对病毒 / 恶意软件, 也针对间谍软件 / 灰色软件 ) 允许客户机用户手动扫描其 Microsoft Outlook 邮件和附件中是否带有安全风险设置 > { 扫描类型 } 设置 > { 扫描类型 } 在预设扫描期间, 右键单击系统托盘中的防毒墙网络版图标, 然后单击停止预设扫描邮件扫描选项卡 2-36

防毒墙网络版入门 Web 站点信誉配置在联网计算机 > Web 站点信誉中配置 Web 站点信誉设置 Web 威胁 Web 威胁包括一系列源自于互联网的广泛威胁 Web 威胁的方式非常复杂, 使用了各种文件和技术的组合, 而非单一的文件或方法例如, Web 威胁创建者不断更改使用的版本或变种由于 Web 威胁处于 Web 站点的固定位置, 而非在受感染的计算机上, 因此 Web 威胁创建者会不断修改其代码以免被检测到信誉分值某个 URL 的信誉分值可确定其是否为 Web 威胁趋势科技使用专门度量值来计算分值如果 URL 的分值符合为以下类别之一设置的范围, 则趋势科技将 URL 分为 Web 威胁很可能为 Web 威胁或可能为 Web 威胁如果某个 URL 的分值超过了定义的阈值, 则趋势科技认为访问该 URL 是安全的安全级别有四个安全级别确定防毒墙网络版将允许还是阻止访问 URL 高 : 阻止以下几类 URL: 未分级属于 Web 威胁及可能成为 Web 威胁的 URL 中 : 阻止以下几类 URL: 未分级属于 Web 威胁及很可能为威胁的 Web URL 2-37

趋势科技防毒墙网络版 8.0 管理员指南中 - 低 : 阻止以下几类 URL: 属于 Web 威胁及很可能为威胁的 Web URL 低 : 只阻止属于 Web 威胁的 URL 例如, 如果设置安全级别为低, 则防毒墙网络版仅阻止其认为是 Web 威胁的 URL 切记 : 随着安全级别设置的增高, Web 威胁检测率会提高, 但误报的可能性也会增加安全级别最终由 Web 站点信誉策略引用 Web 站点信誉策略和计算机位置在很多组织中, 员工既使用台式机也使用便携式计算机来执行其任务由于便携式计算机连接到多个网络, 而且员工可能携带便携式计算机通过组织的网关, 因此防毒墙网络版需要将 Web 威胁防护扩展到这些便携式计算机, 即使它们从您的网络断开 Web 站点信誉策略确保无论客户端计算机在什么位置都能受到保护防毒墙网络版检查客户端计算机网关 IP 地址来确定其位置, 然后将特定 Web 站点信誉策略应用到该计算机如果计算机网关 IP 地址与您在 Web 控制台计算机位置窗口中指定的任何一个 IP 地址匹配, 则防毒墙网络版认为该计算机在内部, 否则便认为在外部趋势科技建议在外部计算机上执行更严格的策略如果已将趋势科技产品和 Web 站点信誉功能 ( 例如 InterScan 网关安全设备或 InterScan Web 安全设备 ) 一起使用, 则趋势科技还建议对内部计算机禁用 Web 站点信誉允许的 URL 允许的 URL 将绕开 Web 站点信誉策略 ; 即使将 Web 站点信誉策略设置为阻止它们, 防毒墙网络版也不会阻止这些 URL 将认为是安全的 URL 添加到允许的 URL 列表 2-38

防毒墙网络版入门 Web 站点信誉日志可以同时允许内部和外部计算机上的客户机向服务器发送 Web 站点信誉日志如果想要分析防毒墙网络版阻止的 URL 并对您认为访问较安全的 URL 采取适当处理措施, 请执行此操作 2-39

趋势科技防毒墙网络版 8.0 管理员指南 2-40

管理联网计算机第 3 章本章中的主题 : 防毒墙网络版防火墙 ( 第 3-2 页 ) 爆发防护 ( 第 3-9 页 ) 客户机通知 ( 第 3-11 页 ) 客户机 - 服务器连接验证 ( 第 3-13 页 ) 客户机权限和其他设置 ( 第 3-14 页 ) 全局客户机设置 ( 第 3-16 页 ) 客户机设置管理 ( 第 3-18 页 ) Cisco NAC ( 第 3-19 页 ) 3-1

趋势科技防毒墙网络版 8.0 管理员指南防毒墙网络版防火墙防毒墙网络版防火墙使用策略例外和概要文件来组织和定制保护联网计算机的方法有关防毒墙网络版防火墙的概要, 请参阅防毒墙网络版防火墙 ( 第 1-8 页 ) 注意 : 趋势科技建议在部署和启用防毒墙网络版防火墙前先卸装防毒墙网络版客户机上其他基于软件的防火墙应用程序在同一台计算机上安装多个供应商的防火墙可能会产生意外的结果以下步骤是成功使用防毒墙网络版防火墙所必需的 : 1. 创建策略 : 该策略允许您选择一个安全级别, 该级别可阻止或允许联网计算机上的网络通信和启用防火墙功能 2. 将例外添加到该策略 : 例外允许客户机背离策略使用例外可以指定客户机以及允许或阻止特定类型的网络通信, 而不管策略中的安全级别设置例如, 可以在一个策略中设置一组客户机的所有网络通信, 但是可创建一个允许 HTTP 网络通信的例外以便客户机可以访问 Web 服务器 3. 创建概要文件和将其分配到客户机 : 防火墙概要文件包括一组客户机属性每个概要文件都与一个策略相关联当客户机与在概要文件中指定的属性相匹配时, 将触发关联的策略策略可以在联网计算机 > 防火墙 > 策略中配置防火墙策略和例外策略包括以下内容 : 安全级别 : 一个常规设置, 阻止或允许客户端计算机上的所有入站和 / 或所有出站网络通信 3-2

管理联网计算机防火墙功能 : 启用 / 禁用防毒墙网络版防火墙入侵检测系统 (IDS) 和防火墙违例通知消息 : 有关 IDS 的详细信息, 请参阅入侵检测系统 ( 第 1-9 页 ) 策略例外列表 : 用于阻止或允许各种类型的网络通信的可配置例外列表策略例外例外包括更具体的设置, 以基于客户端计算机端口号和 IP 地址允许或阻止不同种类的网络通信可以配置一个例外列表以与每个策略相关联列表中的例外将覆盖策略中的安全级别设置防火墙策略例外类型限定 : 仅阻止指定类型的网络通信, 并适用于允许所有网络通信的策略使用限定策略例外的一个示例是阻止通常易受攻击的客户机端口, 如特洛伊木马经常使用的端口许可 : 仅允许指定类型的网络通信, 并适用于阻止所有网络通信的策略例如, 您可能要允许客户机仅访问防毒墙网络版服务器和 Web 服务器要执行此操作, 请允许来自于可信端口 ( 用以与防毒墙网络版服务器通信 ) 和客户机用于 HTTP 通信的端口的网络通信客户机侦听端口 ( 可信 ): 联网计算机 > 客户机管理 > 状态端口号在基本信息下服务器侦听 ( 可信 ) 端口 : 管理 > 连接设置端口号在联网计算机的连接设置下防火墙策略例外设置操作 : 阻止或允许满足例外条件的网络通信 3-3

趋势科技防毒墙网络版 8.0 管理员指南方向 : 客户端计算机上的入站或出站网络通信协议 : 网络通信类型 :TCP UDP ICMP 端口 : 客户端计算机上用于执行操作的端口客户端计算机 IP 地址 : 网络上网络通信条件适用的计算机的 IP 地址防火墙策略例外模板编辑器可以在例外模板编辑器中编辑例外, 并将它们应用于所有现有策略, 或者可以编辑应用于单个策略的例外配置例外 : 一个示例在爆发期间, 可以选择阻止所有客户机网络通信, 包括 HTTP 端口 ( 端口 80) 但是, 如果仍然想要授予阻止的客户机访问互联网的权限, 则可以将 Web 代理服务器添加到例外列表概要文件可以在联网计算机 > 防火墙 > 概要文件中配置防火墙概要文件和备用服务器防火墙概要文件通过允许您在应用策略前选择一台客户机或一组客户机必须具有的属性来提供灵活性概要文件包括以下内容 : 关联的策略 : 每个概要文件都使用一个策略客户机属性 : 带有以下属性的客户机应用关联的策略 : IP 地址 : 具有特定 IP 地址, 其 IP 地址在某个 IP 地址范围内, 或者其 IP 地址属于特定子网的客户机域 : 属于特定防毒墙网络版域的客户机计算机 : 带有特定计算机名的客户机 3-4

管理联网计算机平台 : 运行特定平台的客户机登录名 : 指定的用户已登录到的客户机客户机状态 : 客户机是联机还是脱机选择客户机属性的任何组合以指定客户端计算机用户权限 : 允许或阻止客户机用户执行以下操作 : 更改在策略中指定的安全级别编辑与策略相关联的例外列表注意 : 这些权限仅适用于与概要文件中指定的属性相匹配的客户机可以通过转至联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡将其他防火墙权限分配到选定的客户机用户请参阅防火墙权限 ( 第 3-8 页 ) 以获取详细信息防毒墙网络版将防毒墙网络版防火墙概要文件以在列表中显示的顺序应用到客户机例如, 如果客户机与第一个概要文件匹配, 则防毒墙网络版会把为该概要文件配置的操作应用到该客户机防毒墙网络版将忽略为该客户机配置的其他概要文件一个策略越是排他, 则越需要将其放在该列表的顶部例如, 为单个客户机创建的策略应在顶部, 接下来才是为一系列客户机网络域和所有客户机创建的策略备用服务器可以编辑备用服务器的列表, 备用服务器是在防毒墙网络版服务器应用防火墙概要文件时作为其替换服务器的计算机备用服务器可以是您网络上的任何计算机 3-5

趋势科技防毒墙网络版 8.0 管理员指南当启用备用服务器时, 防毒墙网络版做以下假设 : 连接到备用服务器的客户机联机, 即使客户机无法与防毒墙网络版服务器通信应用于联机客户机的防火墙概要文件也适用于连接到备用服务器的客户机缺省设置防毒墙网络版防火墙提供缺省策略例外和概要文件以为您提供启动客户机防火墙防护策略的基础缺省设置包括客户机上常见的情况, 如安装 Cisco NAC Trust Agent 和需要访问适用于 Microsoft Exchange Web 控制台的防毒墙群件版表 3-1 缺省防火墙策略策略名称安全级别客户机设置例外建议使用所有访问低启用防火墙无用于允许客户机无限制访问网络 Cisco Trust Agent for Cisco NAC 低启用防火墙允许通过端口 21862 的入站 / 出站 UDP 网络通信客户机安装有 Cisco Trust Agent (CTA) 时使用 TMCM 的通信端口低启用防火墙允许通过端口 80 和 10319 的所有入站 / 出站 TCP/UDP 网络通信客户机安装有 MCP 代理时使用适用于 Microsoft Exchange (SMEX) 控制台的防毒墙群件版低启用防火墙允许通过端口 16372 的所有入站 / 出站 TCP 网络通信客户机需要访问 SMEX 控制台时使用 3-6

管理联网计算机表 3-1 缺省防火墙策略策略名称安全级别客户机设置例外建议使用趋势科技防毒墙邮件安全版 (IMSS) 控制台低启用防火墙允许通过端口 80 的所有入站 / 出站 TCP 网络通信客户机需要访问 IMSS 控制台时使用表 3-2 缺省防火墙策略例外例外名称操作协议端口说明 DNS 允许 TCP/UDP 53 入站和出站 NetBIOS 允许 TCP/UDP 137,138,139,445 入站和出站 HTTPS 允许 TCP 443 入站和出站 HTTP 允许 TCP 80 入站和出站 Telnet 允许 TCP 23 入站和出站 SMTP 允许 TCP 25 入站和出站出站 FTP 允许 TCP 21 入站和出站 POP3 允许 TCP 110 入站和出站注意 : 没有缺省例外会指定客户机如果使用任何缺省例外, 则请指定想要应用例外的客户机表 3-3 缺省防火墙概要文件概要文件名称使用的策略应用于客户机所有客户机概要文件所有访问未指定 3-7

趋势科技防毒墙网络版 8.0 管理员指南防火墙权限请转至联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡以授予客户机用户执行以下操作的权限 : 在客户机控制台中查看防火墙选项卡启用 / 禁用防毒墙网络版防火墙入侵检测系统和防火墙违例通知消息 : 不能从防毒墙网络版服务器 Web 控制台覆盖用户指定的设置如果未启用该功能, 则从防毒墙网络版服务器 Web 控制台配置的防火墙设置将显示在客户机控制台上的网卡列表下允许客户机向防毒墙网络版服务器发送防火墙日志 : 如果选择了此选项, 请在联网计算机 > 全局客户机设置中配置日志发送时间表该时间表将仅适用于具有防火墙日志发送权限的客户机防火墙测试要帮助确保防毒墙网络版防火墙正常工作, 请在一个或一组客户机上执行测试有关测试过程, 请参阅联机帮助警告! 请仅在受控的环境中测试防毒墙网络版客户机程序设置请勿在已连接到网络或互联网的客户端计算机上执行测试执行此操作可能会将客户端计算机暴露在病毒黑客攻击和其他风险中防火墙 : 如何禁用使用防毒墙网络版 Web 控制台在客户机上禁用防毒墙网络版防火墙需要创建不启用防火墙的新策略, 然后将该策略应用于客户机有关该过程, 请参阅联机帮助还可以通过在管理 > 产品许可证窗口中停止来禁用所有客户机的防火墙 3-8

管理联网计算机爆发防护防毒墙网络版提供多种在网络上管理爆发的方法这些方法包括启用防毒墙网络版以监控网络上是否有可疑活动, 封闭关键客户端计算机端口和文件夹, 向客户机发送爆发警报消息, 以及清除被感染计算机爆发阻止使用爆发阻止可以限制 / 拒绝对特定共享文件夹的访问, 封闭端口, 以及拒绝对选定客户机上特定文件和文件夹的写入访问警告! 在爆发期间仔细配置爆发阻止设置不正确的配置可能导致无法预料的网络问题启用爆发阻止之后, 请验证绿色的复选标记已显示在客户机树上选定客户机的 OPP 列中禁用爆发阻止后, 请扫描您的联网计算机上是否有安全风险以确保包括爆发爆发阻止策略限制 / 拒绝访问共享文件夹可以允许只读或拒绝完全访问网络上的共享文件夹, 以阻止安全风险通过共享文件夹传播 3-9

趋势科技防毒墙网络版 8.0 管理员指南封闭端口在爆发期间, 可以封闭易受攻击的端口, 这些端口可能被病毒 / 恶意软件用于获取对客户端计算机的访问权限警告! 仔细配置爆发阻止设置封闭使用中的端口会导致基于这些端口的网络服务不可用例如, 如果封闭可信端口, 防毒墙网络版将无法在爆发期间与客户机通信可以在端口封闭设置列表上修改条目的以下设置 : 网络通信方向 : 阻止入站和 / 或出站网络通信端口号 : 修改任一端口号或为列表中的每个条目输入一系列端口网络通信协议 : 指定 TCP UDP 或两者都指定注释 : 添加任何注释以描述列表中的条目拒绝对文件和文件夹的写访问病毒 / 恶意软件可能会修改或删除主机计算机上的文件和文件夹在爆发期间, 可以配置防毒墙网络版阻止病毒 / 恶意软件修改或删除客户端计算机上的文件和文件夹爆发后任务确信已包括爆发, 且防毒墙网络版已清除或隔离所有受感染的文件时, 可以通过禁用爆发阻止将网络设置恢复正常如果未手动恢复网络设置, 则防毒墙网络版将会在爆发阻止设置窗口上的在 { } 小时之后自动停止爆发阻止内指定的时间后自动恢复这些设置缺省设置为 48 小时 3-10

管理联网计算机客户机通知配置客户机用户通知以通知或提醒用户有关需要他们注意的事件 ( 如安全风险检测 ), 并建议他们如何执行必要的操作安全风险通知防毒墙网络版可以在选定的客户端计算机上显示通知消息, 以通知用户在该计算机上检测到的安全风险该消息将在发生以下情形后立即显示 : 实时扫描和预设扫描可以检测病毒 / 恶意软件和间谍软件 / 灰色软件防毒墙网络版防火墙检测到防火墙策略违例防毒墙网络版阻止了违反 Web 站点信誉策略的 URL 可以通过单击通知 > 客户机用户通知窗口中的选项卡然后在提供的文本框中输入新消息来修改用于不同安全风险的缺省消息注意 : 有关防毒墙网络版可以发送给您和其他防毒墙网络版管理员的通知的信息, 请参阅管理员通知 ( 第 4-7 页 ) 病毒 / 恶意软件通知客户机只显示病毒 / 恶意软件通知消息 ( 如果这样配置客户机 ) 可以通过依次选择以下项来配置此设置 : 联网计算机 > 客户机管理 > 设置 > { 实时或预设扫描设置 } > 处理措施选项卡只有您在客户机树 ( 当单击联网计算机 > 客户机管理时 ) 中选择的那些客户机才会显示该消息 3-11

趋势科技防毒墙网络版 8.0 管理员指南可以选择当客户机用户的计算机发出病毒 / 恶意软件时显示通知消息要执行此操作, 请转至通知 > 客户机用户通知 > 病毒 / 恶意软件选项卡选中病毒 / 恶意软件感染源下的复选框, 指定一个发送通知的间隔, 然后有选择性地修改缺省通知消息仅当启用 Windows Messenger 服务时, 显示此通知消息可以在服务窗口 ( 控制面板 > 管理工具 > 服务 > Messenger) 中检查此服务的状态间谍软件 / 灰色软件通知客户机只显示间谍软件 / 灰色软件通知消息 ( 如果这样配置客户机 ) 可以通过依次选择以下项来配置此设置 : 联网计算机 > 客户机管理 > 设置 > { 实时或预设扫描设置 } > 处理措施选项卡只有您在客户机树 ( 当单击联网计算机 > 客户机管理时 ) 中选择的那些客户机才会显示该消息防火墙违例通知客户机将只显示防火墙违例通知消息 ( 如果这样配置客户机并且如果出站网络通信违反了防火墙设置 ) 可以通过依次选择以下项来配置此设置 : 联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 权限选项卡 Web 站点信誉通知客户机只显示 Web 站点信誉通知消息 ( 如果这样配置客户机 ) 可以通过依次选择以下项来配置此设置 : 联网计算机 > 客户机管理 > 设置 > 权限和其他设置 > 其他设置选项卡只有您在客户机树 ( 当单击联网计算机 > 客户机管理时 ) 中选择的那些客户机才会显示该消息显示通知消息后, 将在客户端计算机的浏览器中显示另一消息, 通知用户如果他们认为 URL 可安全访问则将向防毒墙网络版管理员报告该 URL 3-12

管理联网计算机其他通知防毒墙网络版可以在以下情况下显示通知通过转至联网计算机 > 全局客户机设置启用这些通知如果病毒码在特定天数内保持过期状态如果客户机用户需要重新启动计算机来加载内核模式驱动程序安装 Hotfix 或包括新版本的内核模式驱动程序的升级软件包后, 驱动程序的前一版本可能仍然在计算机上卸载前一版本和加载新版本的唯一方法就是重新启动计算机重新启动计算机后, 将自动安装新版本, 无需再重新启动安装 Hotfix 或升级软件包后, 通知消息将显示在客户端计算机上客户机 - 服务器连接验证防毒墙网络版使用图标在客户机树中表示客户机连接状态但是, 特定情况可能阻止客户机树显示正确的客户机连接状态例如, 如果意外拔除了客户端计算机的网络电缆, 则客户机将不能通知服务器其已脱机此客户机在客户机树中将仍显示为联机可以通过转至联网计算机 > 连接验证手动或预设验证客户机 - 服务器连接注意 : 不能先选择特定域或客户机, 然后再验证其连接状态防毒墙网络版会验证所有已注册客户机的连接状态再次检查客户机树以在日志 > 联网计算机的日志 > 连接验证中验证客户机连接状态或查看连接验证日志 3-13

趋势科技防毒墙网络版 8.0 管理员指南客户机权限和其他设置在联网计算机 > 客户机管理 > 设置 > 权限和其他设置中配置特定客户机的权限和其他设置表 3-4 选定客户机的权限和设置设置描述权限漫游权限防病毒反间谍软件预设扫描和邮件扫描权限允许客户机处于漫游模式有关详细信息, 请参阅漫游客户机 ( 第 1-16 页 ) 允许客户机用户配置其自身扫描设置有关详细信息, 请参阅扫描权限 ( 第 2-36 页 ) 防火墙权限有关详细信息, 请参阅防火墙权限 ( 第 3-8 页 ) 工具箱权限代理服务器设置权限组件更新权限客户机卸装在客户机控制台上显示工具箱选项卡工具箱选项卡允许用户安装 Check Point SecureClient 支持防毒墙网络版提供一个工具, 可使 Check Point SecureClient 检查客户机病毒码和病毒扫描引擎是否为最新允许客户机用户配置代理服务器设置防毒墙网络版仅在以下实例上才使用用户配置代理服务器设置 : 客户机执行立即更新时有关立即更新功能的信息, 请参阅客户机更新方法 ( 第 2-15 页 ) 用户禁用自动代理服务器, 或防毒墙网络版无法检测到自动代理服务器设置时请参阅代理服务器配置 ( 第 3-18 页 ) 以获取详细信息允许客户机用户配置其自身组件更新设置有关详细信息, 请参阅其他设置 ( 第 2-19 页 ) 允许用户卸装 ( 需要密码或无需密码 ) 防毒墙网络版客户机要从 Web 控制台启动静默客户机卸装, 请转至联网计算机 > 客户机管理 > 任务 > 客户机卸装 3-14

管理联网计算机表 3-4 选定客户机的权限和设置设置客户机退出描述允许用户暂时停止 ( 需要密码或无需密码 ) 防毒墙网络版客户机其他设置更新设置有关详细信息, 请参阅其他设置 ( 第 2-19 页 ) Web 站点信誉设置客户机安全性客户机控制台访问限制如果防毒墙网络版阻止了一个违反 Web 站点信誉策略的 URL, 则将在客户端计算机上显示通知消息允许或限制用户访问防毒墙网络版客户机文件与注册表如果选择了高, 则防毒墙网络版文件夹文件和注册表的访问权限设置将与运行 Windows 2000/XP/Server 2003 的客户端计算机的 Program Files 文件夹的设置相同因此, 如果 Program Files 文件夹的权限设置 (Windows 中的安全设置 ) 设置为允许完全读取 / 写入访问, 则选择高依然允许用户对防毒墙网络版客户机文件夹文件和注册表进行完全读取 / 写入访问用户不能从系统托盘或 Windows 开始菜单中访问客户机控制台, 但是可以从防毒墙网络版客户机安装程序文件夹中访问防毒墙网络版在后台运行并继续提供对安全风险的防护 3-15

趋势科技防毒墙网络版 8.0 管理员指南全局客户机设置防毒墙网络版可将全局客户机设置应用于所有客户机, 或者只应用于带有特定权限的客户机在联网计算机 > 全局客户机设置中配置全局客户机设置表 3-5 全局客户机设置设置病毒 / 恶意软件扫描设置间谍软件 / 灰色软件扫描设置防火墙日志设置描述有关详细信息, 请参阅全局病毒 / 恶意软件扫描设置 ( 第 2-27 页 ) 有关详细信息, 请参阅全局间谍软件 / 灰色软件扫描设置 ( 第 2-34 页 ) 可以授予某些客户机向防毒墙网络版服务器发送防火墙日志的权限可以配置在此部分中发送时间表的日志仅具有发送防火墙日志权限的客户机可使用此时间表有关可以授予选定客户机的防火墙权限的信息, 请参阅防火墙权限 ( 第 3-8 页 ) 警报设置有关详细信息, 请参阅其他通知 ( 第 3-13 页 ) 3-16

管理联网计算机表 3-5 全局客户机设置设置保留的磁盘空间和看守程序设置网络病毒日志整合病毒 / 恶意软件日志带宽设置描述看守程序服务 : 意外中止 ( 可能在客户机受黑客攻击时发生 ) 后立即重新启动防毒墙网络版客户机恶意程序 ( 即逆转录病毒, 如 WORM_KLEZ.h) 将通过关闭关键防病毒进程和删除防病毒解决方法使用的一些文件来反击防病毒解决方法这使它们能够使用旧病毒进行感染, 因此有了逆转录病毒之名防毒墙网络版看守程序服务 (OfcDog.exe) 可通过执行以下操作保护防毒墙网络版客户机的状态 : 监控 NT 实时扫描 (NtRtScan.exe) 和防毒墙网络版 NT Listener (TmListen.exe) 的状态如果这些防毒墙网络版进程未运行, 且未由正常系统进程停止, 则看守程序服务将重新启动它们它还将在客户端计算机上编写一个事件日志, 并将该日志发送到服务器将所有.exe 和.dll 文件锁定在防毒墙网络版客户机目录中以防止其他程序甚至用户将其修改或删除缺省情况下, 将随机命名看守程序服务以帮助防止其他程序将其中止防黑客模式 : 随机为看守程序服务命名这可帮助防止任何安全风险识别和中止该服务保留 { } MB 用于更新的磁盘空间 : 为 Hotfix 病毒码文件扫描引擎和程序更新分配一定量的客户机磁盘空间缺省情况下, 防毒墙网络版将保留 60MB 的空间客户机每个小时只发送一次网络病毒日志有关网络病毒的详细信息, 请参阅病毒和恶意软件 ( 第 1-25 页 ) 在较短时间内从同一病毒 / 恶意软件中检测到多个感染时, 防毒墙网络版将整合病毒日志条目防毒墙网络版可多次检测到同一单个病毒 / 恶意软件, 从而在客户机将日志信息发送到服务器时快速填写病毒 / 恶意软件日志并占用网络带宽在将病毒日志信息报告给服务器时, 启用此功能有助于减少病毒 / 恶意软件日志的条目数和客户机占用的网络带宽量 3-17

趋势科技防毒墙网络版 8.0 管理员指南表 3-5 全局客户机设置设置代理服务器配置客户机分组描述手动配置代理服务器设置对于许多最终用户而言是个复杂的任务使用自动代理服务器设置可以确保在不需要任何用户干预的情况下应用正确的代理服务器设置启用后, 客户机通过自动更新或立即更新更新组件时, 自动代理服务器设置是主要的代理服务器设置有关自动更新和立即更新的信息, 请参阅客户机更新方法 ( 第 2-15 页 ) 如果客户机不能使用自动代理服务器设置连接, 则具有配置代理服务器设置权限的客户机用户可以使用用户配置的代理服务器设置否则, 使用自动代理服务器设置的连接将失败注意 : 代理服务器认证不受支持自动检测设置 : 通过 DHCP 或 DNS 自动检测管理员配置的代理服务器设置使用自动配置脚本 : 使用网络管理员设置的代理服务器自动配置 (PAC) 脚本检测适当的代理服务器此选项通过 NetBIOS Active Directory 或 DNS 域为客户机树中的客户机分组客户机设置管理您可能想要多个防毒墙网络版客户机具有相同的扫描和 / 或客户机权限设置通过防毒墙网络版, 可以保存 ( 导出 ) 特定客户机扫描设置和权限并在以后将其复制 ( 导入 ) 到多个客户机这提供了一种在众多客户机上配置相同设置的简便方法不能导出多个客户机的扫描和权限设置仅能导出单个客户机域或根的设置要导入和导出设置, 请转至联网计算机 > 客户机管理 > 设置 > { 导入或导出 } 设置 3-18

管理联网计算机 Cisco NAC 面向 Cisco Network Admission Control (NAC) 的趋势科技策略服务器将评估防毒墙网络版客户机上防病毒组件的状态策略服务器配置选项使您能够配置设置以对处于风险中的客户机执行处理措施, 以便将它们与贵组织的防病毒计划兼容这些处理措施包括 : 指导客户端计算机更新其防毒墙网络版客户机组件启用实时扫描执行立即扫描在客户端计算机上显示一条通知消息以通知用户防病毒策略违例要帮助您分析防病毒策略的性能, 请查看策略服务器日志 ( 记录诸如评估客户机的时间和评估结果的信息 ) 注意 : 有关 Cisco NAC 技术的其他信息, 请参阅 Cisco Web 站点 www.cisco.com/go/nac 3-19

趋势科技防毒墙网络版 8.0 管理员指南 Cisco NAC 将在以下章节中详细讨论 : 了解策略服务器 for Cisco NAC ( 第 5-1 页 ) 部署策略服务器 for Cisco NAC ( 第 6-1 页 ) 3-20

管理防毒墙网络版服务器第 4 章本章中的主题 : 趋势科技防毒墙控制管理中心 ( 第 4-2 页 ) 日志 ( 第 4-2 页 ) 许可证 ( 第 4-5 页 ) 防毒墙网络版数据库备份 ( 第 4-6 页 ) 防毒墙网络版 Web 服务器信息 ( 第 4-6 页 ) 管理员通知 ( 第 4-7 页 ) Web 控制台密码 ( 第 4-8 页 ) 非活动客户机 ( 第 4-9 页 ) 隔离管理器 ( 第 4-10 页 ) 管理工具和客户机工具 ( 第 4-10 页 ) 全球病毒跟踪计划 ( 第 4-12 页 ) 4-1

趋势科技防毒墙网络版 8.0 管理员指南趋势科技防毒墙控制管理中心趋势科技防毒墙控制管理中心是管理位于网关邮件服务器文件服务器和企业桌面级别的趋势科技产品和服务第三方防病毒和内容安全产品的中央管理控制台控制管理中心基于 Web 的管理控制台为整个网络内被管理产品和服务提供单个监控点控制管理中心允许系统管理员监控和报告活动, 例如感染安全性违例或病毒入口点系统管理员可以下载组件并在整个网络内部署, 以帮助确保防护的一致性和及时性控制管理中心既允许手动更新又允许预设更新, 还允许作为组或作为个体来配置和管理产品, 以增加灵活性请参阅使用控制管理中心管理防毒墙网络版 ( 第 7-1 页 ) 以获取详细信息日志防毒墙网络版保留有关安全风险检测事件和更新的全面日志使用这些日志来评估贵组织的防护策略并标识处于较高感染风险或攻击风险的客户机还使用这些日志来检查客户机 - 服务器连接并验证组件更新是否成功联网计算机的日志安全风险日志安全风险包括病毒 / 恶意软件间谍软件 / 灰色软件防火墙违例和 Web 威胁对于间谍软件 / 灰色软件日志, 如果您认为检测到的间谍软件 / 灰色软件是安全的, 则可以将其添加到批准列表有关批准列表的详细信息, 请参阅间谍软件 / 灰色软件批准列表 ( 第 2-34 页 ) 4-2

管理防毒墙网络版服务器对于防火墙违例日志, 可以选择首先通知客户机向将日志发送给服务器以确保您可以使用最新的日志已启用防毒墙网络版防火墙的防毒墙网络版客户机将防火墙事件存储在客户端计算机上的日志中查看这些日志来分析防毒墙网络版防火墙性能组件更新日志防毒墙网络版客户机会将病毒码更新日志发送给服务器在组件更新进度窗口中, 查看每间隔 15 分钟更新的客户机数以及更新的客户机总数连接验证日志防毒墙网络版保留连接验证日志以使您可以确定防毒墙网络版服务器是否能和其所有已注册客户机通信每次从 Web 控制台验证客户机 - 服务器连接时, 防毒墙网络版都会创建一个日志条目请参阅客户机 - 服务器连接验证 ( 第 3-13 页 ) 间谍软件 / 灰色软件恢复日志清除间谍软件 / 灰色软件后, 防毒墙网络版客户机会备份间谍软件 / 灰色软件数据, 如果您认为间谍软件 / 灰色软件是安全的, 则防毒墙网络版服务器可以随时将其恢复间谍软件 / 灰色软件恢复日志向您显示恢复结果服务器更新日志防毒墙网络版在防毒墙网络版服务器上保留与组件更新相关的所有事件的日志查看该日志以验证防毒墙网络版是否成功下载了保持防护最新所需的组件 4-3

趋势科技防毒墙网络版 8.0 管理员指南系统事件日志防毒墙网络版还记录与服务器程序相关的事件, 如关闭和启动使用这些日志来验证防毒墙网络版服务器及服务是否工作正常防毒墙网络版日志将记录以下事件 : 防毒墙网络版主服务和数据库服务器 : 主服务已启动主服务停止成功主服务停止未成功数据库服务器已重新启动防火墙违例和共享文件夹会话的爆发通知 : 日志类型 (IDS 日志防火墙日志网络病毒日志 ) 超出最近 { 分钟数 } 内的共享文件夹会话数数据库备份 : 数据库备份成功数据库备份失败数据库备份已取消日志删除要防止日志的大小占用过多的硬盘空间, 可将防毒墙网络版配置为手动删除日志或根据时间表删除日志 4-4

管理防毒墙网络版服务器许可证可以从 Web 控制台中查看和续订防毒墙网络版产品服务许可证还可激活要使用新服务如果激活了防病毒服务, 则可以启用 / 禁用防毒墙网络版防火墙防病毒服务还包括 Cisco NAC 和爆发阻止的技术支持注意 : 可以在安装过程中启用防毒墙网络版防火墙如果禁用防火墙, 则防毒墙网络版将隐藏服务器和客户机中的所有防火墙功能通过防毒墙网络版可以激活一个产品服务的多个许可证从 Web 控制台中可查看服务的所有许可证 ( 活动的和过期的 ) 许可证的状态显示在管理 > 产品许可证窗口的顶部以下实例中将显示提醒信息 : 完全版宽限期结束前 30 天当许可证到期且宽限期已过期注意 : 在此期间, 您将无法获得技术支且无法执行组件更新扫描引擎将仍然使用过期组件扫描计算机这些过期组件可能不能完全保护您不受最新安全风险的侵扰评估 ( 试用 ) 版当许可证过期时 4-5

趋势科技防毒墙网络版 8.0 管理员指南注意 : 在此期间, 防毒墙网络版将禁用组件更新扫描和所有客户机功能组件防毒墙网络版数据库备份防毒墙网络版服务器数据库包含所有防毒墙网络版设置, 包括扫描设置和权限服务器数据库发生损坏时, 如果具有备份, 可以轻松地将其恢复可以随时手动备份数据库或配置备份时间表备份数据库时, 防毒墙网络版帮助您自动整理数据库碎片并修复所有可能的索引文件损坏提示 : 趋势科技建议您为自动备份配置时间表在服务器网络通信较低的非高峰时段期间备份数据库警告! 不要使用任何其他工具或软件来执行备份仅从防毒墙网络版 Web 控制台中配置数据库备份恢复数据库备份文件 : 1. 停止防毒墙网络版主服务 2. 使用备份文件覆盖 \PCCSRV\HTTPDB 中的数据库文件 3. 重新启动防毒墙网络版主服务防毒墙网络版 Web 服务器信息在防毒墙网络版服务器安装过程中, 主安装程序会自动设置一个 Web 服务器 (IIS 或 Apache Web 服务器 ) 以使联网计算机能够连接到防毒 4-6

管理防毒墙网络版服务器墙网络版服务器可以配置两端联网客户端计算机将要连接到的 Web 服务器如果从外部修改了 Web 服务器设置 ( 例如, 从 IIS 管理控制台 ), 则必须也要在防毒墙网络版中进行更改以确保其保持服务器 - 客户机通信并确保您仍能访问 Web 控制台例如, 如果手动更改了联网计算机的服务器的 IP 地址或如果为其分配了一个动态 IP 地址, 则需要重新配置防毒墙网络版的服务器设置管理员通知无论防毒墙网络版何时在任何客户机上或在安全风险爆发期间检测到安全风险, 都可以通知您及贵组织中的其他防毒墙网络版管理员在通知 > 管理员通知中配置通知设置注意 : 要配置在客户端计算机上显示的通知设置, 请参阅客户机通知 ( 第 3-11 页 ) 防毒墙网络版通过以下方式发送通知 : 电子邮件寻呼机 SNMP 陷阱 Windows NT 事件日志 4-7

趋势科技防毒墙网络版 8.0 管理员指南标准通知防毒墙网络版附带一组缺省通知消息, 只要防毒墙网络版在客户端计算机上检测到病毒 / 恶意软件或间谍软件 / 灰色软件, 您及其他管理员就会收到这些通知修改这些消息来适应您的需求配置防毒墙网络版在检测到安全风险时发送通知, 或仅当对安全风险的处理措施不成功时才发送通知, 因此需要您的干预爆发通知配置防毒墙网络版通知您和其他防毒墙网络版管理员网络上的安全风险爆发根据安全风险检测次数和检测周期定义爆发条件在检测周期中, 如果超过该检测次数, 则防毒墙网络版发送通知例如, 如果指定检测次数为 100, 则防毒墙网络版在检测到第 101 个病毒 / 恶意软件实例后将发送通知响应爆发非常重要除非采取了正确的处理措施, 否则爆发可以迅速传播至整个网络并传播到网络之外 Web 控制台密码使用密码保护 Web 控制台, 以防未经授权的用户修改防毒墙网络版的设置或从联网计算机中移除客户机程序在安装过程中, 防毒墙网络版安装程序会要求您指定 Web 控制台密码, 但可以从 Web 控制台中修改密码, 方法是转到管理 > 控制台密码如果忘记了控制台密码, 请联系趋势科技技术支持来了解有关如何获取对 Web 控制台访问的说明唯一的另外选择是卸装防毒墙网络版, 然后重新安装 4-8

管理防毒墙网络版服务器非活动客户机当使用客户机卸装程序从一台计算机移除客户机程序时, 该程序将自动通知服务器当服务器接收到此通知时, 它将在此客户机树中移除客户机图标以显示该客户机已不再存在但是, 如果使用其他方法移除客户机, 如重新格式化计算机硬盘驱动器或手动删除客户机文件, 则防毒墙网络版将不会注意到它的移除, 并只把客户机显示为非活动如果用户将客户机卸载或禁用较长的时间, 则服务器还将把客户机显示为非活动要使客户机树只显示活动客户机, 可以配置防毒墙网络版以从客户机树中自动移除非活动客户机 4-9

趋势科技防毒墙网络版 8.0 管理员指南隔离管理器无论何时防毒墙网络版检测到一个安全风险且扫描处理措施为隔离, 则它将为受感染文件加密, 并将该文件移动到本地隔离文件夹, 然后再将其发送到防毒墙网络版服务器该服务器也为受感染文件加密以阻止它感染其他文件隔离文件夹的缺省位置 : 客户机 :{ 防毒墙网络版安装文件夹 }\OfficeScan Client\SUSPECT 服务器 :{ 防毒墙网络版安装文件夹 }\OfficeScan\PCCSRV\Virus 缺省防毒墙网络版安装文件夹为 C:\Program Files\Trend Micro 注意 : 如果防毒墙网络版客户机由于任何原因 ( 如, 网络连接问题 ) 无法将加密的文件发送到防毒墙网络版服务器, 则加密的文件将仍然保留在客户机隔离文件夹中连接到防毒墙网络版服务器时, 客户机将尝试重新发送该文件可以配置隔离文件夹的容量以及进行隔离的受感染文件的最大文件大小有关详细信息, 请参阅其他病毒 / 恶意软件扫描处理措施选项 ( 第 2-31 页 ) 管理工具和客户机工具防毒墙网络版包括可完成各种防毒墙网络版任务的一组工具, 其中包括服务器配置和客户机管理有两种类型的防毒墙网络版工具请注意, 不能从 Web 控制台运行任何此类工具有关这些工具及其使用方法的详细信息, 请参阅联机帮助 4-10

管理防毒墙网络版服务器管理工具 : 开发以帮助您配置服务器和管理客户机登录脚本安装 : 在未受保护计算机登录到网络时, 自动将防毒墙网络版客户机安装到这些计算机漏洞扫描程序 : 检测已安装的防病毒解决方案并搜索网络中的未受保护计算机服务器调节程序 : 优化防毒墙网络版服务器的性能客户机工具 : 开发以帮助您增强客户机程序的性能客户机打包程序 : 将防毒墙网络版客户机安装程序和更新文件压缩在自解压缩文件中, 使用电子邮件 CD-ROM 或相似媒体来简化向客户机的交付过程镜像安装实用程序 : 创建防毒墙网络版客户机的镜像并将其克隆到网络中的其他计算机恢复加密的文件 : 解密防毒墙网络版加密的受感染文件以便从该文件中检索必要信息客户机迁移程序 : 如果在网络中有多个防毒墙网络版服务器, 则将客户机从一台防毒墙网络版服务器转移到另一台防毒墙网络版服务器触探工具 : 使用另一个文件的时间戳或计算机的系统时间来同步一个文件的时间戳 ServerProtect 标准服务器迁移工具 : 将 ServerProtect 标准服务器程序迁移到防毒墙网络版客户机注意 : 在先前版本的防毒墙网络版中可用的一些工具在本版本中不可用如果您需要使用以上未列出的特定工具, 则请联系技术支持提供商 4-11

趋势科技防毒墙网络版 8.0 管理员指南全球病毒跟踪计划可将安全风险扫描结果发送到全球病毒跟踪计划, 以更好地跟踪安全风险爆发趋势参加此项计划, 有助于您尝试更好地了解安全风险的发展和传播安装防毒墙网络版后, 防毒墙网络版安装程序会询问您是否想加入全球病毒跟踪计划可以随时从 Web 控制台中更改设置要查看当前趋势科技病毒地图, 请访问 http://www.trendmicro.com.cn/wtc/ 4-12

了解策略服务器 for Cisco NAC 第 5 章本章中的主题 : 组件和术语 ( 第 5-2 页 ) Cisco NAC 体系结构 ( 第 5-4 页 ) 客户机验证顺序 ( 第 5-5 页 ) 策略服务器 ( 第 5-7 页 ) 同步 ( 第 5-14 页 ) 证书 ( 第 5-15 页 ) 策略服务器系统需求 ( 第 5-17 页 ) Cisco Trust Agent (CTA) 需求 ( 第 5-19 页 ) 支持的平台和需求 ( 第 5-20 页 ) 5-1

趋势科技防毒墙网络版 8.0 管理员指南组件和术语以下是一个各种组件和重要术语的列表, 您需要熟悉它们以了解和使用策略服务器 for Cisco NAC 组件以下组件在实施趋势科技的策略服务器 for Cisco NAC 过程中是必需的 : 表 5-1 策略服务器 for Cisco NAC 组件组件 Cisco Trust Agent (CTA) 防毒墙网络版客户端计算机网络访问设备 Cisco Secure Access Control Server (ACS) 策略服务器防毒墙网络版服务器描述安装在客户端计算机上且允许它与其他 Cisco NAC 组件通信的程序安装了防毒墙网络版客户机程序的计算机要使用 Cisco NAC, 客户端计算机还需要 Cisco Trust Agent 支持 Cisco NAC 功能的网络设备受支持的网络访问设备包括一系列的 Cisco 路由器防火墙和访问接入点以及具有终端访问控制器访问控制系统 (TACACS+) 或远程拨号用户服务 (RADIUS) 协议的第三方设备要获取受支持设备的列表, 请参阅支持的平台和需求 ( 第 5-20 页 ) 通过网络访问设备从客户机接收防毒墙网络版客户机防病毒数据, 并将其传递到用于评估的外部用户数据库的服务器在稍后的过程中, ACS 服务器还会将评估的结果 ( 其中可能包括防毒墙网络版客户机的说明 ) 传递到网络访问设备接收和评估防毒墙网络版客户机防病毒数据的程序执行评估后, 策略服务器确定防毒墙网络版客户机应执行的操作, 然后通知该客户机执行这些操作向策略服务器报告当前病毒码和病毒扫描引擎版本, 策略服务器使用此信息评估防毒墙网络版客户机的防病毒状态 5-2

了解策略服务器 for Cisco NAC 术语熟悉以下与策略服务器 for Cisco NAC 相关的术语 : 表 5-2 与策略服务器 for Cisco NAC 相关的术语术语安全状态状态令牌客户机验证策略服务器规则策略服务器策略认证授权与核算 (AAA) Certificate Authority (CA) 数字证书定义客户机上防病毒软是否存在和当前状态在此实施中, 安全状态是指防毒墙网络版客户机程序是否存在于客户端计算机上某些防毒墙网络版客户机设置的状态以及病毒扫描引擎和病毒码是否是最新的在防毒墙网络版客户机验证后, 由策略服务器创建包括告知防毒墙网络版客户机执行一组指定操作 ( 如启用实时扫描或更新防病毒组件 ) 的信息评估客户机安全状态以及将状态令牌返回到客户机的过程包括策略服务器用以衡量防毒墙网络版客户机安全状态的可配置条件的准则规则还包括在安全状态信息与条件匹配的情况下客户机和策略服务器要执行的操作 ( 请参阅策略服务器策略和规则 ( 第 5-8 页 ) 以获取详细信息 ) 策略服务器衡量防毒墙网络版客户机安全状态的一组规则策略还包括在与策略关联的规则中的条件与安全状态不匹配的情况下客户机和策略服务器要执行的操作 ( 请参阅策略服务器策略和规则 ( 第 5-8 页 ) 以获取详细信息 ) 描述用于控制最终用户客户机访问计算机资源的三个主服务认证是指标识客户机 ( 通常通过使用户输入用户名和密码完成 ) 授权是指用户所具有用于发送特定命令的权限核算是指会话期间使用的资源度量, 通常存储于日志中 Cisco Secure Access Control Server (ACS) 是对 AAA 服务器的 Cisco 实施网络上的一个权威, 该权威分发数字证书以执行认证和保护计算机和 / 或服务器之间连接用于安全功能的附件通常, 证书通过 Web 服务器等服务器来认证客户机, 并包含以下内容 : 用户身份信息公共密钥 ( 用于加密 ) 和验证证书是否有效的 Certificate Authority (CA) 数字签名 5-3

趋势科技防毒墙网络版 8.0 管理员指南表 5-2 与策略服务器 for Cisco NAC 相关的术语术语远程认证拨号用户服务 (RADIUS) 终端访问控制器访问控制系统 (TACACS+) 定义需要客户机输入用户名和密码的认证系统 Cisco Secure ACS 服务器支持 RADIUS 通过用于认证最终用户客户机的 AAA 命令启用的安全协议 Cisco ACS 服务器支持 TACACS+ Cisco NAC 体系结构图 5-1 详细说明了带有上述组件的基本 Cisco NAC 体系结构 Cisco Secure Access Control Server (ACS) 趋势科技策略服务器 for Cisco NAC 防毒墙网络版服务器支持 Cisco NAC 的网络访问设备安装了 CTA 的防毒墙网络版客户机图 5-1 基本 Cisco NAC 体系结构 5-4

了解策略服务器 for Cisco NAC 图 5-1 中的防毒墙网络版客户机安装了 CTA, 并且只能通过支持 Cisco NAC 的网络访问设备来访问网络网络访问设备位于客户机和其他 Cisco NAC 组件之间注意 : 网络的体系结构将根据代理服务器路由器或防火墙是否存在而不同客户机验证顺序客户机验证指以下过程 : 评估防毒墙网络版客户机安全状态, 并在策略服务器认为客户机处于风险中时返回客户机将执行的指令策略服务器使用可配置的规则和策略验证防毒墙网络版客户机图 5-2 详细说明了当防毒墙网络版客户机尝试访问网络时, 事件发生的顺序 : 1. Cisco 网络访问设备首先在尝试访问网络时请求客户机的安全状态 2. 然后网络访问设备将安全状态传递给 ACS 服务器 3. ACS 服务器将安全状态传递给执行评估的策略服务器 4. 在一个单独的过程中, 策略服务器定期轮询防毒墙网络版服务器上的病毒码文件和病毒扫描引擎版本信息以使其数据保持最新然后, 策略服务器使用您配置的策略来比较这些信息与客户机安全状态数据 5. 比较完成后, 策略服务器创建状态令牌, 并将其传递回防毒墙网络版客户机 6. 最后, 客户机执行状态令牌中配置的操作 5-5

趋势科技防毒墙网络版 8.0 管理员指南防毒墙网络版客户机网络访问设备请求连接到网络 Cisco Secure ACS 策略服务器 for 防毒墙网络 Cisco NAC 版服务器请求病毒码和病毒扫描引擎的当前版本请求安全状态传递安全状态 ( 病毒码和病毒扫描引擎版本 ) 返回状态令牌传递安全状态返回状态令牌传递安全返回状态令牌返回病毒码和病毒扫描引擎的当前版本使用安全状态来验证客户机策略服务器使用策略对客户机安全状态与最新版本的病毒码文件与扫描引擎进行比较执行状态令牌中指定的操作并重试连接到网络 * 重复验证顺序 * 网络访问设备计时器过期后, 客户机会重试访问网络请参阅您的 Cisco 路由器文档以获取有关配置计时器的信息图 5-2 网络访问验证顺序 5-6

了解策略服务器 for Cisco NAC 策略服务器策略服务器负责评估防毒墙网络版客户机的安全状态并负责创建状态令牌它将安全状态与从防毒墙网络版服务器 ( 客户机是该服务器的成员 ) 接收的病毒码文件和扫描引擎进行比较它将状态令牌返回到 Cisco Secure ACS 服务器, 该服务器会接着将此令牌从网络访问设备传递到客户机当大量客户机同时尝试访问网络时, 在单个网络上安装更多策略服务器可以提高性能如果某个策略服务器无法操作, 这些策略服务器还可以用作备份如果一个网络上有多个防毒墙网络版服务器, 策略服务器将处理已在其中注册的所有防毒墙网络版服务器的请求同样, 多个策略服务器可以处理已在所有策略服务器上注册的一个防毒墙网络版服务器的请求图 5-3 详细说明了多个防毒墙网络版服务器和策略服务器的关系 5-7

趋势科技防毒墙网络版 8.0 管理员指南 Cisco Secure ACS 策略服务器防毒墙网络版服务器网络访问设备防毒墙网络版客图 5-3 多个策略服务器 / 防毒墙网络版服务器的关系也可以在安装了防毒墙网络版服务器的同一计算机上安装策略服务器策略服务器策略和规则策略服务器使用可配置的策略和规则来帮助实施贵组织的安全准则规则包括策略服务器用于比较防毒墙网络版客户机安全状态的特定条件如果客户机安全状态与在规则中配置的条件匹配, 则客户机和服务器会执行为该规则指定的操作 ( 请参阅策略服务器和防毒墙网络版客户机操作 ( 第 5-10 页 )) 策略包括一个或多个规则为网络上每个已注册防毒墙网络版服务器的爆发模式和正常模式分配一个策略 ( 请参阅爆发阻止 ( 第 3-9 页 ) 以获取有关网络模式的详细信息 ) 5-8

了解策略服务器 for Cisco NAC 如果防毒墙网络版客户机安全状态与属于该策略的规则中的条件匹配, 则防毒墙网络版客户机会执行为该规则配置的操作但是, 如果客户机安全状态与和该策略关联的规则中的任何条件都不匹配, 则仍可在客户机和服务器要执行的策略中配置缺省操作 ( 请参阅策略服务器和防毒墙网络版客户机操作 ( 第 5-10 页 )) 提示 : 如果希望防毒墙网络版域中的特定客户机与同一域中其他客户机具有不同的爆发模式和正常模式策略, 趋势科技建议重新构建域以将具有相似需求的客户机分组到一起 ( 请参阅防毒墙网络版域 ( 第 2-3 页 )) 规则组成规则包括安全状态条件与客户机关联的缺省响应以及客户机和策略服务器执行的操作安全状态条件规则包括以下安全状态条件 : 客户端计算机状态 : 客户端计算机是否处于引导状态客户机实时扫描状态 : 实时扫描是否已启用客户机扫描引擎版本当前状态 : 病毒扫描引擎是否为最新客户机病毒码文件状态 : 病毒码的新旧程度策略服务器通过检查以下内容之一来确定这些状态 : 病毒码文件是否比策略服务器旧特定数量的版本病毒码是否在在验证前特定天数内可用 5-9

趋势科技防毒墙网络版 8.0 管理员指南规则的缺省响应发生客户机验证时, 响应帮助您了解网络中防毒墙网络版客户机的情况显示在策略服务器客户机验证日志中的这些响应与状态令牌相对应从以下缺省响应中选择 : 正常 : 客户端计算机符合安全策略且未受感染检查 : 客户机需要更新其防病毒组件受感染 : 客户端计算机受感染或处于感染风险中转换 : 客户端计算机正处于引导状态隔离 : 客户端计算机正处于感染的高风险中且需要隔离未知 : 任何其他情况注意 : 无法添加删除或修改响应策略服务器和防毒墙网络版客户机操作如果客户机安全状态与规则条件匹配, 则策略服务器可以执行以下操作 : 在策略服务器客户机验证日志中创建条目 ( 请参阅客户机验证日志 ( 第 6-19 页 ) 以获取详细信息 ) 如果客户机安全状态与规则条件匹配, 则防毒墙网络版客户机可以执行以下操作 : 启用客户机实时扫描以便防毒墙网络版客户机可以扫描所有已打开或已保存的文件 ( 请参阅实时扫描 ( 第 2-22 页 ) 以获取详细信息 ) 更新所有防毒墙网络版组件 ( 请参阅组件更新 ( 第 2-6 页 ) 以获取详细信息 ) 5-10

了解策略服务器 for Cisco NAC 启用实时扫描时或更新后扫描客户机 ( 立即扫描 ) 在客户端计算机上显示通知消息缺省规则策略服务器提供缺省规则, 以为您配置设置提供基础这些规则涵盖常见及建议的安全状态条件和操作缺省情况下可用以下规则 : 表 5-3 缺省规则规则名称匹配条件满足条件时进行响应服务器操作客户机操作正常已启用实时扫描状态, 且病毒扫描引擎和病毒码为最新正常无无检查病毒码版本比客户机注册到的防毒墙网络版服务器上的版本至少旧一个版本检查在客户机验证日志中创建条目更新组件启用实时扫描或更新后, 在客户机执行自动立即清除在客户端计算机上显示通知消息注意 : 如果使用这条规则, 趋势科技建议使用自动部署自动部署帮助您在防毒墙网络版下载新组件后, 确保客户机能立即接收最新的病毒码转换客户端计算机正处于引导状态转换无无 5-11

趋势科技防毒墙网络版 8.0 管理员指南表 5-3 缺省规则规则名称匹配条件满足条件时进行响应服务器操作客户机操作隔离病毒码版本比客户机注册到的防毒墙网络版服务器上的版本至少旧五个版本隔离在客户机验证日志中创建条目更新组件启用实时扫描或更新后, 在客户机上执行自动立即清除和立即扫描在客户端计算机上显示通知消息未防护实时扫描状态被禁用受感染在客户机验证日志中创建条目启用客户机实时扫描在客户端计算机上显示通知消息策略组成策略包括任意数量的规则缺省响应和操作规则实施策略服务器以特定的顺序实施规则, 这允许您区分规则的优先次序可以更改规则的顺序添加新规则以及从策略中移除现有规则策略的缺省响应策略与规则类似, 包括缺省响应, 该响应可帮助您在客户机验证时了解网络上的防毒墙网络版客户机的情况但是, 仅当客户机安全状态与策略中的规则都不匹配时, 缺省响应才与客户机关联策略的响应与规则的响应相同 ( 请参阅规则的缺省响应 ( 第 5-10 页 ) 以获取响应列表 ) 5-12

了解策略服务器 for Cisco NAC 策略服务器和防毒墙网络版客户机操作通过将客户机状态信息与策略的每个规则关联, 策略服务器对客户机执行规则基于 Web 控制台上指定的正在使用中的规则, 规则按从顶到下的方式应用如果客户机状态与这些规则中的任何一个匹配, 与该规则相应的操作将部署到客户机上如果规则都不匹配, 则缺省规则将适用并且与缺省规则相应的操作将部署到客户机上缺省爆发模式策略使用正常规则评估防毒墙网络版客户机该策略强制与此规则不匹配的所有客户机立即实施受感染响应的操作缺省正常模式策略使用所有非正常规则 ( 转换未保护隔离和检查规则 ) 评估防毒墙网络版客户机该策略将不匹配任何这些规则的所有客户机归类为正常, 并且应用正常规则的操作缺省策略策略服务器提供缺省策略, 以为您配置设置提供基础有两种策略, 一种适用于正常模式, 另一种适用于爆发模式策略名称 : 缺省正常模式策略与策略相关的缺省规则 : 转换未防护隔离和检查如果所有规则均不匹配则响应 : 正常服务器操作 : 无客户机操作 : 无策略名称 : 缺省爆发模式策略与策略相关的缺省规则 : 正常如果所有规则均不匹配则响应 : 受感染 5-13

趋势科技防毒墙网络版 8.0 管理员指南服务器操作 : 在客户机验证日志中创建条目客户机操作 : 启用客户机实时扫描更新组件启用实时扫描时或更新后, 在客户机上执行立即扫描在客户端计算机上显示通知消息同步定期将策略服务器与已注册防毒墙网络版服务器同步, 以使策略服务器上病毒码与病毒扫描引擎的版本和服务器爆发状态 ( 正常模式或爆发模式 ) 与防毒墙网络版服务器相同使用以下方法执行同步 : 手动 : 可随时在摘要窗口上执行同步 ( 请参阅策略服务器的摘要信息 ( 第 6-17 页 )) 按时间表 : 设置使防毒墙网络版执行同步的时间表 ( 请参阅管理工具 ( 第 6-20 页 )) 5-14

了解策略服务器 for Cisco NAC 证书 Cisco NAC 技术使用以下数字证书在各种组件之间成功建立通信 : 表 5-4 Cisco NAC 证书证书 ACS 证书 CA 证书策略服务器 SSL 证书描述在 ACS 服务器和 Certificate Authority (CA) 服务器之间建立可信通信在将 ACS 证书保存在 ACS 服务器上之前, Certificate Authority 服务器会先签署此证书使用 Cisco ACS 服务器认证防毒墙网络版客户机防毒墙网络版服务器将 CA 证书 ( 包括 Cisco Trust Agent) 部署到 ACS 服务器和防毒墙网络版客户机在策略服务器和 ACS 服务器之间建立安全 HTTPS 通信在策略服务器安装过程中, 策略服务器安装程序会自动生成策略服务器 SSL 证书注意 : 策略服务器 SSL 证书是可选的但是, 趋势科技建议您使用该证书以确保仅加密数据才能在策略服务器和 ACS 服务器之间传送 5-15

趋势科技防毒墙网络版 8.0 管理员指南图 5-4 详细说明了有关创建和部署 ACS 和 CA 证书的步骤 : Certificate Authority (CA) 服务器 CA 证书 ACS 证书 CA 证书防毒墙网络版服务器 Cisco Secure ACS 服务器带 CTA 的 CA 证书防毒墙网络版客户机图 5-4 ACS 和 CA 证书的创建与部署 1. 在 ACS 服务器将签署请求发放到 CA 服务器之后,CA 会发放证书 (ACS 证书 ) 然后, ACS 证书安装在 ACS 服务器上请参阅 Cisco Secure ACS 服务器登记 ( 第 6-3 页 ) 以获取详细信息 2. 从 CA 服务器导出 CA 证书并安装到 ACS 服务器上请参阅 CA 证书安装 ( 第 6-3 页 ) 以获取详细信息 3. 将相同的 CA 证书副本保存在防毒墙网络版服务器上 4. 防毒墙网络版服务器使用 CTA 将 CA 证书部署到客户机请参阅 Cisco Trust Agent 部署 ( 第 6-8 页 ) 以获取详细信息 5-16