Symantec AntiVirus10.x完全技术手册

admin管理员组

文章数量:1571192

2023年12月22日发(作者：)

1 Symatec AntiVirus基础知识：

1.1 Symantec 防病毒产品线

 单机版

 Norton AntiVirus 2002/2003/2004/2005/2006/2007；

 Norton Internet Security 2002/2003/2004/2005/2006/2007；

 Norton Personal Firewall 2006；

 Norton 360；

 企业版

 Symantec AntiVirus 7.6/8.1/9.0/10.0/10.1/10.2；

 Symantec Client Security 1.0/2.0/3.0/3.1/3.2；

1.2 概述：

 SAV即Symantec AntiVirus（Symantec企业版防病毒产品）；

1.3 功能：

 增强对间谍软件、木马、钓鱼软件、广告软件等威胁的防护能力；

 新增―防篡改‖功能，防止防病毒客户端的进程、服务被病毒结束；

 增强的病毒处理能力，可以结束病毒的进程，再对病毒文件、受影响注册表键值进行处理；

 新增报告服务器功能，可根据时间、病毒名称等，通过图形化报表的形式进行统计报告；

 防病毒客户端、服务器之间的通信采用PKI体系进行认证、加密。

1.4 版本：

 程序版本：10.1.5.5000、

 扫描引擎：71.1.0.11（当前状态，可随病毒库升级）；

1.5 系统组件：

 Symantec System Center；

 Symantec AntiVirus 服务器端；

 Symantec AntiVirus 客户端；

 Symantec Liveupdate 实用工具；

 Symantec 报告服务器；

 Symantec 中央隔离区服务器；

1.6 通讯端口：

 SAV10.X：TCP 2967；

 SAV7.X、8.X、9.X：UDP 2967；

1.7 通讯过程：

 具备SAV服务器的文件（服务器标识）

 NETBIOS解析对方计算机名称；

 PKI证书认证对方是否可信；

 下载病毒库和策略配置；

1.8 通讯机制：

 SAV客户端每天第一次开机后会主动连接SAV服务器，；

 SAV服务器在自身更新完最新的病毒库后会主动向接受管理的SAV客户端推送此此病毒库和策略配置；

 SAV服务器和SAV客户端日常通信周期是每60分钟通信一次；

1.9 SAV常用程序路径说明：

 PKI证书路径：

C:Program FilesSymantec AntiViruspkiroots

 病毒库文件路径：

C:Program FilesCommon FilesSymantec SharedVirusDefs

 日志文件路径：

C:Documents and SettingsAll UsersApplication DataSymantecSymantec

AntiVirus Corporate Edition7.5Logs

 隔离区路径：

C:Documents and SettingsAll UsersApplication DataSymantecSymantec

AntiVirus Corporate Edition7.5Quarantine

 迁移客户端操作：

将新的SAV服务器的文件拷贝到此SAV客户端：

C:Documents and SettingsAll UsersApplication DataSymantecSymantec

AntiVirus Corporate Edition7.5

1.10 SAV主进程：；

1.11 SAV主服务名称：Symantec Antivirus；

2 Symatec AntiVirus安装说明：

2.1 SAV 10.1服务器安装准备：

 支持Win 2000/2003 Server操作系统；

 建议使用Xeon处理器、1G以上内存、60GB以上硬盘、单网卡的专用服务器；

 建议1台SAV服务器管理2000台以内的SAV客户端；

 建议设置复杂的操作系统密码、修补操作系统关键补丁程序；

 如：Win2000 Server+SP4+IE6+IIS+SQL；

 如：Win2003 Server+SP1+IIS+SQL；

 注意：安装时要启用网卡、开启Windows默认共享。

2.2 SAV10.1服务器的安装过程：

2.3 SAV 10.1报告服务器安装前准备：

 必须安装IIS4.0以上的版本；

 建议安装SQL Server 2000企业版，同时安装SP3或更高的补丁；

 建议设置复杂的SQL SA帐户的密码，同时将SQL安全性设置为：―SQL Server和Windows”

 选择“接受协议”，进行下一步的安装；

 配置报告服务器admin帐号的密码；

 选择“在本机数据库上安装”

 如果使用MSDE安装需设置SQL SA帐户密码；如果使用SQL2000安装输入SQL SA帐户密码；

2.4 SAV 10.1客户端安装准备：

 不支持Windows98SE/NT操作系统；

 建议终端计算机的内存配置高于256MB；

2.5 SAV10.1系统中心的安装：

 选择“接受协议”，进行下一步的安装；

 选择安装组件，进行下一步的安装；

 配置安装程序路径；

3 Symatec AntiVirus策略配置：

3.1 将指定SAV服务器升级为一级服务器

3.2 客户端日志转发

SSC－SAV服务器组－所有任务－Symantec AntiVirus－客户端日志转发

3.3 病毒定义管理器

SSC－SAV服务器组－所有任务－Symantec AntiVirus－病毒定义管理器

3.4 客户端自动防护选项

SSC－SAV服务器组－所有任务－Symantec AntiVirus－客户端自动防护选项

3.5 客户端防篡改选项

SSC－SAV服务器组－所有任务－Symantec AntiVirus－客户端防篡改选项

3.6 客户端管理员专用选项

SSC－SAV服务器组－所有任务－Symantec AntiVirus－客户端管理员专用选项

3.7 服务器调整选项

SSC－SAV服务器组－所有任务－Symantec AntiVirus－服务器调整选项

4 Symatec AntiVirus日常维护：

4.1 SAV客户端部署注意事项：

 建议使用WINS或DNS等自动方式实现SAV客户端正常解析SAV服务器的计算机名称的要求；

 不支持Win98Se操作系统，支持Win2000/XP/2003等操作系统，建议终端计算机的内存配置在256MB以上时可部署SAV客户端；

 对于在局域网部署的可接受管理的SAV客户端，必须具备SAV服务器的和PKI证书文件；

 对于已安装Norton单机版或其他防病毒、防火墙软件的客户端需先卸载后再安装SAV3.1客户端；

 建议设置复杂的操作系统管理员密码、修补操作系统关键系统补丁、关闭多余的系统后台服务、尽量只开放只读的共享目录；

4.2 SAV报告服务器的维护：

 定期登录/reporting报告服务器查看客户端日志；

 定期登录/reporting报告服务器生成客户端报告；

4.3 SAV系统中心的维护：

 此控制台可以安装在局域网内任意计算机上，只要保证可跟SAV服务器正常通讯即可；

 定期查看客户端感染病毒、木马等安全风险的状态；

 定期查看客户端病毒定义库升级清苦；

 定期查看指定服务器的客户端总数；

4.4 SAV服务器的病毒库升级维护：

 通过SSC的策略配置实现SAV服务器定时自动的更新病毒库；

 SAV病毒库升级的3种方式：

 SAV客户端每天第一次开机后会主动连接SAV服务器，如有比SAV客户端本地的病毒库更新的病毒库时，即会自动下载并更新的；

 SAV服务器在自身更新完最新的病毒库后会主动向接受管理的SAV客户端下发此最新的病毒库的；

 SAV服务器和SAV客户端日常通信周期是每60分钟通信一次；

 手动升级SAV服务器病毒库方式：

 访问Symantec官方病毒库下载地址：

/avcenter/download/pages/

 下载XDB文件并拷贝到SAV服务器的以下目录：

C:Program FilesSAVSymantec AntiVirus

 再重启SAV服务器的Symantec AntiVirus服务即可；

4.5 SAV防病毒策略维护：

 配置SAV服务器定时自动升级病毒库；

 兼容低版本的SAV客户端管理方式；

 强制SAV客户端防病毒策略；

 修改卸载密码；

5 Symatec AntiVirus常见问题处理：

5.1 如何解决SAV服务器无法升级病毒库问题：

 解析Symantec升级地址正常：

 排错时查看SAV服务器的系统日志，确定升级失败的可能性；

5.2 如何解决SAV客户端无法升级病毒库问题：

 保证SAV客户端解析SAV服务器的计算机名称正常；

 保证SAV客户端具备SAV服务器的PKI证书；

 手动重启SAV客户端的Symantec AntiVirus服务以加快升级速度；

 排错时可以查看SAV客户端的系统日志，确定升级失败的可能性

5.3 如何解决SAV报告服务器无法登录问题：

 登录报告服务器（Reporting Server）时提示帐号锁定或禁用导致无法登录： 解决方法：登录到SAV10.1服务器，进入CMD命令行模式下。

osql –E

Use Reporting;

Update adminuser set Locked=’’ where username=’admin’;

go exit

5.4 如何安全彻底的查杀病毒：

 断开网络；

 关闭Windows XP系统还原功能；

 升级到最新的病毒库；

 进入操作系统的安全模式下查杀病毒；

 对于特定病毒可以使用专杀工具；

 设置复杂的操作系统管理员密码；

 修补操作系统关键系统补丁；

6 Symatec AntiVirus版本升级操作：

6.1 升级的原因

 Symantec AntiVirus10.1.0.394版本的防病毒系统存在技术漏洞（SYM06-010漏洞 ），并且已有的变种病毒已利用此漏洞，可能造成此版本的防病毒系统缓冲区堆栈溢出，从而导致SAV服务意外终止和远程攻击者获得本地管理员权限；

 受影响的Symantec AntiVirus版本：10.0.2.2010、10.0.2.2020、10.1.0.394；

 解决方法：升级至SAV10.1.5.5000版本；

6.2 如何将SAV服务器从SAV10.1.0.394升级到SAV10.1.5.5000版本

 卸载SAV10.1.0.394版的服务器端程序；

 控制面板—添加删除程序—Symantec AntiVirus—卸载；

 卸载SAV10.1.0.394版的SSC系统控制台程序；

 控制面板—添加删除程序—Symantec System Center—卸载；

 卸载SAV10.1.0.394版的报告服务器程序；

 控制面板—添加删除程序—Reporting Server—卸载；

 安装SAV10.1.5.5000版的服务器端程序；

 安装SAV10.1.5.5000版的SSC系统控制台程序；

 安装SAV10.1.5.5000版的报告服务器程序；

 “注意备份SAV10.1服务器的PKI证书文件夹，默认路径：C:Program FilesSAVPKI”

6.3 如何将SAV服务器从SAV7.X、8.X、9.X升级到SAV10.1.5.5000版本

 卸载SAV7.X、8.X、9.X版的服务器端程序；

 控制面板—添加删除程序—Symantec AntiVirus—卸载；

 卸载SAV7.X、8.X、9.X版的SSC系统控制台程序；

 控制面板—添加删除程序—Symantec System Center—卸载；

 安装SAV10.1.5.5000版的服务器端程序；

 安装SAV10.1.5.5000版的SSC系统控制台程序；

 安装SAV10.1.5.5000版的报告服务器程序；

 ―SAV7.X、8.X、9.X可以在不卸载的情况下，采取更新安装的方式升级到SAV10.1.5.5000版本‖

 “注意备份SAV10.1服务器的PKI证书文件夹，默认路径：C:Program FilesSAVPKI”

6.4 如何恢复对原有SAV10.1客户端的兼容管理

 保持原先先按照正常的步骤，重新安装Symantec10.X防病毒系统，之后使用Symantec System Center（Symantec系统中心）将防病毒服务器设置成“一级服务器”；

 进入操作系统的“服务”控制台，将“Symantec Antivirus”的服务停止，关闭Symantec System Center；

 将Symantec防病毒服务器默认安装目录“C:Program FilesSAV”下面的PKI文件夹删除，再将原先备份的PKI文件夹，复制到默认安装目录“C:Program FilesSAV”下面；

 修改注册表键值；

 打开原先备份的“PKIPrivate-Keys”文件夹，找到“

name>..”格式的文件，将“”这部分的串码值记录下来；

 打开注册表编辑器（）。

 找到

 ―HKEY_LOCAL_MACHINESOFTWAREIntelLANDeskVirusProtect6CurrentVersion‖下面的“DomainGuid”键值，进行编辑，删除原先的内容，将第“1）”步中记录的“”这部分的值输入到该键值；

 找到

 ―HKEY_LOCAL_MACHINESOFTWAREIntelLANDeskVirusProtect6CurrentVersionDomainData‖下面的“DomainGuid”键值，进行编辑，删除原先的内容，将第“1）”步中记录的“”这部分的值输入到该键值。

进入系统的“服务”控制台，将“Symantec Antivirus”的服务启动；

打开Symantec System Center（Symantec系统中心），将服务器组解锁，此时你可能会看到提示“用户名、密码不正确”，不要着急，在防病毒一级服务器上打开默认安装的“C:Program

FilesSymantecSymantec System CenterTools”文件夹，运行“”文件，重新输入新的用户名和密码，这样再打开Symantec System Center，将服务器解锁时输入新的用户名密码就可以进去了，看看以前的客户端是不是已经出现了！如果没有请等待一会再看。

7 制作SAV10.1.5.5000客户端安装包文件：

 制作防病毒客户端安装包；

防病毒客户端的安装程序文件位于防病毒服务器的安装目录下，默认路径为c:Program filessavCLT-INSTWIN32或c:Program filesSymantec

AntivirusCLT-INSTWIN32，该目录中的所有文件就是客户端的安装程序。

以下操作将讲解如何制作防病毒客户端，在防病毒服务器上安装“Winrar”工具，之后将上面描述的防病毒客户端程序文件全选，单击鼠标右键选择“添加到压缩文件”，

在弹出的对话框中选择“创建自解压格式压缩文件”。

点选“高级”选项卡，在该对话框中点击“自解压选项”按钮。

按照下图，在文本框中输入相应的值。

再点击“模式”选项卡，选择“全部隐藏”、“覆盖所有文件”，单击“确定”按钮。

之后Winrar程序会将防病毒程序文件进行打包，生成一个自解压的“.EXE”文件。

 安装防病毒客户端安装包；

制作完防病毒客户端安装包后，使用该客户端安装包直接安装即可，安装包可以升级9.0以及更低版本的防病毒客户端，不用卸载原有防病毒客户端程序。

附：Symantec官方网站链接：

1、Symantec官方网站：

2、Symantec Security Response（Symantec安全响应中心）：

3、Virus Encyclopedia（Symantec病毒资料）：

/avcenter/

4、Virus Removal Tools（Symantec病毒专杀工具下载）：

/avcenter/

5、Virus Definition Updates（Symantec最新病毒定义库下载）：

/avcenter/

6、KnowledgeBase（Symantec技术知识库资料）：

/techsupp/enterprise

7、可疑文件上传分析（Upload a suspected infected file）

/gold

8、Symantec官方在线安全扫描－Symantec Security Check

/sscv6/?langid=cs&venid=symnis&plfid=23&pkj=GEZMLHFEPGEVVSDUXLX&bhcp=1

本文标签： 客户端服务器防病毒安装升级