原始链接 防病毒产品的安装与日常维护 李 晖 “防病毒产品的安装与日常维护”听起来像个书名，仅通过一篇文章来把该问题谈清楚实属不易，我这里想通过几个实例，试着达到以点带面的效果。 一、NAVCE的安装与维护 诺顿反病毒企业版（Norton Antivirus Corporate Edition，简称NAVCE）自8.0版之后,因增加了了客户端防火墙而改称SCS（Symantec Client Security）。SCS由多模块组成： 　　管理模块——“系统中心控制台”、“中央隔离区控制台”、“升级服务控制台”、“防火墙管理工具”、“客户端推送工具”； 　　服务器模块——“反病毒服务器”、“隔离服务器”、“升级服务器”、“预警服务器”； 　　客户端模块——“反病毒客户端”和“防火墙客户端”。 可能是考虑到早期人们对微软管理控制台（MMC）还不十分熟悉的原故，7.x版的NAVCE在技术手册中对各模块的安装规定了严格的顺序，其时用户完全可以根据自身的需求，灵活掌握模块的搭配，我下面就推荐一套相对简捷的方案供参考。 所需模块包括：系统中心控制台、中央隔离区控制台、反病毒服务器、隔离服务器。 在这套方案有三项优势： 　　1．反病毒服务器模块内置的升级服务完全能够胜任中小局域网内客户端的自动升级服务，无需额外再安装升级服务器和与之配套的升级服务控制台。 　　2．反病毒服务器的“客户端登录扫描和安装”功能，可取代仅以纯32位操作系统为对象的客户端推送工具模块，该功能的安装对象包括所有Windows系统平台。 　　3．隔离服务器可以兼顾预警服务器模块功能，网管员可以通过中央隔离区控制台及时发现疫情并做出相应处理。 　　上述四个模块的安装非常简单，不用多说，我这里介绍一下客户端统一配送的细节和中央隔离区的服务器/客户端设置。 客户端统一配送步骤： 步骤1——在系统中心控制台左栏中展开树状目录——鼠标右击服务器名称——选择“所有任务”——选择“Symantec Antivirus”——选择“客户端登录扫描和安装”——在图1显示的窗口中为不同的操作系统选择安装方式——单击“确定”完成设置； 步骤2——从装有SCS服务器的Program Files\SAV\Logon目录下复制登录脚本文件Vplogon.bat和Nbpshpop.exe——至Win2K域控制器服务器的Windows\SYSVOL\sysvol\域名\scripts目录——（如果域控制器为NT，登录脚本要复制到每一台主域控制器和备份域控制器的Winnt\System32\Repl\Import\Scripts目录下）； 步骤3——在域控制器上为所有用户的“配置文件栏”添加vplogn.bat登录脚本文件。 上述三步，即可一次性完成局域网内所有终端的部署工作。 图1 中央隔离区的服务器/客户端设置步骤： 服务器设置——在系统中心控制台左栏中鼠标右击“Symantec中央隔离区（本地）”——选择“属性”——在图2显示的“常规”窗口中选中“使用IP监听”——键入端口号（建议大于1024）——单击“确定”完成隔离服务器设置。 图2 　　客户端设置——在系统中心控制台左栏中展开树状目录——鼠标右击服务器名称——选择“所有任务”——选择“Symantec Antivirus”——选择“隔离区选项”——在图3显示的窗口中填写隔离服务器名称或IP地址及端口号——单击“确定”完成客户端设置。 　　 　　 图3 　　SCS几乎不需要额外的日常维护，网管员只需定期通过中央隔离区控制台，掌握内网疫情即可。在结束SCS话题前，再介绍两项实用功能。 　　1．改换客户端的父服务器 　　无论是出于调试或负载均衡的考虑，网管员通常会安装多台反病毒服务器，这样就带来一个为客户端改换父服务器的问题，其实有一个非常简单的方法，修改注册表。 　　步骤1——打开“源”父服务器的注册表中的HKEY_LOCAL_MACHINE\SOFTWAREINTEL\LanDesk\VirusProtect6\CurrentVersion\ClientConfig项，分别修改“AlertDirectory”、“Parent”、“RemoteHomeDirectory”键值中的旧服务器名为新服务器名； 　　步骤2——在系统中心控制台左栏中展开树状目录——鼠标右击“源”父服务器名称——选择“所有任务”——选择“Symantec Antivirus”——选择“客户端实时防护选项”——单击“全部重设”； 　　这样，旧服务器名下的所有客户端将一次性全部转到新服务器名下。 　　2．基于WEB网页的客户端安装模式 　　对于未加入域的笔记本类移动终端，SCS已为网管员设计好了WEB安装网页，网管员要做的只是修改几个参数。 　　步骤1——为内网WWW网站添加clientinstall虚拟目录，路径指向反病毒服务器的Program Files\SAV\clt-inst\WEBINST，并在首页创建http:///clientinstall/超链； 　　步骤2——修改反病毒服务器Program Files\SAV\clt-inst\WEBINST\Start.htm文件中如下内容的value值： 　　　　　　　 　　步骤3——修改反病毒服务器Program Files\SAV\clt-inst\WEBINST\webinst\file.ini文件，改动过的各行内容如下： 　　　　　　　[General] 　　　　　　　FileCount=2 　　　　　　　LaunchApplication=setup.exe 　　　　　　　InstallOptions=/qb 　　　　　　　[Files] 　　　　　　　File1=setup.exe 　　　　　　　File2=grc.dat 步骤4——从反病毒服务器Program Files\SAV\clt-inst\Win32下复制Setup.exe、grc.dat两文件至Program Files\SAV\clt-inst\WEBINST\webinst目录。 完成上述四步后，笔记本类移动终端无需登录域，仅通过浏览器即可安装SCS客户端，而且安装过程无需用户干扰。 二、ePO的安装与维护 ePO 2.5版的安装与ePO 3.0版的新功能已有另文介绍（《网管员世界》2002年第10期和2003年第9期），我这里提几点维护中的问题。 可能是拥有众多企业用户、升级负担过重的缘故，每当美国网盟公司（NAI）有新病毒定义库发布时，本地ePO服务器轮询方式的升级难于及时到位，下面推荐一个解决办法。 首先去http://vil.nai.com/vil/join-DAT-list.asp处订阅病毒定义库公告，它使你能在第一时间获取升级信息。看到公告后再去http://www.nai.com/us/downloads/updates/default.asp处下载ePO专用升级包epo4XXXdat.zip，此处下载速度无论何时都非常之快。将升级包解压缩至硬盘临时目录后，打开ePO控制台，通过单击Repository——check in package——从硬盘临时目录找到程序加载包PkgCatalog.z，即可实现ePO病毒定义库的快速升级。 时下流行的病毒多带有黑客性质，它们会充分利用我们网络防毒工作中的瞬间纰漏（如因内网负载衡均问题导致的少数终端未升级到位、新入网终端防病毒客户端未推送到位等），偷袭我们的系统。一旦被这类病毒感染，系统注册表将受到篡改，即使日后你的防毒客户端和升级工作都到位了，也很难根除这类病毒。多数防病毒产品厂家都为这类病毒提供了特效清除工具，而且是“一把钥匙开一把锁方式”，一种工具只针对一种病毒。NAI出品的Stinger工具更像一把万能钥匙，它以版本升级的方式来不断扩充其功能，同时也为接受ePO的管理大开方便之门。下面介绍Stinger的部署方法。 步骤1——从http://vil.nai.com/vil/averttools.asp处下载Stinger的ePO专用程序包ePOSTG2XX.Zip，将其解压缩至硬盘临时目录； 　　步骤2——打开ePO控制台，通过单击Repository——check in package——从硬盘临时目录找到程序加载包PkgCatalog.z加载Stinger程序； 　　步骤3——通过单击Repository——check in NAP——Add new software to be managed——从硬盘临时目录找到策略加载包SNG2XX.NAP加载Stinger策略； 　　步骤4——通过单击Directory——Tasks——双击Deployment——单击settings——将McAfee AVERT Stinger程序推送至所有客户端； 　　步骤5——通过右击Directory——所有任务——Schedule Task——在图4显示的窗口中新建Stinger任务并选取McAfee AVERT Stinger 2.X.X策略； 　　步骤6——双击任务栏中的Stinger2XX——单击Schedule——设置扫描时间表。 图4 　　至此，你为那些穿透VirusScan的漏网之鱼又织了一张Stinger网。 三、关于微软的安全补丁 伴随“冲击波”病毒的出现，微软升级网站的知名度迅速攀升。每当微软有新补丁发布时，网民们蜂拥而至，抱怨登不上去者大有人在。而此刻最辛苦的还要算局域网的网管员。他除了要争取在第一时间为自己管辖的所有服务器升级外，还要为客户端下载适用于多种平台、多种语言环境的补丁包，之后还要检验这些补丁包是否都升级到位。往往一个补丁还未处理完毕，另一补丁又来了。人们不禁要问，微软首倡的“零管理”哪里去了？其实微软已先期推出了SUS（Software Update Services）服务，以此来兑现它的“零管理”。 SUS的安装很简单，网上相关文章也很多，我这里只提两个细节：部署客户端的组策略配置和SUS日志。 SUS客户端的部署分三步：下载SUS客户端程序、修改SUS组策略中的缺省值、创建自动安装SUS客户端的组策略。 步骤1——从微软网站http://go.microsoft.com/fwlink/?LinkId=6930处下载中文版客户端程序包wuau22chs.msi，并将其复制到SUS服务器的NETLOGON共享目录下（其实际路径在WINNT\SYSVOL\sysvol\DomainName\scripts下）。 步骤2——在已经部署了SUS服务的服务器上，点击开始——程序——管理工具——Active Directory用户和计算机——右击组织单元（OU），可以是域、组或用户——选择属性——选择组策略——点击新建——为该策略取名“SUS”——点击编辑——在新界面中右击“计算机配置”下的管理模板——选择添加/删除模板——点添加——浏览至WINNT\INF目录下，选择WUAU.adm文件后点打开——点关闭——在新界面中展开管理模板——Windows Components——Windows update，双击Configure Automatic Updates，修改升级方式和时间表——再次展开管理模板——Windows Components——Windows update，双击Specify intranet Microsoft update service location，填入本地SUS服务器IP地址。 步骤3——在已经部署了SUS服务的服务器上，点击开始——程序——管理工具——Active Directory用户和计算机，右击刚刚配置过的组织单元（OU）——选择属性——选择组策略——编辑SUS组策略——在新界面中展开计算机配置——软件设置——右击软件安装——选择新建——选择程序包——在文件名栏中填入 \\ServerName\NETLOGON\WUAU22CHS.msi——打开——选择已指派——确定。 一项服务搭建成功后，管理员势必要检验其效果，但SUS目前的版本未提供直观的管理界面。必须通过特殊手段从服务器和和客户端进行双向检验。 服务器端的检验手段是添加wutrack.bin日志： 开始——程序——管理工具——Internet服务管理器——点击Web站点——右击左栏中的wutrack.bin——选择属性——选中日志访问——确定。该日志文件存放在WINNT\SYSTEM32\LogFiles目录下，文件中相关记录的格式为： /wutrack.bin?U=&C=&A=&I=&D=&P=&L=&S=&E=&M=&X= 如何解读，请参见SUS白皮书《Deploying Microsoft Software Update Services》，第83页。 客户端的检验手段是查看注册表的HKEY_LOCAL_MACHINE\Software\Policies \Microsoft\Windows\WindowsUpdate项和Winnt/Windows目录下的Windows Update.log文件。 这里有必要谈一下防病毒产品与微软安全补丁间的关系。前者是当病毒发现系统的安全漏洞后试图攻击时加以防范，后者是主动弥补安全漏洞，像俗话所说的，彻底断了病毒的念想。 四、关于邮件网关的防毒 邮件服务器如同“木桶定理”中那块最短的木板，是网络防毒中最薄弱的环节。最佳解决方案当然是防病毒邮件网关，但对中小企业网络来说，专业的防病毒邮件网关设备价格过于昂贵。我在实际工作中发现，适时地更新邮件服务器的过滤规则，也能起到不错的效果。 根据收、发件人的排列组合，邮件服务器需要处理的邮件可分为四类： A/A型，两头在外型，即发件人、收件人均在外网； A/B型，发件人在外，收件人在内； B/A型，发件人在内，收件人在外； B/B型，发、收件人均在内网。 针对A/A型这类两头在外的邮件，可通过发件认证（Auth-Sender）规则，直接将其过滤掉； 针对A/B型邮件，可通过收件定向（Channel-To）加特定的防毒过滤规则，有条件地允许其通过； 针对B/A型邮件，可通过发件认证（Auth-Sender）、发件自律（User-From）加特定的防毒过滤等规则，净化外发邮件； B/A型邮件过滤规则亦适合B/B型邮件。 经整合后，具体过滤规则如下： ①Subject "hi" JUMP "badmail"②Attachment "*.pif" JUMP "badmail"③Attachment "*.scr" JUMP "badmail"④Auth-Sender:envonly ".+" EXIT ⑤User-From "company.com" JUMP "badmail"⑥Channel-To "company.com" EXIT ⑦:badmail $ANY".*" DROP "garbage@company.com" 其中：规则①针对今年春节前后广为流行的MyDoom病毒Subject特征的特定规则 （还可添加多条，这里暂略）； 　　　规则②③为常见病毒特征过滤规则； 　　　规则④是发件认证； 　　　规则⑤是发件自律； 　　　规则⑥是收件定向； 　　　规则⑦指定回收垃圾邮箱。 五、网络安全工作中的非技术因素 在谈及如今中小学生素质教育时，教育学家们特别强调非智力因素的培养，而对网管员来说，网络安全工作中的非技术因素同样不可忽视。下面介绍一下我们的相关措施： 首先是要建立完善的管理规章制度，这一点并不难，网上有大量的范本可供借鉴。 　　其次要为局域网内的所有终端建立文档，文档要包括IP地址、计算机名、主机名、网卡地址、硬件配制、操作系统版本、防毒产品版本、房间号、行政归属、联系人、联系电话等尽可能详尽的内容。 　　第三是加强员工的培训，倡导“一人为大家、大家为一人”的自律守则，人人有享受网络资源的权利，人人亦承担维护网络安全的义务，否则一损俱损。 　　最后通过引入“病毒动态报告”作为参照系，形成高透明度的监督机制。 　　“病毒动态报告”移植自ePO数据库，该库由SQL Server提供后台支持，借助数据库开放接口，我们可以有选择地将相关信息显示在动态网页上。通常情况下，只有网管员在ePO控制台才能看到的信息，普通用户通过点击网页超链即可随时查阅。关于“病毒动态报告”的制作过程将在另文中介绍。