网络安全 频道

赛门铁克 SEP 热点问题解答

  安装 SEPM 修补程序之后阻止 SEP 客户端接收完整定义而不是增量定义:

  如果已将 SEP 客户端配置为仅从 SEPM 接收内容更新,则无需采取任何操作。安装 SEPM 修补程序 后,SEP 客户端将继续从 SEPM 接收增量定义。

  如果已将 SEP 客户端配置为通过 LiveUpdate 接收内容更新,则在重新配置客户端以通过 SEPM 接收 内容更新前执行以下操作:

  1 继续通过 LiveUpdate 更新客户端

  2 当 SEPM 包含与向其报告的 SEP 客户端使用的 2010 定义修订匹配的 2010 缓存定义修订后,修改 LiveUpdate 内容策略,将客户端重新指向 SEPM 进行内容更新。

  有关此过程的详细信息,请参阅 Preventing Symantec Endpoint Protection (SEP) Clients from receiving FULL Antivirus/Antispyware definition packages from a patched Symantec Endpoint Protection Manager (SEPM)(阻止 Symantec Endpoint Protection (SEP) 客户端从安装修补程序的Symantec Endpoint Protection Manager (SEPM) 接收完整的防病毒/反间谍软件定义软件包):

  http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2010010821395848

  SNAC 解决方法和信息:

  本部分包括针对 Symantec Network Access Control 产品的信息。 有两种方法可以防止 SNAC 客户端由于定义过时而导致 HI 检查失败:

  ■ 配置客户端,使其直接从 LiveUpdate 下载日期正确的定义。有关更多详细信息,请参见“SEP 客 户端解决方法和信息”部分后面的“配置客户端以从 LiveUpdate 服务器下载内容”。

  ■ 增加客户端的主机完整性策略中的“天数”设置(请参见下面的“修改客户端的 SNAC HI 策 略”)。由于此时尚不能确定修补程序的时间表,因此建议的天数为 30 天。

  修改客户端的 SNAC HI 策略:

  更改 HI 防病毒/反间谍软件要求中的防病毒/反间谍软件签名日期的步骤:

  1 在 SEPM 上,依次单击“策略”、“主机完整性”,然后双击打开指定的 HI 策略,或单击“添 加主机完整性策略”添加一项新策略。

  2 单击“要求”。

  3 双击现有的防病毒/反间谍软件要求,或单击“添加…”以添加一项新的防病毒/反间谍软件要求。

  4 “防病毒签名文件检查”(或针对反间谍软件要求的“反间谍软件签名文件检查”)下有几项设 置。例如,选中“指定签名文件的最长时间”并指定 30 天。

  5 单击“确定”按钮两次。

  更改 HI 自定义要求中的防病毒/反间谍软件签名日期的步骤:

  1 在 SEPM 上,依次单击“策略”、“主机完整性”,然后双击打开适用的 HI 策略,或单击“添 加主机完整性策略”添加一项新策略。

  2 单击“要求”

  3 双击现有的 HI 自定义要求,或单击“添加…”以添加一项新的 HI 自定义要求

  4 单击“添加”,然后单击“如果...则...”(或右键单击“自定义要求脚本”中的某个位置添加“如 果...则...”,或单击现有的“如果...则...”进行编辑)。

  5 单击“选择条件:”打开下拉列表。

  6 选择“防病毒: 防病毒签名文件是最新的”或“反间谍软件: 反间谍软件签名文件是最新的”。

  7 可通过几项设置来检查防病毒/反间谍软件签名日期。例如,可选中“检查签名文件时间 (天数)

  是否少于”并指定 30 天。

  8 单击“确定”按钮两次。

  SEPM 和 SPC 解决方法和信息:

  本部分包括针对 Symantec Endpoint Protection Manager 和 Symantec Protection Center 的信息。

  相关 SEPM 问题:

  客户可能还会注意到他们的 SEPM 磁盘空间逐渐被位于以下位置之一中的 tmp 文件夹填充:

  ■ \Program Files\Common Files\Symantec Shared\SymcData\sesmvirdef32

  ■ \Program Files\Common Files\Symantec Shared\SymcData\sesmvirdef64

  ■ \Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\content

  有关解决此问题的信息,请参见以下文章:

  http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2010010617161948?Open&seg=ent

  如何阻止 LiveUpdate 更新 SEPM/SPC:

  可以通过以下方法阻止 LiveUpdate 对 SEPM/SPC 安装修补程序并解决此问题:在连接到 LiveUpdate的 SEPM/SPC 计算机上创建注册表项。此选项仅用于更改控制策略非常严格的客户。

  注意:创建此注册表项后,客户必须手动安装 SEPM 修补程序才能下载日期为 2010 的定义。手动安

  装修补程序的工具将在可用时在此 KB 文章中发布。

  对于 32 位 SEP 11.0.x 客户:

  在 SEPM 计算机上,创建以下 DWORD 注册表项并将值设为 0

  HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM\AllowSoftwareLiveUpdate

  (DWORD) = 0

  对于 64 位 SEP 11.0.x 客户:

  在 SEPM 计算机上,创建以下 DWORD 注册表项并将值设为 0

  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\ SEPM\AllowSoftwareLiveUpdate (DWORD) = 0

  对于 32 位 SEP SBE 12.0.x 客户:

  在 SPC 计算机上,创建以下 DWORD 注册表项并将值设为 0

  HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SPC\AllowSoftwareLiveUpdate

  (DWORD) = 0

  对于 64 位 SEP SBE 12.0.x 客户:

  在 SPC 计算机上,创建以下 DWORD 注册表项并将值设为 0

  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\ SPC\AllowSoftwareLiveUpdate (DWORD) = 0

  如果在 Symantec 发布针对此问题的修补程序后发现一个新的 LiveUpdate 软件包下载到 SEPM/SPC, 不必担心。 此软件包更新 SEPM/SPC 的跟踪数据,不会更新服务器软件。

  针对使用快速发布病毒定义的用户的补充:

  本部分包括有关使用快速发布定义的信息。

  在某些情况下,Symantec 支持人员将建议在活动感染期使用快速发布 (RR: Rapid Release) 病毒定 义。由于 RR 智能更新程序 (IU) 定义的日期是正常的,因此在已达到定义修订阈值的 SEPM 上它们将 会被立即删除。有两种解决方法可允许使用快速发布定义:

  配置 SEPM/受管 SEP 客户端以使用快速发布定义:

  此方法将允许 SEPM 仍支持正常认证的定义(无任何间断),同时支持快速发布定义。

  1 单击 SEPM 控制台内的“管理”选项卡

  2 单击“服务器”选项卡

  3 单击“本地站点”

  4 单击“任务”窗格中的“编辑站点属性”

  5 单击 LiveUpdate 选项卡

  6 增加“保留的内容修订数”,增加的值为预计所需的快速发布定义集的数目。每增加一个修订都 将允许 SEPM 多保留一个快速发布定义集。完整的 32/64 位病毒定义集每一缓存修订大约占用

  260MB。确保您具有足够的磁盘空间来存储所需的附加定义集。这具有现有客户端可以使用增量 来继续更新的优点,但服务器必须可以处理更大的磁盘空间占用。

  7 单击“确定”应用这些更改

  8 将 RR jdb 文件应用于 SEPM

  9 单击 SEPM 控制台内的“策略”选项卡

  10 从“查看策略”窗格选择 LiveUpdate

  11 单击“LiveUpdate 内容”选项卡

  12 选择需要 RR 定义的客户端使用的 LiveUpdate 内容策略,然后单击“任务”窗格中的“编辑策 略”

  13 在 LiveUpdate 内容策略编辑器窗口中选择“安全定义”选项卡

  14 找到防病毒和反间谍软件定义部分并单击“编辑”按钮

  15 从下拉列表中为 32 位和 64 位防病毒和反间谍软件定义选择正确的 RR 修订

  16 单击“确定”关闭修订选择窗口

  17 单击“确定”关闭 LiveUpdate 内容策略编辑器窗口

  配置受管 SEP 客户端以不再使用快速发布定义:

  1 单击 SEPM 控制台内的“管理”选项卡

  2 单击“服务器”选项卡

  3 单击“本地站点”

  4 单击“任务”窗格中的“编辑站点属性”

  5 单击 LiveUpdate 选项卡

  6 减小“保留的内容修订数”的值,减小的修订数与为处理附加 RR 定义集而对此数增加的数目相

  同

  7 单击“确定”应用这些更改

  8 单击 SEPM 控制台内的“策略”选项卡

  9 从“查看策略”窗格选择 LiveUpdate

  10 单击“LiveUpdate 内容”选项卡

  11 选择当前使用 RR 定义的客户端使用的 LiveUpdate 内容策略,然后单击“任务”窗格中的“编 辑策略”

  12 在 LiveUpdate 内容策略编辑器窗口中选择“安全定义”选项卡

  13 找到防病毒和反间谍软件定义部分并单击“编辑”按钮

  14 从下拉列表中为 32 位和 64 位防病毒和反间谍软件定义选择 12/31/2009 定义的最新修订

  15 单击“确定”关闭修订选择窗口

  16 单击“确定”关闭 LiveUpdate 内容策略编辑器窗口

  17 客户端成功切换到 12/31/2009 rev xxx 定义后,使用“使用最新可用的”重新编辑 LiveUpdate

  内容策略

  18 进行此项策略更改后立即在 SEPM 上运行 LiveUpdate,以确保从 SEPM 的定义缓存中删除 RR

  定义

  针对 LiveUpdate Administrator 用户的补充:

  本部分包括有关配置 LiveUpdate Administrator 以使用 2010 定义问题修补程序更新 SEPM 的信息。

  LiveUpdate Administrator (LUA) 用户不需要任何变化,以下情况除外:

  ■ SEPM 配置为通过 LUA 而不是公开的 LiveUpdate 来下载更新并且

  ■ SEP 客户端配置为从其 SEPM 下载更新

  有关确保 SEPM 可以使用通过 LUA 下载的日期为 2010 的定义来更新 SEP 客户端的信息,请参阅 Downloading and hosting the Symantec Endpoint Protection Manager (SEPM) 2010 definitions patch via LiveUpdate Administrator (LUA)(通过 LiveUpdate Administrator (LUA) 下载并托管 Symantec Endpoint Protection Manager (SEPM) 2010 定义修补程序): http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2010010901022848

  Symantec Endpoint Protection Manager 目录包含许多 .TMP 文件

  夹,这些文件夹占用大量的磁盘空间

0
相关文章