SEP全功能安全软件客户端操作指南.docx
《SEP全功能安全软件客户端操作指南.docx》由会员分享,可在线阅读,更多相关《SEP全功能安全软件客户端操作指南.docx(111页珍藏版)》请在冰豆网上搜索。
SEP全功能安全软件客户端操作指南
SymantecEndpointProtection
客户端操作手册
客户端简介
关于客户端
SymantecEndpointProtection保护计算机不受Internet威胁和安全风险的入侵。
它可以执行下列操作:
■扫描计算机上的病毒、已知威胁和安全风险。
■监控端口上的已知攻击特征。
■监控计算机上程序的可疑行为。
关于通知区域图标
客户端会使用通知区域图标,指示客户端是联机还是脱机,以及客户端计算机是否
受到充分的保护。
您可以右键单击此图标以显示常用命令。
此图标位于桌面的右下
角。
表1-1显示了SymantecEndpointProtection客户端状态图标。
表1-1SymantecEndpointProtection状态图标
隐藏及显示通知区域图标
若有必要,您可以隐藏通知区域图标。
例如,当您在Windows任务栏上需要更多
空间时,可以将它隐藏起来。
1在主窗口的边栏中,单击“更改设置”。
2在“更改设置”页面的“客户端管理”旁,单击“配置设置”。
3在“客户端管理设置”对话框中“常规”选项卡的“显示选项”下,取消选中在通知区域中显示Symantec安全图标”。
4单击“确定”。
显示通知区域图标
1在主窗口的边栏中,单击“更改设置”。
2在“更改设置”页面的“客户端管理”旁,单击“配置设置”。
3在“客户端管理设置”对话框中“常规”选项卡的“显示选项”下,选中“在通知区域中显示Symantec安全图标”。
4单击“确定”。
保持计算机最新防护功能的方式
Symantec的工程师们对所报告的计算机病毒发作情况进行跟踪以识别新的病毒。
他们也会跟踪混合型威胁、安全风险(如间谍软件)以及在计算机连接Internet时
可攻击的其他漏洞。
在标识出风险之后,他们便会撰写特征(即关于风险的信息),
然后将它存储在定义文件中。
此定义文件包括检测、删除和修复风险影响所需的信
息。
当SymantecEndpointProtection扫描病毒和安全风险时,便会搜索这些类型
的特征。
客户端必须保持最新的其他项目还包括允许和限制的进程列表以及攻击特征。
进程
列表可帮助TruScan主动型威胁扫描识别可疑的程序行为,即使客户端并未识别出
特定的威胁。
攻击特征则可提供入侵防护系统保护计算机免受入侵所需要的信息。
除了定义文件、进程列表和攻击特征,客户端还必须不定期更新其组件。
这些组件
可包括防病毒和防间谍软件防护引擎、TruScan主动型威胁扫描引擎以及网络威胁
防护防火墙。
这些更新可能包含小型缺陷修复或产品增强功能。
Symantec会不断提供更新。
Symantec安全响应中心每天都会更新定义文件。
新的
病毒定义至少每周使用LiveUpdate发送一次,每当新的破坏性病毒出现时,还会
随时进行更新。
关于Symantec安全响应中心的角色
SymantecEndpointProtection的强大后盾是Symantec安全响应中心。
Symantec
安全响应中心的研究人员会分解每一个病毒和安全风险样本以发现其典型特征和行
为。
他们会使用此信息开发Symantec产品用以检测、排除和修复病毒与安全风险
所造成影响的定义文件。
由于新种病毒散播的速度相当快,Symantec安全响应中心已开发出自动化的软件
分析工具。
若您能将受感染的文件从计算机提交到Symantec安全响应中心,将能
大幅缩短发现病毒、进行分析和开发出解毒方法的时间。
Symantec安全响应中心的研究人员还研究和开发出了一些技术以保护计算机免受
安全风险(如间谍软件、广告软件和黑客工具)的侵害。
Symantec安全响应中心还维护一个病毒大全,它提供了有关病毒和安全风险的详
细信息。
必要时,病毒大全会提供关于删除风险的信息。
病毒大全位于Symantec
安全响应中心网站,网址如下:
客户端更新防护功能的方式
您可以使用LiveUpdate更新软件和定义文件。
如果您的客户端使用默认的LiveUpdate设置,它会通过Internet从Symantec服务器每周检查一次更新。
您可以更改LiveUpdate检查更新的频率。
如果知道有病毒或其他安全风险爆发时,还可以手动运行LiveUpdate。
手动更新策略文件
控制客户端防护的设置保存在计算机中的一个策略文件中。
策略文件用于更新防病
毒和防间谍软件防护、网络威胁防护、主动型威胁防护和网络访问控制的设置。
此
策略文件通常会自动更新。
不过,如果您不想等候策略文件的自动更新,则还可以
手动更新策略文件。
注意:
您可以查看系统日志,确认操作已成功更新策略。
手动更新策略文件
1在Windows通知区域中,右键单击客户端图标。
2在弹出菜单中,单击“更新策略”。
验证是否已更新策略
在客户端上更新策略后,即可检查客户端是否已收到该策略。
验证客户端计算机是否已获取更新的策略
1在客户端计算机的主SymantecEndpointProtection窗口中,单击“查看日志”。
2在“客户端管理”旁,单击“查看日志”,再单击“系统日志”。
将看到策略更新的条目,其中包含序列号。
获取更多信息
如果需要更多信息,可访问联机帮助。
您可以从Symantec安全响应中心网站获取
有关病毒及安全风险的其他信息,网站URL是:
访问联机帮助
客户端联机帮助系统提供常规信息与步骤,帮助您保护计算机不受病毒和安全风险
的侵袭。
访问联机帮助
◆在主窗口中,执行下列任一操作:
■单击“帮助和支持”,然后单击“帮助主题”。
■在任意单个对话框中,单击“帮助”。
与上下文相关的帮助只能在可执行操作的屏幕中使用。
■在任何窗口中,按F1。
如果该窗口有与上下文相关的帮助,则会出现上下文相关帮助。
如果没有上下文相关帮助,则会出现完整的帮助系统。
访问Symantec安全响应中心网站
如果已连接到Internet,则可以访问Symantec安全响应中心网站以查看下列项目:
■病毒大全,其中包含有关所有已知病毒的信息
■有关恶作剧病毒的信息
■有关病毒和病毒威胁一般性说明的白皮书
■有关安全风险的常规信息和详细信息
若要访问Symantec安全响应中心网站,请使用下列URL:
■在Internet浏览器中,键入以下网址:
响应客户端
关于客户端交互
客户端在后台运行,从而保护您的计算机不受恶意活动的攻击。
有时,客户端需要
通知您有关活动,或者提示您提供反馈。
如果客户端上已启用SymantecEndpointProtection,您可能会遇到下列类型的客
户端交互:
病毒或安全风险检测如果自动防护或扫描检测到病毒或安全风险,将显示
“SymantecEndpointProtection检测结果”对话
框,其中包含有关感染的详细信息。
该对话框还会显
示SymantecEndpointProtection处理风险时采取
的操作。
除了查看活动和关闭对话框之外,您通常不
需要采取其他任何操作。
然而,若有必要,您也可以
采取操作。
应用程序相关通知当计算机上的程序试图访问网络时,Symantec
EndpointProtection会提示您允许还是拒绝权限。
安全警报SymantecEndpointProtection会通知您已禁止程序
或已检测到危害您的计算机的攻击。
处理受感染的文件
自动防护默认会持续在计算机上运行。
当启动计算机时,就会运行自动生成的活动扫描。
自动防护在检测到风险时,会显示结果对话框。
扫描运行时,会出现扫描对话框,显示扫描结果。
如果您收到这类通知,可能需要对受感染的文件采取操作。
自动防护和所有扫描类型的默认选项是清除检测到的受感染文件中的病毒。
如果客
户端不能清除文件,就会记录这个失败,并将受感染的文件移到隔离区。
本地隔离
区是一个特殊的位置,保留给受感染的文件使用以及针对相关系统副作用使用。
对
于安全风险,客户端会隔离受感染的文件,并删除或修复其副作用。
客户端不能修
复文件时,会将该检测记录下来。
-------------------------------------------------------------------------------------
注意:
病毒只要放到隔离区,便不会扩散。
当客户端将文件移到隔离区,您便不能
访问该文件。
--------------------------------------------------------------------------------------
SymantecEndpointProtection修复受病毒感染的文件后,您不必采取其他操作来
防护计算机。
如果客户端隔离了受安全风险感染的文件,接着加以删除并修复,则
您不必采取其他操作。
您可能不需要处理操作,但可能需要对文件执行其他操作。
例如,如果要用原来的
文件替换受感染的文件,则您可能决定删除已清除病毒的文件。
您可以利用通知,立即处理文件。
也可以使用日志视图或隔离区,稍后处理文件。
处理受感染的文件
1执行下列操作之一:
■在“扫描进度”对话框中,选择在扫描完成后所需的文件。
■在扫描结果对话框中,选择所需的文件。
■在客户端的边栏中,单击“查看日志”,再单击“防病毒和防间谍软件防
护”旁的“查看日志”。
在日志视图中选择想要的文件。
2右键单击一个或多个文件,然后选择下列选项之一。
请注意,在某些情况下,
客户端可能无法执行您选择的操作。
■撤消执行的操作:
取消执行的操作。
■清除(仅限病毒):
删除文件中的病毒。
■永久删除:
删除受感染的文件和所有副作用。
对于安全风险,请谨慎使用
此操作。
某些情况下,如果删除安全风险,可能会造成应用程序不能工作。
■移动到隔离区:
将受到感染的文件置入隔离区内。
若是安全风险,客户端
也会试图删除或修复其副作用。
■属性:
显示有关病毒或安全风险的信息。
关于病毒导致的破坏
如果SymantecEndpointProtection在发生感染时马上发现该感染,客户端清除受
感染的文件后,该文件可能可以完全正常使用。
但是,在某些情况下,Symantec
EndpointProtection可能会清除已遭病毒破坏的受感染文件。
例如,Symantec
EndpointProtection可能发现损坏文档文件的病毒,SymantecEndpointProtection
会删除该病毒,但不能修复受感染文件的内部损坏。
关于通知与警报
您可能会在计算机上看见几种不同类型的通知。
这些通知通常会说明状况,并且指
出客户端试图解决问题的方法。
您可能会看见下列几种通知类型:
■应用程序相关通知
■安全警报
响应与应用程序相关的通知
您可能会看见一个通知询问您是否要允许应用程序或服务运行。
显示此类型通知的原因有:
■应用程序请求访问您的网络连接。
■访问网络连接的应用程序已升级。
■客户端使用“快速切换用户”切换用户。
您可能会看见下列消息,通知您有应用程序或服务试图访问计算机:
InternetExplorer(IEXPLORE.EXE)正试图连接到
(使用远程端口80(HTTP-万维网))。
是否允许该程序访问网络?
响应试图访问网络的应用程序
1在消息框中,单击“详细信息”。
您可查看有关连接和应用程序的详细信息,这些信息包括文件名称、版本号及
路径名称。
2如果希望客户端在此应用程序下次试图访问您的网络连接时记住您的选择,单
击“记住我的回答,请勿再就此应用程序询问我”。
3执行下列操作之一:
■若要允许应用程序访问网络连接,请单击“是”。
只有在您识别该应用程序并确实要让它访问网络连接时,才单击“是”。
如果不确定是否要允许应用程序访问网络连接,请询问管理员。
■若要阻止应用程序访问网络连接,请单击“否”。
表2-1显示可以如何响应询问您是否要允许或禁止应用程序的通知。
表2-1应用程序许可通知
您可以在“正在运行应用程序”字段或“应用程序”列表中更改应用程序操作。
更改应用程序通知
有时候,您可能会看见一条消息,指出应用程序已更改。
“Telnet程序自上次打开后已更改,
这可能是因为您最近更新过它。
是否允许它访问网络?
”
上述消息中列出的应用程序试图访问您的网络连接。
虽然客户端能够识别该应用程
序的名称,但是自从客户端上次遇到该应用程序后,它的某些内容已经更改。
很可
能是最近产品进行了升级。
每个新产品版本会使用与旧版本不同的文件指纹文件。
客户端检测到文件指纹文件已更改。
快速切换用户通知
如果使用WindowsVista/XP,您会看见下列其中一个通知:
“SymantecEndpointProtection无法显示
用户界面。
如果您使用的是WindowsXP快速用户切换,
请确保所有其他用户已经从Windows注销,然后尝试
从Windows中注销并重新登录。
如果您使用的是
终端服务,则不支持用户界面。
”
或者
“SymantecEndpointProtection并未运行,但将会启动。
不过,SymantecEndpointProtection无法显示
用户界面。
如果您使用的是WindowsXP快速用户切换,
请确保所有其他用户已经从Windows注销,然后尝试
从Windows中注销并重新登录。
如果您使用的是
终端服务,则不支持用户界面。
”
快速切换用户是一种Windows功能,让您不需注销计算机就可以快速切换用户。
多位用户可以同时共享一台计算机,并且在来回切换时不需要关闭运行的程序。
如
果您使用“快速用户切换”功能来切换用户,那么这些窗口中的某一个窗口将出
现。
若要响应快速切换用户消息,请按照对话框中的说明操作。
响应自动更新通知
如果客户端软件已自动更新,您会看见下列通知:
SymantecEndpointProtection检测到
SymantecEndpointProtectionManager已提供更新版本的软件。
是否要立即下载?
响应自动更新通知
1执行下列操作之一:
■若要立刻下载软件,请单击“立即下载”。
■若要在指定时间后被提醒,请单击“以后提醒我”。
2如果更新软件的安装进程开始后显示一则消息,请单击“确定”。
响应安全警报
安全警报会在通知区域图标上方显示一个通知。
只需要单击“确定”表示您已读取
消息。
通知显示的原因如下:
禁止应用程序消息根据管理员设置的规则,计算机启动的应用程序遭到禁止。
例如,您会看见下列消
息:
已禁止来自于此应用程序的通信:
(应用程序名称)
这些通知表示您的客户端已禁止指定为不信任的通信。
如果客户端被配置为禁止全
部通信,这些通知会经常出现。
如果客户端被配置为允许全部通信,这些通知将不
会出现。
入侵您的计算机受到攻击,将发出警报通知您,或提供有关处理方法的说明。
例如,您
会看见下列消息:
禁止来自于IP地址192.168.0.3的通信,
从10/10/200615:
37:
58到10/10/200615:
47:
58。
已记录
端口扫描攻击。
您的管理员可能已禁用客户端计算机上的入侵防护通知。
若要查看客户端检测到的
攻击类型,可以让客户端显示入侵防护通知。
响应网络访问控制通知
如果SymantecNetworkAccessControl客户端未遵从安全策略,则可能无法访问
网络。
在此情况下,您会看到一条消息,说明由于主机完整性检查失败而Symantec
Enforcer禁止您的通信。
网络管理员可能在此消息中添加文本,建议可以采取的补
救操作。
在关闭消息框之后,打开客户端,查看其中是否显示任何关于还原网络访
问的建议步骤。
响应网络访问控制通知
1按照消息框中显示的任何建议步骤进行操作。
2在消息框中,单击“确定”。
管理客户端
关于LiveUpdate
通过Internet连接,LiveUpdate会将程序更新和防护更新下载到您的计算机。
程序更新是对您已安装产品的微小改进。
它们不同于产品升级,产品升级是整个产
品的新版本。
程序更新通常是为扩展操作系统或硬件兼容性、调整性能问题或解决
程序错误而创建的。
程序更新会根据需要进行发布。
-------------------------------------------------------------------------------------
注意:
有些程序更新可能要求安装完成后重新启动计算机。
-------------------------------------------------------------------------------------
LiveUpdate会自动进行更新检索和安装。
它从Internet站点找到并获取文件,安
装它们,然后从计算机删除残留的文件。
防护更新是使用最新的威胁防护技术来更新您的Symantec产品的文件。
您收到的
防护更新视您安装在计算机上的产品而定。
默认情况下,LiveUpdate会按调度间隔自动运行。
根据您的安全设置,可以手动运
行LiveUpdate。
可能也可以禁用LiveUpdate或更改LiveUpdate调度。
按照调度的时间间隔运行LiveUpdate
您可以创建一个计划以使LiveUpdate按调度的时间间隔自动运行。
按照调度的时间间隔运行LiveUpdate
1在客户端的边栏中,单击“更改设置”。
2在“客户端管理”旁边,单击“配置设置”。
3在“客户端管理设置”对话框中,单击“调度的更新”。
4在“调度的更新”选项卡上,选中“启用自动更新”。
5在“频率”组框中,选择每天、每周或每月运行更新。
6在“时间”组框中,选择在哪一天、哪一周或每天什么时间运行更新。
7在“失败事件选项”组框中,选中“持续尝试”,然后指定客户端应重试失败
事件的小时数或天数。
8在“随机选项”组框中,选中“随机产生开始时间为+或-”,然后指定调度
更新前后的小时数或天数。
这会设置更新随机开始的时间范围。
9单击“确定”。
手动运行LiveUpdate
您可以使用LiveUpdate更新软件和定义文件。
LiveUpdate会从Symantec站点检
索新的定义文件,然后替换旧的定义文件。
Symantec产品依赖最新信息来防止计
算机受到新发现威胁的侵害。
Symantec通过LiveUpdate为您提供这些信息。
-------------------------------------------------------------------------------------
注意:
LiveUpdate通信支持HTTP,但不支持HTTPS。
-------------------------------------------------------------------------------------
使用LiveUpdate获得更新
◆在客户端的边栏中,单击“LiveUpdate”。
LiveUpdate会连接至Symantec服务器,并检查可用的更新,然后自动下载和
安装这些更新。
测试计算机的安全
您可以使用扫描的方式,测试计算机不受威胁和病毒入侵的能力。
此步骤的扫描对
于确保计算机不受入侵是非常重要的。
其结果可帮助您在客户端上设置各选项以保
护计算机不受攻击。
测试计算机的安全
1在客户端的边栏中,单击“状态”。
2在“网络威胁防护”旁,单击“选项”>“查看网络活动”。
3单击“工具”>“测试网络安全”。
4在Symantec安全检查网站,运行下列一项:
■若要检查在线威胁,请单击“安全扫描”。
■若要检查病毒,请单击“病毒检测”。
5在“用户许可协议”对话框中,单击“我同意”,然后再单击“下一步”。
如果您在步骤4单击了“病毒检测”,请单击“我同意”,然后再单击“下一
步”。
在任何时候,如果想要停止扫描,请单击“停止”。
6当扫描完成时,关闭对话框。
关于防篡改
防篡改可为Symantec应用程序提供实时防护。
它可以阻挡恶意软件(如蠕虫、特
洛伊木马、病毒及安全风险)的攻击。
您可以将防篡改设置为采取下列操作:
■禁止篡改企图并记录事件
■记录篡改事件但不干扰篡改事件
除非您的管理员更改了默认设置,否则防篡改功能会为受管客户端和非受管客户端
启用。
当防篡改功能检测到篡改企图时,默认会采取的操作是在防篡改日志中记录
该事件。
您可以将防篡改配置为在检测到篡改企图时在您的计算机上显示通知。
您
可以自定义此消息。
除非您启用该功能,否则防篡改不会通知您有关篡改企图的事
件。
如果您使用的是非受管客户端,则可以更改您的防篡改设置。
如果您使用的是受管
客户端,只要您的管理员允许,也可以更改这些设置。
初次使用SymantecEndpointProtection时,若您每周监控一次日志,最好维持默
认操作“仅记录”。
在没有发现误报可以放心的情况下,就可以将防篡改设置为
“禁止并记录”。
-------------------------------------------------------------------------------------
注意:
如果您使用第三方的安全风险扫描程序来检测并防御不需要的广告软件和间
谍软件,该扫描程序通常会影响Symantec进程。
如果您在运行第三方的安全风险
扫描程序的同时启用防篡改,防篡改会生成大量的通知和日志条目。
最佳的做法是
让防篡改一直保持为启用状态,并在生成的事件数目过多时使用日志过滤功能。
-------------------------------------------------------------------------------------
启用、禁用和配置防篡改
您可以启用或禁用防篡改。
如果启用了防篡改,您可以选择当它检测到篡改Symantec
软件的企图时所要采取的操作。
您也可以让防篡改显示消息,通知您出现了防篡改
企图。
如果您要自定义此消息,可以使用防篡改会填入适当信息的预定义变量。
-------------------------------------------------------------------------------------
注意:
如果管理员管理您的计算机,且这些选项显示一个锁图
升级会员 