赛门铁克 技术信息 第一期.docx

1、赛门铁克 技术信息 第一期赛门铁克技术支持信息 第一期SEP产品、BE产品 SEP 热点问题解答 LAN Enforcer：如何配置以便处理尚未连接到 SEPM 管理器的新安装客户端？ LAN Enforcer：理解基本模式和透明模式 LAN Enforcer 设备工作原理 SEP 客户端绿点时现时隐 我在哪里可以查询到我们的通用漏洞阻截 (Generic Exploit Blocker) 特征库？ GUP 在设置时，可不可以设置一个单 GUP 点和一个 GUP List 的混合策略？ 如何把 SEP11 整合到标准操作系统镜像文件中以便统一部署？ SEPM 可以对 Exchange 2010

2、 进行例外排除设置吗？ 我们支持那种版本的 Xpe？ Symantec 对病毒的命名基于什么标准？ BE 热点问题解答 如何创建源端重复数据删除的备份作业? 如何备份重复数据删除存储文件夹存储?1. LAN Enforcer：如何配置以便处理尚未连接到 SEPM 管理器的新安装客户端？配置其中含有 Symantec LAN Enforcer 设备的 Symantec Network Access Control (SNAC) 环境时，遇到有关尚未连接到策略管理器服务器 (SEPM) 的新安装 Symantec Endpoint Protection (SEP) 客户 端的问题。这些计算机怎样才

3、算获得网络的访问权限呢？它们如何从SEPM 下载策略？在SEPM 服务 器将这些计算机识别为已知计算机之前，LAN Enforcer 如何验证它们？请参照下面的描述进行操作。配置默认的 LAN Enforcer 操作在 SEPM 中，为 LAN Enforcer 配置了一系列操作 - 通常有：通过主机完整性检查时打开端口/分配到 默认 VLAN；主机完整性检查失败时分配到隔离 VLAN。SEPM 中的 LAN Enforcer 交换机配置位于 “管理”-“服务器”下的 Enforcer 组属性下。典型示例配置：操作 1主机身份验证：通过 用户身份验证：忽略结果 策略检查：忽略结果 操作：打开端

4、口操作 2 主机身份验证：失败 用户身份验证：忽略结果策略检查：忽略结果 操作：分配到隔离 VLAN 在此示例中，如果“主机完整性”状态不是“通过”或“失败”，会关闭端口。如果新安装的客户端还未有“主机完整性”策略，则状态为“不可用”。为了解决这个问题以及上面的操作 1 和操作 2 没有涵盖的情形，需要在 SEPM 中配置一项默认操作。将以下操作添加到列表的最底部：操作 3 主机身份验证：忽略结果 用户身份验证：忽略结果策略检查：忽略结果 操作：分配到隔离 VLAN这会将所有非“主机完整性”通过案例分配到隔离 VLAN。 假如从隔离 VLAN 和默认 VLAN 都可以 访问 SEPM 服务器，

5、则这样应该允许新安装的客户端在 SEPM 中注册并下载新的策略。配置 VLAN 间路由必须在隔离 VLAN 和默认 VLAN 间配置路由，以便允许流向 SPEM 服务器 IP 地址的流量也可来自隔 离 VLAN。 在较新的交换机型号上，通常可在交换机本身上进行此项配置。 在较旧的交换机上，可 能需要配置单独的双宿主（两个网卡）计算机以充当路由器，并将该计算机连接到这两个 VLAN。验证客户端上的 802.1x 请求方设置验证用于新客户端的安装软件包是否配置为启用 802.1x 身份验证。在 SEPM 管理器的 GUI 中，此项 设置位于“客户端”-“策略”下的“常规设置”-“安全设置”下。导出

6、软件包前，应为组选中“启用 802.1x 身份验证”选项。 如果使用透明模式（没有 radius 用户级别验证），应选中“将客户端用 作 802.1x 请求方”选项；如果使用基本模式（使用 radius 服务器进行用户身份验证），则不要选中 此选项（但仍要选中“启用 802.1x 身份验证”主选项）。2. LAN Enforcer：理解基本模式和透明模式 在 Symantec Network Access Control (SNAC) 解决方案中使用 Symantec LAN Enforcer 时，基本模 式和透明模式间的区别是什么？Symantec LAN Enforcer 与兼容 802.

7、1x 的交换机以及无线接入点一起在网络上执行端点遵从。这表 示，它只允许与可在管理服务器（Symantec Endpoint Protection 11.0 中的 Symantec Endpoint Protection Manager (SEPM) 或 Symantec Sygate Enterprise Protection 5.1 中的 Symantec Policy Manager (SPM)）中进行全部配置的一组标准（“主机完整性”策略）匹配的计算机进行完全网络访问。根据是否同时在网络上使用 RADIUS 用户级别验证，LAN Enforcer 有两种操作模式：透明模式和基 本模式。

8、在这两种模式中，交换机被配置为使用 LAN Enforcer 的 IP 地址作为其 RADIUS 服务器 IP 地址。LAN Enforcer 可以指示交换机打开和关闭端口，以及动态地将端口分配给特定的 VLAN。 基于以下三个标准，可以在管理服务器中配置要采取的操作： 主机身份验证通过还是失败（根据计算机是否通过“主机完整性”检查）；如果没有配置主机完 整性设置，则不可用。 用户身份验证：RADIUS 用户级别身份验证通过还是失败（基于来自RADIUS 服务器的回复）； 如果未使用 RADIUS 服务器，则不可用。 策略序列号检查： 客户端是否有来自 SEPM 管理器的最新策略配置？ 透明模

9、式如果网络上没有 RADIUS 服务器，并且当前的交换机配置中没必要使用用户级别身份验证， 则使用透明模式。在透明模式中，LAN Enforcer 充当伪 RADIUS 服务器。 客户端将充当 802.1x 请求方，并使 用“主机完整性”检查结果回复来自交换机的 EAP 数据包。 然后，交换机将该信息转发给 LAN Enforcer。LAN Enforcer 验证该信息，然后相应地指示交换机打开/关闭端口或者分配 特定的 VLAN。在透明模式中，用户身份验证始终为“不可用”。 客户端配置：选中管理控制台中的“将客户端用作 802.1x 请求方”选项。 基本模式如果网络上有提供用户级别身份验证的

10、 RADIUS 服务器，则使用基本模式。在基本模式中，LAN Enforcer 将充当 RADIUS 代理。 对于交换机配置，仍然将 LAN Enforcer IP 地址作为其 RADIUS 服务器，并且 LAN Enforer 反过来会将请求转发给 RADIUS 服务器 以进行用户身份验证。在基本模式中，客户端不可以用作802.1x 请求方，而是使用Windows 请求方或第三方请求方。将 LAN Enforcer 配置为与无线接入点一起使用时，基本模式是唯一可能的选项。 客户端配置：保留管理控制台中的“将客户端用作 802.1x 请求方”选项未选中。更改客户端请求方设置的位置：在SEPM

11、管理器的GUI 中，此项设置位于“客户端”-“策略”下的“常规设置”-“安全设置”下。 应为组选中“启用 802.1x 身份验证”选项。 如果使用透明模式，应选中“将客户端用作 802.1x 请求 方”选项；如果使用基本模式，则不要选中此选项（但仍要选中“启用802.1x 身份验证”主选项）。3. LAN Enforcer 设备工作原理LAN Enforcer 设备行使远程身份验证拨号用户服务 (RADIUS) 代理的职责。可以使用 LAN Enforcer 设备与 RADIUS 服务器来执行以下操作： 执行传统的 802.1x/EAP 用户身份验证。 验证客户端计算机是否符合管理服务器上设置

12、的安全策略（主机身份验证）。 在不使用 RADIUS 服务器的网络中，LAN Enforcer 设备仅执行主机身份验证。 安装 LAN Enforcer 设备与 RADIUS 服务器后，可以为安全网络提供以下优势： 拒绝恶意计算机访问网络。所有尝试连接至网络的用户均必须先通过 RADIUS 进行身份验证。 可以强制实施安全策略，例如确保计算机安装正确的防病毒软件、修补程序或其他软件。可以验 证客户端计算机是否运行 Symantec 客户端，并验证其是否已通过主机完整性检查。LAN Enforcer 设备与支持 EAP/802.1x 身份验证的交换机或无线接入点进行通信。交换机或无线接入 点通常

13、配置到两个或多个虚拟局域网 (VLAN)。客户端计算机上的 Symantec 客户端使用 EAPOL（局 域网上的EAP）协议将EAP 信息或主机完整性检查信息传递给交换机。交换机将这些信息转发给LAN Enforcer 设备进行身份验证。可以为 LAN Enforcer 设备配置身份验证失败时的各种可能响应。响应取决于身份验证失败类型：主 机身份验证或 EAP 用户身份验证。如果使用交换机或无线接入点，可以设置 LAN Enforcer 设备将经过身份验证的客户端定向至不同VLAN。 交换机或无线接入点必须提供动态 VLAN 能力。 VLAN 可能包括补救 VLAN。如果使用 LAN Enf

14、orcer 和 RADIUS 服务器，则可以为 Enforcer 配置多个 RADIUS 服务器连接。如 果一个 RADIUS 服务器连接失败，LAN Enforcer 设备可以切换至另一个服务器连接。此外，可以设置多个LAN Enforcer 设备连接至交换机。如果一个LAN Enforcer 设备无法响应，另一个LAN Enforcer设备可以处理该身份验证。LAN Enforcer 基本配置工作原理如果熟悉 802.1x 身份验证，可以使用基本配置查看尝试访问网络的客户端的详细信息。 该信息对排 除网络连接故障非常有用。 请求方（如客户端计算机）尝试通过身份验证方（如 802.1x 交换

15、机）访问网络。 交换机看到计算机并请求进行身份识别。 计算机上的 802.1x 请求方会提示用户输入用户名和密码，并使用其身份信息进行响应。 交换机将此信息转发给 LAN Enforcer，LAN Enforcer 再将该信息转发给 RADIUS 服务器。 RADIUS 服务器通过选择基于其配置的 EAP 类型生成 EAP 质询。 LAN Enforcer 收到该质询，添加主机完整性质询，然后将其转发给交换机。 交换机将 EAP 和主机完整性质询转发给客户端。 客户端收到质询并发送响应。 交换机收到该响应并将其转发给 LAN Enforcer。 LAN Enforcer 检查主机完整性检查结果

16、和客户端状态信息，并将其转发给 RADIUS 服务器。 RADIUS 服务器执行 EAP 身份验证并将验证结果发回给 LAN Enforcer。 LAN Enforcer 收到身份验证结果，然后转发该结果以及要采取的操作。 交换机选择相应操作，并根据验证结果允许正常网络访问、阻止访问或允许访问备用 VLAN。LAN Enforcer 透明模式工作原理LAN Enforcer 透明模式工作原理如下： 请求方（如客户端计算机）尝试通过身份验证方（如 802.1x 交换机）访问网络。 身份验证方看到该计算机并发送 EAP 身份验证数据包（仅允许 EAP 通信）。 充当 EAP 请求方的客户端看到该身

17、份验证数据包并用主机完整性身份验证进行响应。 交换机将主机完整性身份验证结果发送给作为 RADIUS 代理服务器运行的 LAN Enforcer设备。 LAN Enforcer 设备回复交换机有关基于验证结果所进行的 VLAN 分配的信息。 关于 802.1x 身份验证IEEE 802.1X-2001 是一项定义无线或有线 LAN 访问控制的标准。 该标准提供一个框架，以便对受保 护网络上的用户通信进行身份验证和控制。 该标准指定可扩展身份验证协议 (EAP) 的使用，而 EAP 使用集中式身份验证服务器，如远程身份验证拨号用户服务 (RADIUS)。该服务器对尝试访问网络的每个用户进行身份验

18、证。 802.1x 标准包括 EAP-over-LAN (EAPOL) 规范。EAPOL 用于封装链路层帧（如以太网）中的 EAP 消息，并且还提供控制功能。802.1x 架构包括以下关键组件： 身份验证方 - 通过其进行身份验证的实体，如兼容 802.1x 的 LAN 交换机或无线接入点 身份验证服务器- 通过验证作为质询的响应而提供的凭据来提供实际身份验证的实体，如RADIUS服务器 请求方 - 尝试访问网络并尝试成功进行身份验证的实体，如计算机 当请求方设备连接至启用 802.1x 的网络交换机身份验证方时，会执行以下过程： 交换机发出 EAP 身份请求。 EAP 请求方软件用 EAP

19、身份响应进行响应，该响应由交换机转发给身份验证服务器（如 RADIUS）。 身份验证服务器发出 EAP 质询，该质询由交换机转发给请求方。 用户输入身份验证凭据（用户名和密码、令牌等）。 请求方将 EAP 质询响应（包括用户提供的凭据）发送至交换机，交换机将其转发给身份验证服务器。 验证服务器验证凭据，并用 EAP 或用户身份验证结果进行回复，该结果会指明身份验证是成功还 是失败。 如果身份验证成功，交换机允许访问进行正常通信。如果身份验证失败，会阻止客户端设备访问。 无论哪种情况均会通知请求方结果。身份验证过程中仅允许 EAP 通信有关 EAP 的详细信息，请参考以下 URL 中的 IETF

20、 的 RFC 2284：http:/www.ietf.org/rfc/rfc2284.txt 有关 IEEE 标准 802.1x 的其他详细信息，请访问以下 URL 参考该标准的文本： http:/standards.ieee.org/getieee802/download/802.1x-2001.pdf对第三方供应商强制产品的支持Symantec 以多种方式对其他供应商开发的强制解决方案提供支持： 通用强制 API - Symantec 开发了通用 API，允许具有相关技术的其他供应商将其解决方案与Symantec 软件相集成。 Cisco Network Admissions Contro

21、l - Symantec 客户端可支持 Cisco Network Admissions Control强制解决方案。4. SEP 客户端绿点时现时隐问题SEP 绿点时现时隐。在 SEPM 中此客户端为正常状态。SEP 客户端的注册表中SMC 项目下面没有生成SYLINK 等信息；SEP 客户端还能从SEPM 获取定义， 但其组信息等策略不能更新，也不能接受来自 SEPM 的命令。从 SEPM 中将此 SEP 客户端删除后，并重启 SEP 客户端的 SMC 服务后，此客户端会出现在 SEPM 的 Default group 中，但 SEP 客户端的 troubleshooing 里显示的还是原

22、来的组。用 Sylink monitor 能看到 log 中有如下错误信息：Signature verification FAILED for Index File Content解决方案 创建一个新组并禁用 Signature Verification： 进入 SEPM。 选择 Clients，创建一个新组，并点击此新组。 在右边窗口中选择 Policies。 点击 General Settings。 选择 Security 标签。 不要选中 Enable secure communications between the management server and clients by u

23、sing digital certificates for authentication. 点“确定”退出。 导出此新组的通讯文件并替换 SEP 客户端的 Sylink 文件 从 SEPM 中将此客户端删除 待客户端 SMC 重启以后，些客户端会加入到此新组。 5. 我在哪里可以查询到我们的通用漏洞阻截 (Generic Exploit Blocker)特征库？您可以在安全响应中心网站上找到特征列表： 向下切入可以看到每个安全更新的详细信息。网站上还有一个综合的特征列表，只是它是针对所有产品的，其中有些特征对 SEP 并不适用，其网址是：SEPM 也可以根据您具有的策略显示可用的特征。6. G

24、UP在设置时，可不可以设置一个单 GUP 点和一个 GUP List 的混合策略？可以。SEP 11 有此功能。在添加GUP List 时打开的对话框的底部，有一个选项，可以添加单个GUP。 这样，就可以同时设置单个 GUP 和 GUP List。注意：客户端总是先使用 GUP list，因为 GUP list 只能用于本地子网。而单个 GUP 选项则可以跨路 由器（或 WAN 链接）使用。我们总是先使用本地 GUP，然后才会使用其他子网中的 GUP；因此我 们总是先使用 GUP list，然后再列表中没有合适的 GUP 时才会使用单个 GUP。7. 如何把 SEP11 整合到标准操作系统镜像

25、文件中以便统一部署？问题在于新建的映像可能与原有系统具有系统的名称（IP 地址/MAC 地址及其他），但它将具有一个 新的硬件 ID。如果您使用的是 MR4 或更早的版本，那么很不幸，硬件 ID 生成存在很大的风险。在 Ru5 中，硬件 ID 存储在一个XML 文件中。在重映像系统之前抓取这个文件，把它放在新映像中，以在其连接SEPM 之前强制它使用所需的硬件 ID。有关此过程的详细信息，请参考以下知识库文章：Preparing a Symantec Endpoint Protection Release Update 5 Client for Image redistribution Dup

26、licate hardware ID results in only one client showing up in the Endpoint Protection Manager for two systems 8. SEPM 可以对 Exchange 2010 进行例外排除设置吗？不能。我们计划在 RU6 中添加此功能。但由于微软还没有此方面的知识库文章，添加此功能并非易事。9. 我们支持那种版本的 Xpe？SEP for XP Embedded 产品支持基于 Windows XP 的任何版本的 Xpe。 对微软网站上下面这些 Xpe 的支持如下： Windows Embedded CE

27、 (6.0) SEP for XP Embedded 5.1 尚不支持不过 Mobile Security 解决方案支持。 Windows Embedded Standard支持 Windows Embedded POSready支持 Windows Embedded Enterprice (including - Windows 7 Professional for Embedded Systems尚未推出。 - Windows 7 Ultimate for Embedded Systems尚未推出。 - Windows XP Professional for Embedded System

28、s支持 - Windows Vista Business for Embedded Systems不确定是否已推出 - Windows Vista Ultimate for Embedded Systems不确定是否已推出 Windows Embedded NavReady基于 Windows CE，请看上文 Windows Embedded Server基于 Windows Server 2003 和 2008。SEP for XP Embedded 5.1 不支持。我建议使用 SEP 11。 Microsoft Auto基于 Windows CE，请看上文 10. Symantec 对病毒

29、的命名基于什么标准？病毒的命名标准是由安全社区在多年前制定的。很多经销商使用自己的命名标准。Symantec 还在沿 用很多以前的命名标准，例如 W32 代表为 32 位操作系统编写的恶意软件。MM 代表邮件群发工具（一般通过恶意软件中附带的 SMTP 程序散播）。GEN 并非标准的一部分。但大家常会看到 GEN 或 GEN 的变体，它代表的是泛类。在这种情况下，GEN 代表的是启发式特征。有一种特征 W32.Ackanttamm 是用来检测 Ackantta 的特定变体的。还有一种特征 signature W32.Ackantta!gen 是启发式特征，用来捕捉未知的威胁变体。有关更多命名标

30、准，请参见以下网址：BE 热点问题解答 如何创建源端重复数据删除的备份作业? 如何备份重复数据删除存储文件夹存储? 如何创建源端重复数据删除的备份作业?若要创建源端重复数据删除的备份作业，请遵循以下步骤：1 确认在 Backup Exec 2010 介质服务器上已经安装了 Deduplication Option2 点击 BE 菜单上的“工具”“配置设备”“配置设备助理”，在 BE 服务器上创建“重复数据 删除存储”文件夹3 在远程计算机上安装远程代理 Remote Agent for Windows Server4 在 BE 服务器上，通过“工具”“配置设备”“配置设备助理”，单击“具有直接访问的Remote Agent”5 添加含直接访问的远程代理，即添加要进行源端重复数据删除的计算机成功添加后如下图所示：6 创建备份作业，选择源端计算机所需备份数据后，在“设备和介质”处，确认设备已选择“重复 数据删除存储 ”文