V终端安全系统管理员手册V.docx

1、V终端安全系统管理员手册V管理员手册版权声明本文件所有内容受版权受中国着作权法等有关知识产权法保护，为北京金山安全软件有限公司（以下简称“金山安全软件”）所有。、是金山安全软件享有权利的注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。金山安全软件不对本文件的内容、使用，或本文件中说明的产品负担任何责任或保证，特别对有关商业机能和适用任何特殊目的的隐含性保证不负担任何责任。另外，金山安全软件保留修改本文件和本文件中所描述产品的权力。如有修改，恕不另行通知。北京金山安全管理系统技术有限公司 400-033-9009地 址：北京市海淀区中关村大街1号海龙大厦1

2、4层网 址：第一部分 管理与维护 第1章 产品简介 第2章 系统中心服务管理器 第3章系统中心控制台简介 第4章系统中心设置、管理与维护第1章 产品介绍V8+终端安全系统是一套专为企业级网络环境设计的反病毒安全解决方案，为企业网络范围内的工作站和网络服务器提供可伸缩的跨平台病毒防护。V8+终端安全系统可扩展多级架构，集中式配置、部署、策略管理和审计。网络管理员通过逻辑分组方式管理客户端、服务器的反病毒工作，通过创建、部署及锁定安全策略、配置，使得网络系统保持最新状态和良好的管理。1.1 体系结构系统采用了业界主流的B/S开发模式，由系统中心、WEB控制台、升级服务器、云引擎服务器、服务器端、客

3、户端组成。1.1.1 系统中心系统中心是V8+终端安全系统进行信息管理和病毒防护的控制核心。 系统中心基于CORBA与其它子系统（服务器端和客户端）连接，其它子系统在系统中心控制下完成协同工作。 系统中心分为主系统中心和下级系统中心。主系统中心：管理配制所有下级系统中心，升级服务器，客户端和服务器端的权限。下级系统中心：管理和配制注册到本系统中心的下下级系统中心、升级服务器，客户端和服务器端的权限，并向主系统中心汇报数据。1.1.2 Web控制台系统中心Web控制台是整个V8+终端安全系统系统设置、使用和控制的操作平台。任何一台装有IE 及其以上浏览器的终端都能用来实现对整个网络的管理，实现“

4、管理无处不在”。1.1.3 升级服务器升级服务器负责升级文件的更新与传递，还提供MS漏洞修补程序（Hotfix）下载代理。升级服务器分两种类型：主升级服务器、二级升级服务器。主升级服务器：直接从外网更新升级文件，并负责向二级升级服务器分发（也可以向客户端及服务器端分发），一般主升级服务器与主系统中心绑定。二级升级服务器：从主升级服务器（也可以是其它二级升级服务器）更新升级文件，并负责向客户端及服务器端分发，二级升级服务器一般与下级系统中心绑定。1.1.4 云引擎服务器云引擎服务器主要将传统杀毒软件所使用的病毒库特征集中在企业云端服务器上来统一处理，通过云引擎服务器快速响应客户端的文件特征查询请

5、求，实现客户端对文件安全性的鉴定，在降低传统客户端对系统资源占用比较高的同时，系统防护能力因为云引擎服务器的存在得到更快的响应，从云引擎服务器到金山云的实时同步响应，也让新威胁特征的鉴定达到一个非常快的速度。1.1.5 动态行为分析系统动态行为分析系统是以未知文件动态行为分析为核心，以特征匹配为辅助，依托海量的金山特征库以及用户自定义的专属特征库，可帮助用户识别内部网络中的高级威胁，并能有效抵御已知/未知病毒木马、0day漏洞及未知恶意代码，可协助用户达成终端的全方位安全防护与威胁处理。基于金山安全成熟的“可信云查杀”、国内领先的多核引擎技术、KVM云启发引擎技术，金山V8+终端安全系统拥有超

6、强自我学习及不断进化的能力，它无需频繁升级，可直接查杀未知新病毒。金山V8+终端安全系统让杀毒从非黑即白迈入黑白双控的全新阶段，实现了从多层防御到有防御纵深的持续对抗的安全模型跨越。1.1.6 客户端客户端面向网络中的终端群提供反病毒安全防护，能够实时监控系统的运行与操作，是V8+终端安全系统反病毒体系的执行终端之一。客户端的相关安全信息同时也会及时反馈给系统中心，管理员能在最短时间内了解网络内安全状况，并通过系统中心向客户端发出指令，远程控制其操作及安全策略设置。1.2 工作方式1.2.1 管理控制通信方式系统整体控制通信方式是采用以系统中心为消息处理、转发中心及具体功能节点，客户端和文件服

7、务器为具体防毒节点。 管理员通过控制台向系统中心发出具体的操作命令，系统中心解析具体的命令目的地，按需转发或者处理。客户端或者文件服务器每次启动都会登录到指定的系统中心定时汇报自己的状态，并且将发现的病毒信息反馈到系统中心。1.2.2 升级工作方式系统中心的升级服务模块负责升级文件的获取、更新及分发。同时，系统中心亦负责发布升级消息，客户端及服务器端将在接到升级通知后连接系统中心执行升级。其具体升级流程如下： 系统中心按管理员预定义设置或手动升级命令连接到Internet 更新升级文件； 系统中心下载升级程序完成后通知客户端及服务器端升级； 客户端及服务器端收到消息后连接到系统中心执行升级。1

8、.2.3 边界防护工作方式V8+终端安全系统的客户端会自动捕获通过边界进入到系统中的文件，并通过云引擎对这些文件进行检测。对于云引擎能够识别的文件，则按照预设好的处理方法进行处理“抓黑放白”；对于云引擎不能识别的文件，则按照“分析灰”进行处理，将该文件上报给动态行为分析系统。1.2.4 动态行为分析工作方式动态行为分析包含两层含义：实时监控、自我学习。 实时监控：通过跳转至攻击者精心构造的可执行代码，敏锐的捕获溢出行为，检测出已知和未知的漏洞利用代码。通过分析，判定文件程序是否为恶意，并输出该文件程序相关联的网址、来源和试图连接的一些恶意网址。 自我学习：依据企业网络以往的检测分析历史记录，结

9、合历史统计的威胁类别、威胁来源、威胁操作行为等，在不更新特征库的情况下获得不断增强的检测能力。 可监测的行为包含但不限于：文档行为、远程程序连接 、自删除、自复制、自启动、注册表敏感位置、恶意URL访问、恶意IP访问、映像劫持、终止杀软进程、释放驱动、反主动防御等行为进行实时监控。1.2.5 漏洞扫描工作方式漏洞扫描分为主动智能上报、客户端独立扫描两种方式。普通用户可以通过本机的客户端手动进行漏洞扫描和安装修补程序。管理员可以通过系统中心控制台来查看局域网内所有的客户端主动智能上报的漏洞信息，根据漏洞补丁信息选择需要安装的终端，并通知其下载和安装修补程序。终端下载和安装修补程序是通过系统中心的

10、下载代理功能来实现的。对于同一个修补程序，当第一个终端请求之后，系统中心连接到微软升级网站下载相应的修补程序，完成之后，所有的终端都可以直接在系统中心漏洞修复下载代理的缓存（Cache）中直接下载安装此修补程序。这种方式不但使得不能上网的客户端可以下载修补程序，而且还大幅加快了下载的进程，减少了对于网络资源的占用。使得管理员可以集中扫描所有在线的终端，既使终端无用户登录或以受限用户登录，均可以实现无人参与的智能漏洞修复。第2章 系统中心服务管理器为方便管理员便捷、快速的进行相关管理操作，V8+终端安全系统提供独立服务管理器。当安装系统中心时，会同步自动部署服务管理器。安装后，可在桌面托盘处看到

11、管理器图标：双击显示管理器主面板：输入目标服务器地址及访问账号、密码，即可进行远程管理目标服务器。服务器名：即服务器所在的访问地址，输入格式为“”计算机名，或“”计算机IP地址。：连接服务器主机，需输入正确的用户名、密码。启动服务：点击“”启动系统中心服务；停止服务：点击“”停止系统中心服务；状态栏：提示用户当前管理节点的运行状态。第3章 系统中心Web控制台系统中心控制台是可移动的操作平台（基于WEB服务架构），它支持您在任何一台安装有及以上浏览器的Windows计算机上通过可移动的方式对系统中心进行管理、操作和设置，进而能够实现对网络中系统中心所辖终端群的管理、操作和设置。3.1 登录控制

12、台1、 运行IE浏览器；2、 地址栏输入:80；3、 点击“登录”，进入登录页面。初始账户名及密码均为 admin。注意：登录用户名区分大小写。3.2 控制台主界面第4章 系统管理、设置与维护V8+终端安全系统为您提供了强大的管理控制功能： 可通过系统中心对局域网络内所有终端统一查杀病毒、升级，启动、关闭终端铠甲防御和邮件监控； 可以查看安全状态信息、日志 支持基于逻辑分组的管理细分，关闭、卸载客户端。在体验金山V8+终端安全系统为您带来的可靠安全保障之前，我们仍然提示您首先进行系统相关配置，因为这样会使您所从事的局域网络反病毒安全保障工作变得事半功倍。4.1 修改默认口令为防止XX的非安全登

13、录系统中心控制台，管理员首次登陆后，需修改登陆口令。登录密码区分大小写，修改方法如下：1) 登录系统中心控制台，单击【设置中心】【账号管理】【修改密码】，如图：2) 输入新密码，选择【确定】即可。4.2 终端管理可通过系统中心控制台对全网所有终端实施一键云查杀、宏病毒查杀、停止杀毒、升级、改变组、删除节点等。4.2.1 一键云杀毒手动扫描确定目标对象进行扫描。1) 如果您在选定终端后直接执行查杀操作，此模式只对电脑中的系统文件夹等敏感区域进行独立扫描。一般病毒入侵系统后均会在此区域进行一些非法的恶意修改，针对性的扫描此区域即可发现并解决大部分病毒问题，同时由于扫描范围较小，扫描速度会较快，通常

14、只需若干分钟便并可快速查杀活木马及修复系统异常问题。2) 如果在执行查杀操作前，需要自己定制查杀路径，则需要选择“计划任务”项，自定义路径进行查杀操作: 当您选择的终端显示“在线”，则立刻执行您的查杀命令； 当您选择的终端显示“离线”，则将该次扫描命令保存在后台数据库中，在下次登录的时候根据后台数据库的历史记载执行该次查杀命令。4.2.2 宏病毒查杀快速针对选定的终端上的文档执行查杀操作。采用静动态查杀模式，用户查杀宏病毒可以不用安装office软件即可进行病毒清理。4.2.3 停止杀毒：当显示在线的终端处于正在扫描状态，您可以发送命令停止查毒操作，成功接受停止查毒命令的终端，扫描状态将及时发

15、生改变，中止扫描。4.2.4 升级客户端单击【终端详情】选择需进行升级操作的终端组，单击【升级】即可。4.2.5 改变组首先选择您所需要进行操作的终端组，接着在弹出的提示框内选择相应转移的目标组，最后单击“应用”即可。找到需作更改的终端，勾选后，单击【改变组】功能按钮，浏览及设置区显示操作界面，为终端选择需加入的目标组，单击【应用】即可。4.2.6 删除节点首先选定需要删除客户端记录的计算机，然后单击【删除节点】，相应的客户端记录，其中包括：当前状态、病毒信息，以及安装版本信息，便从系统中心删除。与此同时，对应的客户端也从终端列表中删除。提示：用户可以在【设置中心】-【终端设置】里设置普通终端

16、和虚拟终端的查杀设置、引擎设置、系统监控、边界防御、USB设置、权限设置、功能配置、定时查杀策略、查杀白名单，详见设置中心介绍！ 4.3 边界管理金山V8+终端安全系统的边界管理克服传统杀毒软件弊端，在程序和文件进入企业终端之前划定一条严格的界限，当病毒文件通过边界进入企业终端时，直接先将文件传送到系统中心进行分析判断，并由系统中心统一监控、检查，在病毒尚未运行时即可被判定为安全或不安全，让病毒无可乘之机，实现前置主动预防。客户端通过将进入到计算机的文件上报至系统中心，通过系统中心基于特征码技术的云引擎进行分析鉴定，并将鉴定结果呈现给管理员。但是仍存在一些未知文件无法鉴别，因此，您可以选择金山

17、安全提供的金山KSP鉴定器，将未知文件提交至金山KSP鉴定器中鉴定。金山KSP鉴定器介绍金山KSP鉴定器是一套基于活体样本动态行为研究的自动化智能行为分析系统，其鉴定方法主要包括云查杀引擎、静态鉴定引擎、动态分析引擎，可对未知文件的特性行为进行详细分析并提供分析报告。本系统通过采用样本及相关素材提取技术、样本鉴定技术、运行环境模拟以及行为智能触发等技术能够对系统中心提交的未知文件的行为进行分析，从而迅速、准确地给出详细的行为分析报告，并最终帮助您快速、高效、精确地分析出最新病毒。金山KSP鉴定器优势 高效金山KSP鉴定器具有“高精确度、主次分明、重点突出、重视细节”等优良特点，创新性地将未知样

18、本分析趋向智能化、高效化、精确化、完整化，极大地提高了未知样本分析能力，高效率地保护了整个企业终端边界，更加完美地保卫您的企业安全。 快速金山KSP鉴定器做了诸多优化，使分析的精确度、完整度以及分析速度达到了最佳匹配度，让您在最短的时间内，看到最精确完整的行为分析报告。 联动金山V8+终端安全系统与金山KSP鉴定器可以相互联动，当终端出现无法确定文件类型时，会将此文件传送给金山KSP鉴定器，鉴金山KSP鉴定器可以高效智能精准地确定文件类型，并将该结果反馈至系统中心，以丰富其黑白库。当客户端再次遇到此文件时，依据更新过的黑白库，就会迅速做出判断。 清晰金山KSP鉴定器针对企业边界文件进行分析管理

19、，并为您提供了简明清晰的病毒行为分析，突出重点，彰显主次，并提供导出PDF功能。 统一管理为您提供集中式统一管理平台，通过金山KSP鉴定器您可以细致地控制企业终端边界所有文件，严把企业安全关口。提示：金山KSP鉴定器不属于V8+终端安全系统的套件，需额外购买。在无金山KSP的环境中，也可使用金山V8+终端安全系统的【边界管理】应用来针对所有进入电脑的外界程序进行监控，帮助您更好地管理监控企业内部边防，最大限度地保障对企业内部计算机的安全防护。4.3.1 边界统计边界统计针对终端上报的不安全信息进行统计，可以提供全部类型的信息统计，也可以按照移动设备、网络共享、下载工具、聊天工具、浏览器、邮件六

20、大终端边界来源进行统计。下图为边界统计界面图。您可以按照分组类型，时间范围以及文件名进行搜索，也可以导出对应的边界统计列表。已鉴定页面中展示了已经鉴定过的文件详细信息，界面如下图所示：边界统计页面包括全部文件和已鉴定文件信息，向您展示了边界文件的文件名，上报时间，鉴定结果，文件追溯，并提供给用户相应的操作，以及文件详情。 操作介绍 鉴定：点击“鉴定”按钮，您可以对相应的文件进行鉴定。 取消鉴定：点击“取消鉴定”按钮，您可以取消文件鉴定。 再次鉴定：点击“再次鉴定”按钮，您可对该文件进行再次鉴定。 鉴定结果 未知文件：该文件类型为未知文件； 鉴定中：该文件正在被鉴定器鉴定； 威胁文件：该文件为威

21、胁文件； 安全文件：该文件为安全文件； 未见异常：该文件暂未发现有威胁行为。 查看报告点击“详情”，您可以查看文件鉴定详情。文件分析报告中，点击“导出PDF”按钮，可导出报告。4.3.2 边界设置边界设置包括鉴定服务器设置、鉴定策略设置。 鉴定服务器设置 鉴定器服务器设置包括鉴定服务器通讯配置、鉴定方式配置、缓存鉴定文件位置。 鉴定服务器 提示鉴定服务器状态，并可测试鉴定服务器的通讯状态； 输入鉴定服务器IP地址和端口号码，点击“测试”按钮，可对鉴定器的通讯状态进行测试； 点击页面右下角“应用”按钮，可对鉴定器的设置进行应用。 自动鉴定设置 用户选择是系统自动鉴定，还是手工鉴定。 缓存鉴定文件

22、位置 提示默认服务器缓存鉴定文件保存的目录地址。 鉴定策略设置鉴定策略设置包括未知文件上报、上传文件大小、缓存鉴定文件大小、清理缓存文件模式。 未知文件上报 可开启或关闭来自网内边界的所有未知文件，了解全网系统薄弱环节，追溯病毒文件来源。 上传文件大小 可限定所上传的单个鉴定文件大小。 缓存鉴定文件大小 设置系统中心缓存文件空间最大值、客户端缓存文件空间最大值。 清理缓存文件模式 设置清理缓存文件模式，共有磁盘节约模式和数据完整模式。4.4 漏洞修复V8+终端安全系统具有独特的漏洞扫描，可自动检测软件各种漏洞，同时提供官方补丁下载地址，从根本上减少安全隐患。单击【漏洞修复】即会弹出全网漏洞扫描

23、操作窗口： 漏洞扫描分为主动智能上报方式，您可以在页面上查看到相应的扫描结果，可以分别按补丁或主机索引，查看漏洞详细信息，并对终端进行有针对性修复。V8+终端安全系统还支持自动修复策略，同时可以限制补丁修复的时间，更体现了新漏扫的人性化设计。提示：用户可以在【设置中心】-【终端设置】里设置终端的漏洞修复策略，详见设置中心介绍！ 4.5 软件管理软件管理包含软件资产获取、禁用软件、卸载软件、分发软件、报表导出： 查看软件资产：管理员登陆管理台可查看已获取的软件资产信息。 禁用软件：设定目标范围的终端计算机禁止使用某款、多款软件。 卸载软件：设定目标范围的终端计算机在指定时间段内卸载指定软件。 分

24、发软件：对目标范围的终端计算机分发某款软件，并以指定的参数安装、运行。4.5.1 查看资产透过【软件统计】，可以查看某款软件分别在哪些终端上有安装过、某台客户端有安装哪些软件、软件的基础信息。 查看软件对应的终端信息 查看终端对应的软件信息 报表导出点击【终端软件详情】、【软件终端详情】窗口右上角“导出”，即可将当前报表信息全部导出。4.5.2 禁用软件根据单位实际情况，选择需要禁用的软件以及目标终端范围。操作方法见下图。 已禁用的软件可通过上图的“允许运行”来解除“禁用”的管控，允许终端运行目标软件。4.5.3 卸载软件 卸载一款软件 卸载多款软件 卸载通知管理 通过“卸载通知管理”，可查看

25、所有已经下发的卸载任务信息。操作如下：“软件卸载任务管理”中的“执行情况”定义：显示实际已执行数/计划执行数。“软件卸载任务管理-执行情况”中的“已卸载”、“未卸载”定义：实际已执行卸载的软件总数、仍未卸载的软件总数。4.5.4 分发软件管理员登录管理台，进入【软件分发】页，首先选定组织范围，其次上传需分发的软件，最后设定分发策略。如图所示：若您希望软件分发下去后，客户端自动立即执行安装，则勾选“静默接收”。否则，勾选默认值“弹窗确认后接收”，客户端计算机会弹窗提示管理员有分发软件需要下载或安装，由客户端的计算机用户决定什么时候下载、安装。管理员可通过“分发任务管理”查看、取消、导出已下达的分

26、发任务。如图：执行中：显示当前仍有效的分发任务信息。已失效：显示已过期、已取消的分发任务信息。 导出记录：可导出执行中、已失效的分发任务信息。4.6 信息统计详实的系统信息统计与日志信息将为您进行决策提供可靠参考，V8+终端安全系统为您提供了终端的整体概况以及实时更新的升级日志。它能够详细的统计终端的安全信息，记录病毒日志，并具有定制报表功能。可以查询感染指定病毒的终端，以及导出EXCEL文件。 4.7 系统概况如果您需要查看终端的整体概况，请点击【信息统计】【整体概况】。4.7.1 病毒日志您可在“病毒日志”下，可按日志种类，时间段，和IP段进行查询。4.7.2 未安装统计您可以在这里开启或

27、关闭自动统计网内未安装客户端功能，也可以设置企业内未安装客户端上报时间间隔。当设置完成后，点击应用即生效。未安装统计页为您提供未安装客户端终端名称和IP地址，若名称为空白，则表明未检测到终端名称。下图为未安装统计界面图。4.7.3 升级日志详实的日志信息将为您进行决策提供可靠参考。V8+终端安全系统为您提供了实时更新的升级日志。它能够详细的记录升级信息，包括升级类型、开始时间、结束时间、升级结果，以便您第一时间掌握资料，及时而快速的采取措施。 如果您需要查看升级日志，请单击【信息统计】【升级日志】：4.7.4 高级报表如果您需要定制报表，请点击功能区的【信息统计】【高级报表】，可以根据需要进行

28、制作报表并可以导出PDF、Excel报表，显示客户机发现病毒汇总、病毒汇总、分组汇总列表信息。4.8 设置中心【设置中心】统一对系统中心，升级服务器，终端以及虚拟化服务器进行设置。4.8.1 系统中心1) 网络环境设置通过勾选“系统中心和终端都可以联网”、“系统中心可以连接联网，终端不可以（半隔离网）”、“系统中心和终端都不可以联网（隔离网）”，您可以决定终端和控制中心是否自动连接网络。如下图所示。2) 无效节点清理在金山V8+终端安全系统体系中，每个终端每次登录时都需要向系统中心报告自身状态，对于一些很长时间没有汇报自身状态的计算机（例如终端已不存在于网络中、重装了操作系统等情况），系统中心

29、将无法获取其状态，这既不便于您了解其安全状况，也有可能造成授权节点数的空置。为此，我们提供了“终端清理”功能。默认时间为7天自动删除不活动终端，您也可以自定义删除标准，当某终端到达预定的时间界线时，系统中心即视该终端为“不活动终端”，可以自动加以删除。您可以在功能区单击【设置中心】【系统中心】【全局设置】进行设置。3) 终端过滤终端过滤规则，简称白名单功能。系统中心默认允许所有IP连接到本系统中心。而一旦启动白名单功能之后，只允许白名单列表范围内的IP连接到本系统中心，在白名单列表范围之外的IP地址都视其为黑名单，拒绝其连接。您可以通过如下步骤完成：单击【设置中心】【系统中心】【终端过滤】，出

30、现如下操作界面：4) 报警设置V8+终端安全系统可以让您设置多种报警方式，在网络出现病毒疫情时及时向您反馈。当网络上的计算机受到病毒感染时，您会收到可靠的报警通知。不仅如此，金山V8+终端安全系统还支持您自定义收到报警通知的方式。 SNMP Trap通知（简单网络管理协议，一个管理网络设备和计算机的一个标准协议）：当您于客户端发现病毒时，系统中心将警报信息发送到网络中的SNMP服务器中，通过SNMP服务器的Trap事件，管理员便可以获知病毒警告信息，从而实现与现有的网络管理平台无缝结合。您需要填写相应的服务器IP地址、社区名。 NT事件日志通知：如果服务端是NT操作平台，当客户端发现病毒时，可

31、以将病毒警报信息写入NT事件日志，管理员可以通过查看NT日志获知病毒警告信息。如果设置多台计算机的汇报机制，在“发送目标计算机”栏中填写这些计算机的IP地址，地址之间用分号间隔。 Email通知：选中此项，Email通知方式将被启用，您需要填写SMTP服务器的IP地址、端口号，以邮件方式通知网络管理员。 “自身邮箱”到“网络管理员邮箱”，主题：find virus。 信使服务：发现病毒时终端可以通过Windows信使服务发送消息到指定的计算机来通知网络管理员。默认的警报所触发条件为60分钟内的病毒总数达到100个，您可以根据网络的实际情况修改此条件设置。5) 部署设置您可以在此进行部署设置，主要包括部署通知编辑和在线工具管理。可在编辑区里编辑通知标题，称呼以及正文，点击“预览”可直接在右侧预览区预览显示效果；如需应用此通知，则点击“保存”。下图为部署通知编辑界面图。保存完成后，用户访问系统中心，无需登录，即可查看企业部署通