SEP客户端部署方式及故障处理手册____借鉴文档的思路方法

 

 

SEP客户端部署方式及故障处理手册

 

 

目录

一 SEP客户端部署方式概要... 4

二 SEP远程推送条件... 4

三 SEP远程推送工具... 6

1、            SEP“查找非受管计算机”工具使用... 7

2、            SEP迁移和远程部署工具... 8

四 远程执行工具使用介绍... 17

五 WEB发布安装... 17

六 AD域组策略软件分发... 18

1、准备安装文件包... 18

2、创建软件分发点... 18

3、创建组策略对象... 19

4、软件部署... 19

5 改变部署的软件包选项... 21

6  删除部署的程序包... 23

七 AD域启动脚本... 23

1、            计算机启动、关机脚本... 23

2、            用户登录、注销脚本... 26

八 网络共享安装方式... 28

1、            提升用户安装权限的SEP安装脚本... 29

九 桌面管理软件... 30

十 SEP客户端批量安装过程的问题处理建议... 31

(一) 相关问题... 31

(二) 问题处理建议... 33

1、 安装前的准备工作... 33

2、 客户端安装方式选择... 34

十一 SEP客户端安装排错问题解答... 35

1.      点击安装后没有响应,或者windows事件日志中有报windows installer 错误。... 35

2.      安装SEP客户端的时候,出现进度条回滚或停止响应... 36

3.      安装SEP客户端出现回调或者安装后右下角没有图标出现... 36

4.      SEP安装意外中断,再次安装时无法继续安装... 36

5.      SEP安装时或安装后出现Run Time C ++ Error错误... 37

6.      安装SEP时提示无法加载某个组件或者无法找到***.dll文件... 37

7.      安装时回滚,并提示Live Update注册失败... 38

8.      安装SEP后,主动式威胁防护定义显示“正在等待更新”. 38

9.      安装完SEP重启计算机发现主动型威胁防护不能正常更新... 39

10.             主动威胁防护在安装后显示已禁用并且不会更新定义... 39

11.             安装SEP后,桌面右下角程序图标不显示绿点... 44

12.             从SAV升级到SEP.0以后,Microsoft Outlook出现错误... 45

13.             系统被挂起.需重启后才能运行.重启后仍有该问题... 45

14.             HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce权限不够... 46

15.             安装SEP客户端时提示请转入控制面板或者安装组件... 48

16.             无法再windows 7的操作系统上安装SEP. 48

17.             安装SEP客户端时双击setup.exe没有任何反应,或者出现乱码信息... 49

18.             SEP客户端与Word软件冲突... 49

19.             安装SEP时提示” 无效驱动器 x:”. 53

20.             客户端安装后显示“安全遵重性扫描失败”... 53

21.             安装SEPA后在“客户端”目录树中显示的状态仍然是未安装的图标... 53

22.             SEP安装不完整,但又无法正常卸载... 54

23.             SEP客户端在安装时出现提示:无法终止“SavRom”,请确认您有足够的权限终止服务进程。     54

24.             提示“Windows Installer无法打开此安装包”... 54

25.             提示“内部错误2203 c:\windows\installer\XXX.IPI”. 55

26.             安装时出现“读取c:\windows\installer\Symantec Antivirus.msi时发生网络错误”的提示... 55

27.             安装SEP时出现“读取c:\windows\installer\Redist\Drivers\symredrv.sys时出错”. 56

28.             SEP在安装过程中出现“此Windows Installer包有问题。……”的提示... 56

29.             sep安装程序循环安装且无法停止... 57

30.             天网防火墙冲突... 57

31.             卸载瑞星防火墙后,出现网络不通现象... 58

32.             提示磁盘空间不足... 58

33.             无法保存word2007 SP2的文件的情况... 58

34.             控制面板中找不到原杀毒软件的删除选项... 60

35.             无法登陆FTP服务器下载安装文件... 60

36.             原symantec antivirus软件客户端无法卸载,... 60

37.             系统windows installer损坏,无法卸载或安装程序... 61

38.             类似大蜘蛛杀毒软件无法卸载... 63

十二 如何将最新的病毒定义和入侵防护签名添加到客户端安装包... 63

十三 脚本示例... 65

1.      一个提升用户安装权限的SEP安装脚本... 65

2.      修改XP客户端安全配置的脚本... 67

十四 附录... 70

1.      关于磁盘空间不足的处理... 70

 

 

一 SEP客户端部署方式概要

SEP客户端软件安装包分为32位和64位系统两种,您可以在安装完SEPM管理服务器后,从SEPM控制台导出需要的安装包,并提前定义安装包属性,如,安装包选用哪些组件模块、使用静默方式还是无人参与模式安装等。

为了便于SEP大规模网络批量部署,在客户端具备一定条件的环境下,可使用远程软件推送安装等方法,可大大减少实施的时间和人力成本。本手册中的各种安装方法可以根据实际网络情况进行多种选择使用,各种方式相互补充,以使部署效率达到最佳。

 

使用SEP远程推送部署工具可以对网络子网进行扫描,找到未安装或者安装旧版本的客户端,对其进行远程安装。

使用WEB站点发布,可以把安装权限提升后设置封装在安装包中,发布安装包链接,由计算机操作者自己安装,但可能需要用户做基本的确认操作,如,要求确认关闭Lotus Notes,确认是否保留隔离区内容等。

使用AD域组策略“软件安装”方式,需要用户重启电脑才能生效,时间周期可能较长。可能需要提前想办法给客户端安装Windows Installer 3.1。

使用AD域组策略的计算机启动、关机脚本来安装,需要用户重启电脑才能生效,可能等待用户关机、开机时间较长。

使用AD域组策略登录、注销脚本来安装,需要用户登录域、注销登录时生效。

网络共享安装方式,可以把安装权限提升后设置封装在安装包中,发布安装包下载位置链接,由计算机操作者自己安装,但可能需要用户做基本的确认操作,如,要求确认关闭Lotus Notes,确认是否保留隔离区内容等。

使用桌面管理工具,则需要目标上都有相应桌面管理软件客户端。

 

综上所诉,推荐优先使用域策略脚本来使客户端尽可能满足推送安装的环境要求,然后使用SEP推送工具进行远程安装,同时把重新封装好的安装程序发布在WEB站点中,并且通知用户自行进行安装。使用SEP推送工具和通知用户自行安装能起到较好的互补作用。而对于其他方法,根据具体网络情况也可选择使用。

 

二 SEP远程推送条件

  1. 客户端加入域。(如未加入域,防病毒管理员需知道其本地管理员账号密码)。
  2. windows 防火墙关闭。(若不关闭则需要开放SEP管理服务器端和客户端上的 TCP139、 445和2967, UDP137 和 138端口,管理服务器端的TCP 8014;将 Windows 防火墙配置为“允许文件和打印机共享” ;同时注意IDC防火墙也要开放响应的端口策略;ICMP状态检查允许自动返回通信)。
  3. 组策略设置

计算机配置-Windows设置-安全设置-本地策略-安全选项-网络访问:本地帐号的共享和安全模式---改为“经典-本地用户以自己的身份验证”。

“本地策略设置”>“安全设置”>“本地策略”>“安全选项”>“[网络安全] LAN Manager 身份验证级别”---建议使用“仅发送NTLM 2 响应”级别。

  1. 开启默认共享(C$、Admin$、IPC$)。
  2. 开启ServerRemote Registry服务
  3. 工作组中的 Windows XP---禁用简单文件共享
  4. Windows Vista、Windows Server 2008 和 Windows 7,Windows 的“用户访问控制”会禁止本地管理帐户远程访问远程管理共享,如 C$ 和 Admin$。

若要将客户端软件推送到计算机,如果客户端计算机属于 Active Directory 域,应使用域管理帐户。远程部署也需要更高的权限才能进行安装。

请执行下列任务:

  1. 禁用文件共享向导
  2. 使用网络和共享中心启用“网络搜索”。
  3. 启用内置管理员帐户并为此帐户分配一个密码。
  4. 确认您的帐户拥有更高的用户权限。
  1. Windows Vista、Windows Server 2008 和 Windows 7(位于 Active Directory 域中):
  1. 用来部署客户端软件的帐户必须是域管理员,并在客户端计算机上有更高的权限。启用内置管理员帐户并为此帐户分配一个密码。
  1. 如客户端安装有其他杀毒软件,则需要先手动卸载,否则可能存在冲突,例如,瑞星、Mcafee等。

 

以上这些条件可以通过脚本实现:

在组策略计算机配置/Windows 设置/脚本,双击启动,单击添加,将脚本文件“开启.bat与“开启.reg”文件复制进去,选择开启.bat文件为起动脚本即可

“开启.bat”脚本文件内容如下:

 

@echo off

rem 关闭XP防火墙

@echo on

net stop SharedAccess

@echo off

rem 在组策略计算机配置/Windows 设置/脚本,双击启动,单击添加,将如上“开启.bat文件与“开启.reg”文件复制进去,选择开启.bat文件为起动脚本即可

 

rem 执行“开启.reg”,打开默认共享和经典访问模式

@echo on

regedit.exe /s  开启.reg

 

@echo off

rem 启动server服务,打开ipc$;启动RemoteRegistry服务

@echo on

net start lanmanserver

net start RemoteRegistry

 

@echo off

rem 建立默认共享

@echo on

net share ipc$

net share admin$

net share c$=c:

 

rem pause

exit

 

“开启.reg”文件内容:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareWks"=dword:00000001

"AutoShareServer"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"forceguest"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"lmcompatibilitylevel"=dword:00000003

 

三 SEP远程推送工具

如客户端满足推送条件,可使用SEP推送工具“查找非受管计算机”或者“迁移和部署向导”工具来进行远程安装。

SEP推送的原理是取得远程机器的权限并直接下达远程运行程序的命令。这个过程也可以直接使用psexec工具实现,但SEP“查找非受管计算机”工具可以根据端口扫描确定未安装SEP的客户端,可以针对这些客户端来远程推送安装SEP,这是一般远程执行工具无法做到的,所以推荐使用。

  1. SEP“查找非受管计算机”工具使用

1 打开SEP管理控制台,在客户端选项卡中,找到“查找非受管计算机”

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第1张图片

2 填写搜索的地址范围,填写具有安装权限(本地管理员权限)的用户帐号和密码,然后开始搜索

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第2张图片

3 查找完毕后,钩选要安装的客户端,在下面选择要安装的sep客户端软件包的安装设置和功能模块,选择要安装到哪个客户端组,然后点“开始安装”即可。建议安装设置选用“静默安装”或“无人参与”的默认安装模式;

注意:如果 LAN Manager 的身份验证级别与六个定义的身份验证级别不兼容,这个实用程序就会将非受管计算机归为“未知的计算机”类别。Symantec 建议使用“仅发送NTLM 2 响应”级别。可编辑的策略位于“本地策略设置”>“安全设置”>“本地策略”>“安全选项”>“[网络安全] LAN Manager 身份验证级别”下。此外,从默认的 Windows Server 2003 安装运行此实用程序时,此实用程序不能正确识别Windows 2000 操作系统。若要避开此限制,请在“服务”面板中,以“管理员”而非“系统”的身份运行 Symantec Endpoint Protection Manager 服务。

警告:此实用程序会检测各种网络设备(如,交换机、路由器、网络打印机等具有IP地址的设备),并将其显示在未知计算机选项卡上。例如,此实用程序检测到路由器接口,并会将这些接口放置在未知计算机选项卡上。在将客户端软件部署至出现在“未知的计算机”选项卡上的设备时,应格外谨慎。请确认这些设备都是客户端软件部署的有效目标。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第3张图片

        

  1. SEP迁移和远程部署工具

如客户端满足前述的推送条件,也可使用SEP “迁移和部署向导”工具来进行远程安装。原理一样,取得远程机器的权限并直接下达远程运行程序的命令。如果管理员已知道哪些计算机尚未安装sep,能获取到这部分计算机清单列表的情况下可以使用这种方式安装。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第4张图片

启动SEP的“迁移和部署向导”工具,点“下一步”;选“部署客户端”

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第5张图片

“选择现有客户端安装包进行部署”

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第6张图片

之前安装好SEPM服务器时,我们已经按照需要导出了客户端安装包,现在可以从这里选择一个用于推送安装。建议选压缩打包的“静默安装方式”的安装包,这样可以避免安装过程提问一些问题要求确认,并且在客户端windows installer版本不够时可以自动安装windows installer3.1(这需要重启动操作系统后才能使用。不过我们可以在几天后再推送一次,也许那时候用户已经重启动了操作系统了)。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第7张图片

点“浏览”选择一个之前已经从SEPM导出的安装包用于推送安装。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第8张图片

 

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第9张图片

 

接下来需要浏览“windows网络”,以便选择要安装的客户端计算机。见下图

提示:为了确保快速准确浏览到网络中的计算机,建议将SEPM服务器加入到域中。

逐个选择尚未安装sep的计算机,点“添加”加入到右侧待安装栏,

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第10张图片

接下来会提示连接远程计算机使用的帐号和密码,请使用其本地管理员或域管理员权限的账号密码来连接。(如果这里输入的账号密码对之后添加的计算机有效,则不会重复提示输入;如果权限不足则会再次提示输入有效账号密码)。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第11张图片

       您还可以使用“添加和导入计算机”按钮来添加计算机,可以手工输入ip或主机名,也可以通过一个逐行列有要添加的计算机的ip地址的文本文件来导入。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第12张图片

也可以通过一个逐行列有要添加的计算机的ip地址的文本文件来导入预安装列表。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第13张图片

点浏览导入import.txt文件列表

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第14张图片

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第15张图片

 

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第16张图片

在导入列表过程中仍然可能会提示输入有效的账号密码以连接远程计算机。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第17张图片

选择预安装sep的计算机之后,点“完成”,开始分批推送安装SEP。如下图。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第18张图片

全部推送完成后,可以查看日志,确定哪些计算机推送失败,以便作后续处理。

 

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第19张图片

 

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第20张图片

 

 

四 远程执行工具使用介绍

使用的工具为psexec,其他工具类似

Usage: psexec [\\computer[,computer2[,...] | @file][-u user [-p psswd]][-n s][-l][-s|-e][-x][-i [session]][-c -f|-v]][-w directory][-d][-][-a n,n,...] cmd [arguments]

详细用法可看命令说明,以下实例为基本用法:

 

psexec \\192.168.1.2 -u admin -p 123456 ipconfig

这个命令为在192.168.1.2 的机器上使用admin用户(密码为123456)执行ipconfig这个命令

 

实际使用中,还需要先把安装程序先传到目标机器上,再调用执行。

net use \\192.168.2.1 123456 /user:admin

xcopy c:\temp\setup.exe \\192.168.1.2\c$

psexec \\192.168.1.2 -u admin -p 123456 c:\setup.exe

 

五 WEB发布安装

发布相关WEB站点,通知用户自行进行安装。

(Web站点建立方法略过)

如域用户没有权限进行安装,则可通过工具提升安装权限来执行sep安装包。

可使用CPAU.exe工具进行安装权限的提升,用法如下:

CPAU -u username -p password -ex setup.exe -lwp

CPAU -u username -p password -ex "msiexec /i softwareName.msi /qb REBOOT=SUPPRESS /promptrestart" –lwp

 

注意

    1. CPAU一行中的用户名如果是域用户帐号,则请使用domain/username的格式,并删除最后的参数“-lwp”;
    2. 命令行中的路径如果中间有空格或使用长文件名,请给绝对路径加双引号。

 

可使用加密bat文件实行密码的隐藏,然后使用winrar压缩为独立运行的exe安装包提供给web安装使用。

       详细的脚本内容可以参考第八章。

 

六 AD域组策略软件分发

    您可以使用 Windows 2000/2003 Active Directory 组策略对象安装客户端软件。使用 Active Directory 组策略对象安装客户端软件的过程假定您已安装此软件,且使用 Windows 2003 Active Directory。

安装软件要求客户端计算机包含且可运行 Windows Installer 3.1 或以上版本。如果客户端计算机不满足此项要求,所有其他安装方式会从SEP安装包文件引导 Windows Installer 3.1 以自动安装该软件。

基于安全考虑,Windows 组策略对象不允许从安装文件引导至可执行文件WindowsInstaller*.exe。因此,在安装 Symantec 客户端软件之前,您必须在没有且未运行 Windows Installer 3.1 的计算机上运行此文件。您可以使用计算机启动脚本来运行此文件。如果使用 GPO 作为安装方法,必须先决定如何更新未运行Windows Installer 3.1 的客户端计算机。

注意:受限用户不能运行 Windows Installer 3.1,即使提高权限也不能运行 Windows Installer 3.1。受限用户是使用本地安全策略设置的。

安装 Windows Installer 3.1 的一种方式是使用 GPO 计算机启动脚本。启动脚本会在计算机重新启动时在 GPO .msi 安装文件之前运行。如果采用这种方式,请注意,每次重新启动计算机,启动脚本都会运行并重新安装 Windows Installer。不过,如果采用静默方式安装,用户要晚一点才能看到登录屏幕。使用 GPO 只会安装一次Symantec 客户端软件。

1、准备安装文件包

    实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。

MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使 用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。

2、创建软件分发点

    实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。

    软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI包文 件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容,可以使用隐藏 共享文件夹,即在共享名字后加$符号。

3、创建组策略对象

    实现组策略软件部署第三步是要创建相对应的组策略对象。

    软件部署是依靠AD中的组策略来设置的,所以我们必须要创建一个用以分发软件程序包的组策略对象 (GPO),或者是修改一个已经存在的GPO并在其中添加软件部署的设置。在配置GPO时我们需要考虑分析网络中哪些人需要的软件是一样的,哪些人需要的 软件是不一样的,或者是哪些部门需要什么软件,然后做一个规划,从而决定GPO的创建位置,一般情况下我们是在容器OU上创建或者修改GPO。配置如下:

  1. 在管理工具中启动“Active Directory 用户和计算机”管理单元。
  2. 控制台树中,右键单击要分发软件的OU,然后单击“属性”选择“组策略”选项卡,然后单击新建来创建一个组策略。
  3. 键入希望使用的组策略名称,例如“Office2000分发”,然后回车。
  4. 选中刚才新建的组策略,单击下面“编辑”进入组策略编辑状态。
  5. 根据软件是部署给用户还是计算机,在相应的“用户配置”或“计算机配置”中进行设置。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第21张图片

4、软件部署

    经过上面的三步后,我们就可以对软件部署本身进行设置。

    软件部署有两种类型,分别为已发行和已指派。这两种部署类型的区别在于:

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第22张图片

 

    4.1 已发行软件部署方法

    需要注意的是已发行的方法只能部署到用户,不能部署到计算机上,也就是说只有组策略中的用户配置可以使用这种部署方法。已发行软件部署方法可以保证:

     1. 当用户登录计算机时,软件并不会自动安装,只有当用户双击与应用程序关联的文件时,软件才会自动安装。如我们双击一个ppt文档或doc文档时,会自动安装OFFICE。

     2. 对于发行的软件,用户可以在控制面板中的“添加/删除”中安装或者删除,也就是说用户自己可以安装,也可以卸载。

    这种部署方法的好处在于,对于一些不能确定使用用户的软件,可以以发行方法部署,是否安装由用户自已决定。

    配置方法如下:

     1. 右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定”软件分发点”中的MSI包文件,然后单击“打开”。

     2. 在选择部署方法中,选定“已发行”。

    4.2 已指派软件部署方法

    已指派的方法可以将软件部署给用户和计算机,也就是说组策略中的用户策略与计算机策略都可以使用这种部署方法。这一点需要与发行方法区别开。

    当我们使用此方法将软件指派给用户时可以保证:

     1.软件对用户总是可用的,不管用户从哪一台计算机登陆,软件都将会在开始菜单或桌面上出现,但这时软件并没有被安装,只有在用户双击应用程序图标或与应用程序关联的文件时,软件才会被安装。

     2. 如果用户删除了安装的软件,哪么当用户下次登录时软件还会出现在开始菜单或是桌面上,并在用户双击关联文件时被激活安装。

    这种部署的好处在于,对于一些不常用的,但某些人却必须要使用的软件我们没有必要在每台计算机都安装,只要指派给需要的用户,不管这个用户在哪台计算机上操作,都能保证要使用的软件是可用的。

    方法如下:

     1. 右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定”软件分发点”中的MSI包文件,然后单击“打开”。

     2. 在选择部署方法中,选定“已指派”。

    当我们使用此方法将软件指派给用户时可以保证:

   1. 对于被指派的计算机,软件总是可用的,无论哪个用户登录都可以使用被指派的软件。

   2. 软件不会通过文件关联安装,而是在计算机启动时被安装。

   3. 用户不能删除被指派安装的软件,只有管理员才可以。

    这种部署方法的好处在于,可以将一些大家都要用到的软件指派给计算机,被指派安装在计算机上的软件对于所有用户都是可用的。

    配置方法如指派给用户的步骤,只是将“用户配置”改为“计算机配置”即可。

5 改变部署的软件包选项

    在用组策略部署一个软件后,可以修改待部署的软件包的选项以适应我们的需要:

  1. 点击软件安装,在右边找到待部署的软件包,点击右键选择属性,在出现的对话框中选择部署。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第23张图片

 

 

   2. 部署类型在之前已经介绍过了,不再复述。在部署选项中“通过扩展名激活自动安装应用程序”选项能通过文档激活来安装部署的软件。图4中该选项为灰色是因为部署类型是“已指派”,在这个部署类型下该选项是默认已选择的。

   3. “当这个应用程序不再处于管理范围内时,将其卸载”意为当某一用户或计算机从所部署OU中移走时,部署的软件将会被卸载。

   4. “不要在“添加/删除程序”控制面板中显示这个程序包”该选项可以使部署的软件不出现在“添加/删除程序”当中 ,避免用户对软件进行操作。

   5. “安装用户界面选项”中“基本选项”的安装界面是用默认值来进行安装的,“最大选项”允许用户在安装过程中有所选择,可以输入信息。

6  删除部署的程序包

    要删除已发行或已指派的程序包,可以在软件包上右击选择“所有任务”,“删除”。在弹出的对话框中选择“立即从用户和计算机卸载软件”或是“允许用户继续使用软件,但禁止新的安装”,然后单击确定。

 

七 AD域启动脚本

  1. 计算机启动、关机脚本

在组策略中,把安装程序作为客户端的开机启动脚本,则可让客户端启动或关机时运行指定的程序或脚本。

在组策略中选择计算机配置-windows设置-脚本(启动/关机)-启动

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第24张图片

 

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第25张图片

选择添加,直接选择填写脚本名和参数,或者点“浏览”,把这个脚本文件复制到打开的窗口中去,选择这个文件,点打开—〉确定。

 

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第26张图片

 

建议把脚本复制到默认打开的窗口位置中。通常位于如下目录

\domainname\SysVol\domainname\Policies\{ID}\Machine\Scripts\Startup

       策略更新以后,客户端将在下一次重启动时即可运行相应脚本(不需要登录也会执行)。

 

       脚本内容可以参照第八章的脚本来修改,现举列如下:

下面的脚本中,\\10.150.228.2\install\WEBinstall\sepinstall\sep32 是某客户SEP32位客户端安装包共享存放位置,setup_32bit.exe是压缩后的sep导出安装包文件名。将脚本保存为sepinst.bat。

      CPAU.exe是用来提升用户安装权限的工具软件,请和客户端安装包存放于同一共享位置。username是具有客户端计算基本地管理员权限的帐号(可以用域管理员账号),password是其密码。

为了避免用户看到此帐号密码,也可以用bat2exe的工具软件QuickBFC将此脚本编译成一个exe脚本文件,让管理员在启动、关机脚本策略中使用这个sepinst.exe脚本文件即可。

 

@ ECHO Off

rem 判断是否已装SEP,如果装过就删除上次安装时拷贝的临时文件,并退出;没装过就进行安装。

if exist "%ProgramFiles%\Symantec\Symantec Endpoint Protection\SmcGui.exe"  goto DELtemp

if exist "%ProgramFiles%\Symantec Antivirus\SmcGui.exe"  goto DELtemp

if exist "%ProgramFiles%\Symantec_Client_Security\SmcGui.exe"  goto DELtemp

goto SETUP

 

: DELtemp

ECHO On

rem 系统已安装了sep,这一步删除上次拷贝的安装包文件,并退出脚本

Del  /Q  %temp%\sepinst\*.*

rd %temp%\sepinst

  rem pause

goto EXIT

 

:SETUP

ECHO On

rem 系统还没有安装sep,下面开始安装sep

rem 将旧版隔离区移到别处,避免安装SEP时要求确认是否保留隔离区。

Move /Y "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine"  "C:\Documents and Settings\All Users\Application Data\SavQuarantine"

 ECHO Off

rem s:临时映射到存放sep 32位全功能安装包的共享文件夹中,然后拷贝文件到本地%temp%\sepinst下,并执行安装。

ECHO On

net use s: \\10.150.1.1\install\WEBinstall\sepinstall\sep32 /PERSISTENT:NO

s:

MD %temp%\sepinst

copy /Y s:\*.* %temp%\sepinst\*.*

c:

cd %temp%\sepinst

 ECHO Off

Rem 下面使用CPAU提升安装权限来执行sep安装包

 CPAU -u username -p password -ex "setup_32bit.exe" -lwp

  rem pause

 :EXIT

 

 注意

  1. CPAU一行中的用户名如果是域用户帐号,则请在用户名前加上域名(如,domain\username),并删除最后的参数“-lwp”
  2. net use一行命令中的路径如果中间有空格或使用长文件名,请给全路径使用双引号引起来。
  1. 用户登录、注销脚本

类似的,在组策略中,把安装程序作为客户端的登录或注销脚本,则可让客户端在域用户登录或注销时运行指定的程序或脚本,从而安装sep软件。

在组策略中选择用户配置-windows设置-脚本(登录/注销)—登录。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第27张图片

 

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第28张图片

选择“添加”,

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第29张图片

直接选择填写脚本名和参数,或者点“浏览”,把这个脚本文件复制到打开的窗口中去,选择这个文件,点打开—〉确定。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第30张图片

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第31张图片

八 网络共享安装方式

       可以将SEP客户端软件安装包存放到一台或几台网络中的文件共享服务器上去,将安装包的路径告诉计算机使用者,由其自行进行安装。安装前请验证用户是否具有访问服务器上sep客户端安装包的访问权限,确保每个用户都有读取、执行权限。

域环境下,通常普通用户的登录账号不具有本地安装防病毒软件的权限。不过我们可以通过

工具软件提升安装权限来允许普通用户的登录账号执行sep安装。

可使用CPAU工具进行安装权限的提升,用法举例如下:

CPAU -u username -p password -ex setup.exe -lwp

或者

CPAU -u username -p password -ex "msiexec /i softwareName.msi /qb REBOOT=SUPPRESS /promptrestart" –lwp

 

注意

  1. CPAU一行中的用户名如果是域用户帐号,则请删除最后的参数“-lwp”;
  2. 命令行中的路径如果中间有空格或使用长文件名,请给绝对路径加双引号。

 

可使用加密bat文件实行密码的隐藏,然后使用winrar压缩为独立运行的exe安装包提供给安装使用。

    1. 提升用户安装权限的SEP安装脚本

下面的脚本中,\\10.150.228.2\install\WEBinstall\sepinstall\sep32 是某客户SEP32位客户端安装包共享存放位置,setup_32bit.exe是压缩后的sep导出安装包文件名。将脚本保存为sepinst.bat。

    CPAU.exe是用来提升用户安装权限的工具软件,请和客户端安装包存放于同一共享位置。username是具有客户端计算基本地管理员权限的帐号(可以用域管理员账号),password是其密码。

为了避免用户看到此帐号密码,我用bat2exe的工具软件QuickBFC将此脚本编译成一个exe脚本文件,让管理员把这个sepinst.exe脚本文件发布给所有使用者,执行一下即可安装SEP客户端了。

 

@ ECHO Off

rem 判断是否已装SEP,如果装过就删除上次安装时拷贝的临时文件,并退出;没装过就进行安装。

if exist "%ProgramFiles%\Symantec\Symantec Endpoint Protection\SmcGui.exe"  goto DELtemp

if exist "%ProgramFiles%\Symantec Antivirus\SmcGui.exe"  goto DELtemp

if exist "%ProgramFiles%\Symantec_Client_Security\SmcGui.exe"  goto DELtemp

goto SETUP

 

: DELtemp

ECHO On

rem 系统已安装了sep,这一步删除上次拷贝的安装包文件,并退出脚本

Del  /Q  %temp%\sepinst\*.*

rd %temp%\sepinst

  rem pause

goto EXIT

 

:SETUP

ECHO On

rem 系统还没有安装sep,下面开始安装sep

rem 将旧版隔离区移到别处,避免安装SEP时要求确认是否保留隔离区。

Move /Y "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine"  "C:\Documents and Settings\All Users\Application Data\SavQuarantine"

 ECHO Off

rem s:临时映射到存放sep 32位全功能安装包的共享文件夹中,然后拷贝文件到本地%temp%\sepinst下,并执行安装。

ECHO On

net use s: \\10.150.1.1\install\WEBinstall\sepinstall\sep32 /PERSISTENT:NO

s:

MD %temp%\sepinst

copy /Y s:\*.* %temp%\sepinst\*.*

c:

cd %temp%\sepinst

 ECHO Off

Rem 下面使用CPAU提升安装权限来执行sep安装包

 CPAU -u username -p password -ex "setup_32bit.exe" -lwp

  rem pause

 :EXIT

 

 注意

  1. CPAU一行中的用户名如果是域用户帐号,则请在用户名前加上域名(如,domain\username),并删除最后的参数“-lwp”
  2. net use一行命令中的路径如果中间有空格或使用长文件名,请给全路径使用双引号引起来。

 

九 桌面管理软件

使用桌面管理软件,如SCCM ,LANDESK也可进行远程推送,具体方法看相关产品使用手册。

 

十 SEP客户端批量安装过程的问题处理建议

(一) 相关问题

  1. 推送安装时提示关闭Lotus Notes;提示liveupdate正在运行不能安装;提示隔离区文件是否保留,能否加参数直接安装下去?

答:Symantec800工程师说,不装Lotus Notes防护组件就不会提示关闭notes;可以考虑不装Lotus Notes防护组件,在导出SEP客户端安装包时不选Lotus Notes防护组件。但是我实际测试的结果是这个办法没有效果。可以尝试用“静默方式”安装包来装,应该可以完成安装。

liveupdate:等待其退出,或者从任务管理器进程查看窗口中手工结束LUCOMS~1.exe,LUALL.EXE,LuCaLLBackProxy.EXE,然后继续安装;

也可以提前一天从旧的SAV系统SSC控制台上将SAV客户端的liveupdate禁用,来防止出现此问题。

隔离区文件:提前从SSC控制台上将SAV的隔离区文件保留时间改为1天,来减少出现此类问题。或者用脚本安装客户端时先用move命令将隔离区移动或改名。

 

  1. 安装完后能否不要立即全盘扫描?

       答:是调度扫描任务引起的,不配调度扫描就不会扫了。可以将SAV、SEP的调度扫描暂时不启用。

 

  1. 使用SEP自带的远程推送安装功能来装sep客户端,要求客户端做哪些配置?

答:需要启用默认共享C$,admin$;使用经典访问模式;必须将 Windows 防火墙配置为允许文件和打印机共享;server服务必须启动。可以用组策略发送一个脚本到客户端来修改这些配置。脚本请联系中软工程师获得。

工作组中的 Windows XP

Windows XP系统必须禁用简单文件共享(或者说,启用“经典”网络访问模式)。简单文件共享可能会使客户端软件无法部署。

       上述这些配置可以通过域组策略来统一配置。

Windows VistaWindows Server 2008 Windows 7

■ 禁用文件共享向导。

■ 使用网络和共享中心启用网络搜索。

■ 确认您的帐户拥有更高的用户权限。

       Windows VistaWindows Server 2008 Windows 7(位于 Active Directory 域中):

用来部署客户端软件的帐户必须是域管理员,并在客户端计算机上有更高的权限。

确定您的计算机上是否安装了第三方安全软件,如有,建议卸载它。

第三方安全软件包括其他防病毒或防广告软件以及防间谍软件。这些程序可能影响客户端软件的性能及有效性。

Symantec 建议您不要在同一台电脑上运行两种防病毒程序。同样地,运行两种防广告软件或防间谍软件程序,或者运行两种防火墙程序,都可能出现问题。如果两种程序都提供实时防护,则务必遵循这项建议。两种程序可能会导致资源冲突,并且在程序尝试扫描或修复相同文件时,可能耗尽计算机资源。

 

  1. 安装完后默认卸载密码是什么:

       答:SEP安装完后没有默认卸载密码。需要的话可以在SEPM上配置密码。

建议提前从SSC控制台上将SAV的卸载密码去掉,方便安装和卸载过程。

 

  1. 防火墙模块已安装,能否从策略里禁用(类似于禁用自动防护那样):

       答:Symantec800工程师说,不钩选防火墙策略的“启用”就会禁用防火墙(但防火墙模块并没有被卸载)。

 

  1. 为什麽更改模块不选防火墙、主动防御,却卸载了整个sep

       答:在XP上测试,没发现这种情况,只正常卸载了防火墙、主动防御。

 

  1. 为什么安装后要求重启动系统?

   答:以下情况下安装或迁移时需要重新启动计算机:

在某些状况下,安装 Symantec Endpoint Protection 软件的计算机必须重新启动,才能完成安装过程。在下列任何情况下,都需要重新启动计算机:

■ 未运行 windows installer(简称MSI )3.1 的所有客户端计算机。客户端安装时,如果客户端计算机上未运行MSI 3.1,就会将 MSI 升级为 3.1,此项升级需要重新启动。

■ 如果选择安装“网络威胁防护和防火墙”模块的 Symantec Endpoint Protection 客户端安装。

有时候在使用Landesk等第三方软件(或组策略)进行远程批量安装时,会发现一部分客户端显示安装失败,究其原因,很多是因为windows installer版本不够所致。而安装 windows installer后又需要操作系统重新启动后才能生效。因此建议先通过桌面管理软件或组策略发布安装Windows Installer3.14.5版),几天后再来远程部署SEP,这样成功率会高很多。

另外还有一种常见原因,就是操作系统或个别应用软件更新了补丁包,要求操作系统重启动(见下图),之后才允许再安装其它软件。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第32张图片

  1. 服务器上防火墙、主动防御能用吗?

   答:Windows server上的SEP没有主动防御模块,但防火墙是可以安装使用的。

 

(二) 问题处理建议

       综上所述,建议在远程批量安装前作如下环境准备工作,以达到事半功倍的效果。

1、 安装前的准备工作

  1. 在客户端防火墙,或IDC等网络中间隔离防火墙,或交换路由设备上开启如下端口访问策略:

用于客户端和服务器安装和通信的端口

功能

组件

协议和端口

客户端远程部署

如不使用sep的远程推送部署安装方式则可以跳过这一行

管理服务器和目标客户端

Manager 和客户端上的 TCP139和445, UDP137 和 138,管理服务器和客户端上的 TCP临时端口

常规通信

必需的

管理服务器和客户端

Manager 上的端口Tcp 8014

客户端上的 TCP 临时端口;服务器和客户端上的TCP2967

常规通信

如不使用远程控制台则可以跳过这一行

本地Symantec 系统中心和远程控制台

TCP8443(本地访问)和 9090(远程访问)

搜索服务

管理服务器端

TCP 139和445,2967

SEPM病毒定义下载

Liveupdate到symantec病毒定义更新网站

TCP 80或21,必须允许多线程下载方式

 

  1. 在旧版SAV控制台上配置取消“隔离”;不能“清除”的病毒第二步操作选“立即删除”;或设定1天后清理隔离区,减少或避免隔离区里有文件而导致安装过程中需要用户确认的问题;提前一天从SSC控制台上将SAV的liveupdate禁用;在导出SEP客户端安装包时不选Lotus Notes防护组件。
  2. 在SAV、SEP策略里暂时不启用“调度扫描”,避免SEP刚装好就执行全盘调度扫描的问题。
  3. 如果需要使用SEPM控制台推送安装SEP,可以先使用组策略脚本来打开以下配置项,启用默认共享C$,admin$;使用经典访问模式;将 Windows 防火墙配置为允许文件和打印机共享;server服务必须启动。
  4. 实施时间尽量安排在中午或晚上非工作时间;

分批、分部门实施;在实施前多次发送安装公告给客户端使用者,要求其在安装期间每日下班前关闭所有正在打开的应用软件,并重启动一次操作系统(不能关机),以防止软件冲突;

在通知中提示计算机使用人员,对可能在安装过程中出现的提示进行参与处理,如,关闭Lotus Notes等。

       通知各单位信息管理员积极予以协助。

  1. 给各单位信息管理员提供SAV、SEP卸载工具。

遇到与SAV相关的错误导致无法安装时,请先手工卸载SAV,并在重新启动后再安装;不能正常卸载的,请使用SAV卸载工具“nonav2.6.11.exe”清理系统,重启动后再安装;

遇到SEP安装后运行不正常的,请手工卸载SEP,并在重新启动后再安装;不能正常卸载的,请使用SEP卸载工具“CleanWipe_v5.0”清理系统,重启动后再安装;

  1. 在大规模实施前,建议对各单位信息系统管理员或协管员做一次SEP客户端安装、使用、常见问题处理等的基础培训。

2、 客户端安装方式选择

  1. 使用LanDesk桌面管理系统远程安装SEP产品。缺点是可能由于某些应用软件正在运行,需要用户参与手动关闭此类应用程序;或者因为windows installer版本不够而导致推送安装“失败”。建议尽量按照前述环境准备工作中的做法减少此类冲突。
  2. 使用组策略在计算机开机或关机脚本里配置安装/升级SEP,这样可以避免正常运行状态用户打开的其它软件与SEP发生冲突,而导致安装过程序要用户参与或中断的问题;缺点是安装过程要等客户端计算机重启动或开/关机时才能生效。
  3. 或者使用SEPM控制台推送安装SEP。

可以先使用组策略来打开以下配置项(有些可能需要重新启动系统才能生效),启用默认共享C$,admin$;使用经典访问模式;必须将 Windows 防火墙配置为允许文件和打印机共享;server服务必须启动。缺点是某些组策略配置要等客户端计算机重新启动后才能生效。

  1. 或者可以考虑使用网络准入控制系统强制用户安装SEP产品。缺点是在安装完成前用户暂时不能访问internet。
  2. 其它方式可以做为扶助方式使用:网络共享手工安装,或者通过发布WEB页面,让使用者自己安装(需要有本地管理员的权限来安装。可以用一些工具软件帮助提升安装时的权限,如,sanur、Lsrunas、cpau等)。

 

十一 SEP客户端安装排错问题解答

       以下问题及处理办法是从symantec 代理商工程师处,和我们实际实施过程中遇到的问题处理方法中收集整理汇总的,不一定适用于所有用户环境,仅供参考。

 

在开始之前

在开始之前,请按照下列步骤操作,使隐藏的文件和文件夹可见。

1.单击 开始,指向 所有程序,然后单击 Windows 资源管理器

2.在 工具 菜单,在 Windows 资源管理器,单击 文件夹选项

3.单击 查看 选项卡。

4.在 隐藏文件和文件夹,单击 显示隐藏的文件和文件夹

5.点上方“应用到所有文件夹”,然后点下方“应用”,“确定”。

 

术语:SEPM---SEP管理服务器,SEPA---SEP客户端(SEP  Agent)

 

  1. 点击安装后没有响应,或者windows事件日志中有报windows installer 错误。

在安装Symantec客户端的时候,出现如下提示

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第33张图片

问题原因:

系统 windows installer 服务被停用

系统 windows installer 服务损坏

解决方法:

  1. 确认当前不处于安全模式,且“Windows Installer”服务没有被禁用。
  2. 如果“Windows Installer”服务无法正常启动,尝试点击桌面左下角开始,再点击运行,在命令行下分别执行:

msiexec.exe /unregister

msiexec /regserver

然后重启服务“Windows Installer”

3.如果仍然无法启动,请联系本单位计算机维护人员,下载

最新版本的Windows Installer组件,通过重新安装修复。

Symantec官方知识库中有重新安装windows installer向导

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001112111324439

 

  1. 安装SEP客户端的时候,出现进度条回滚或停止响应

问题原因:

原有防病毒客户端或其他防病毒软件没有卸载干净;

系统存在病毒,阻碍安装;

解决方法:

将计算机原先安装的防病毒软件重新安装,重起计算机后再次进行卸载操作,正常卸载完成后重新启动计算机,安装SEP防病毒客户端;

可用360安全卫士检查计算机是否存在木马及恶意软件,如存在,清除后再安装SEP防病毒客户端。

步骤一、在安全模式下使用NoNav2.611.exe删除SAV。

             卸载后重启,再次安装。

步骤二、如过还是无法安装删除C:\Program Files 下有关Symnatec文件;

        删除C:\Program Files\Common Files 下有关Symnatec文件

        删除C:\Documents and Settings\All Users\Application Data 下有关Symnatec文件。

        开始-->运行-->regedit 查找是否有Symantec文件夹 有删除.

 

  1. 安装SEP客户端出现回调或者安装后右下角没有图标出现

解决办法:卸载卡巴斯基、瑞星或其他防火墙,重启动后重新安装SEP客户端

 

  1. SEP安装意外中断,再次安装时无法继续安装

解决方法:

使用SEP专用卸载工具CleanWipe.exe, 在此电脑上运行此工具,如图点击Start按键,再连续弹出的提示窗口点击Yes或OK即可。

卸载工具下载地址:Http://10.79.2.179:8080/

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第34张图片

 

  1. SEP安装时或安装后出现Run Time C ++ Error错误

如图:

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第35张图片

 

问题原因: 此错误一般发生在客户端安装,或者安装完后出现的问题,一般有三种原因导致此问题:

  1. 计算机已感染病毒;
  2. 与系统中其它防病毒软件有冲突;
  3. 部分系统文件受损(最常见为IE文件受损)

 

解决方法:1.使用其他防病毒软件查杀系统中的病毒;

2.检查计算机原先安装的防病毒软件是否正常卸载,可尝试重新安装原先的相同版本防病毒软件后再次将其卸载后再安装SEP防病毒软件。

3.修复安装操作系统,可先尝试重新安装IE。

 

  1. 安装SEP时提示无法加载某个组件或者无法找到***.dll文件

解决方法: 从其它计算机(相同操作系统和补丁版本),查找同名的文件,拷贝到该计算机相同的目录下 。

 

  1. 安装时回滚,并提示Live Update注册失败

解决方法:1. 使用SAV专用卸载工具NoNav2.611.exe, 在此计算机上运行此工具,运行后所有弹出窗口都点击(是或Yes)按键。

如360安全卫士弹出如下窗口请点继续运行程序。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第36张图片

2.检查并删除以下路径中列出的两个文件夹

C:\Program Files\Symantec

C:\Documents and Settings\All Users\Application Data\Symantec\Live Update

3.先安装Live Update(使用LUSETUP.exe),再安装SEP防病毒软件。

LUSETUP.exe

 

  1. 安装SEP后,主动式威胁防护定义显示“正在等待更新”

解决方法:

1.在windows 2003 server操作系统和64位操作系统当中,

主动式威胁防护功能不会工作,软件设计如此。所以对于server操作系统和64位操作系统请使用不包含主动防御模块的导出安装包来安装。

2.安装SEP后,客户端从服务器下载内容更新,主动式威胁防护定义需要重新启动电脑后才能加载。因此只有将该定义下载完成重新启动电脑后,该定义才会显示为最新。

 

  1. 安装完SEP重启计算机发现主动型威胁防护不能正常更新

解决方法:首先卸载SEP,

然后删除C:\Program Files\Symantec

C:\Program Files\Common Files\Symantec Shared

C:\Documents and Settings\All Users\Application Data\Symantec

这三个文件夹

最后再安重新安装SEP

 

  1. 主动威胁防护在安装后显示已禁用并且不会更新定义

问题描述:主动威胁防护 (PTP) 在安装到 32 位工作站操作系统上后显示为已禁用。

解决办法:

   为防止客户端安装后出现这种问题,建议在导出客户端安装包之前,先尝试使用第十二章“如何将最新的病毒定义和入侵防护签名添加到客户端安装包”的方法,将最新防护代码加入安装包中,这将有助于防止客户端安装后出现此类问题。

对于已出现该问题的客户端,存在多种可能的解决方案或解决方法:     

    1. 卸载客户端,从 Symantec Endpoint Protection Manager 导出新的安装软件包,并将新软件包安装到客户端。
    2. 利用下列文章解决客户端和 Symantec Endpoint Protection Manager 之间的所有通信问题:
          1. Symantec Endpoint Protection: Troubleshooting Client/Server ConnectivitySymantec Endpoint Protection:故障排除客户端/服务器连接)

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2008091215040048

          1. Symantec Endpoint Protection Manager 11.x communication troubleshootingSymantec Endpoint Protection Manager 11.x 通信故障排除

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007101711103548

四种解决方法(任选):

(我咨询过symantec,通常在从旧版sav升级到SEP的情况下出现。解决办法基本上有四种。

    四种解决方法中,前两种是利用“添加或删除程序”功能修复或重装SEP;后两种是让客户端使用LiveupdateSymantec Liveupdate服务器更新代码来解决问题。可任意选择使用。)

    1. 仅卸载/重新安装 PTP 功能
        1. 打开 Control Panel(控制面板)
        2. 打开 Add or Remove Programs(添加或删除程序)
        3. 突出显示 Symantec Endpoint Protection 并单击 Change(更改)

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第37张图片

        1. 单击 Next(下一步)
        2. 确保选中 Modify(修改)并单击 Next(下一步)
        3. 单击 Proactive Threat Protection(主动威胁防护)旁边的下拉菜单并选择 This feature will not be available(此功能将不可用)

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第38张图片

        1. 现在,屏幕看起来应该与以下屏幕相似:

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第39张图片

        1. 单击下一步
        2. 单击安装
        3. 重复上述步骤,重新选上Proactive Threat Protection(主动威胁防护)---〉”这个功能将安装在本地驱动器上”, 单击下一步 单击安装
    1. 卸载/重新安装 Symantec Endpoint Protection 客户端
        1. 打开 Control Panel(控制面板)
        2. 打开 Add or Remove Programs(添加或删除程序)
        3. 突出显示 Symantec Endpoint Protection 并单击 Remove(删除)
        4. 如果出现一条提示信息,询问是否希望从计算机中删除 Symantec Endpoint Protection,请单击 Yes(是)
        5. 卸载完成后重新启动计算机
        6. 使用从 Symantec Endpoint Protection Manager 导出的安装软件包在本地安装客户端,或者从 Symantec Endpoint Protection Manager 本身远程分装客户端
    1. 在客户端上手动运行 LUALL 命令
        1. 单击 Start(开始),然后单击 Run(运行)
        2. 键入 LUALL
        3. 单击 OK(确定)
    2. 使客户端通过 Symantec Endpoint Protection Manager 中的 LiveUpdate 策略独立运行 LiveUpdate
        1. 打开 Symantec Endpoint Protection Manager
        2. 单击 Clients(客户端)选项卡
        3. 突出显示所需的客户端组
        4. 在右侧窗格上,单击 Policies(策略)选项卡
        5. 在 Location-specific Policies(位置特定的策略)下,单击与 LiveUpdate 策略相对的 Tasks(任务),然后单击 Edit Policy(编辑策略)

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第40张图片

        1. 在左侧顶部单击 Server Settings(服务器设置)
        2. 选中 Use a LiveUpdate server(使用 LiveUpdate 服务器)

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第41张图片

 

        1. 如果需要,您也可以为这些客户端设置一个运行 LiveUpdate 的调度。 为此,请执行下列操作:
            1. 在左侧顶部,单击 Schedule(调度)
            2. 选中 Enable LiveUpdate Scheduling(启用 LiveUpdate 调度)
            3. 然后指定所需的调度
        2. 单击 OK(确定)

文档号: 20091118134001968
最近更新: 2009-12-03
Date Created: 2009-11-17
操作系统: Windows 2000 Professional, Windows XP Home Edition, Windows XP Professional Edition, Windows XP Tablet PC Edition, Windows Vista
产品: Endpoint Protection 11

 

  1. 安装SEP后,桌面右下角程序图标不显示绿点

解决方法: 1.如果有红色小圆圈 ,打开程序,点击“修复”。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第42张图片

 

2.右击右下角SEP程序图标,点击“更新策略”。

3.检查客户端windows防火墙是否开启,或者是否有其它防火墙程序,如有请尝试关闭。

4.尝试从控制面板“添加或删除程序”中点击“Symantec Endpoint Protection”,然后点“更改”—〉“修复”,有时也可以解决问题。

 

  1. 从SAV升级到SEP.0以后,Microsoft Outlook出现错误

解决方法:进入文件夹"C:\Documents and Settings\\Local Settings\Application Data\Microsoft\outlook" ,删除文件extend.dat。

(这里local user是该电脑的登陆用户名)

 

  1. 系统被挂起.需重启后才能运行.重启后仍有该问题

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第43张图片

解决办法:进入注册表,开始运行输入regedit,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager下的pendingFilerenameOperation,将pendingFilerenameOperation键值删除.

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第44张图片

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce权限不够

解决办法:进入注册表,开始运行输入regedit,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce给RunOnce文件夹添加权限.右击Runonce,点“权限 ”

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第45张图片

点“添加”

点“高级”

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第46张图片

点“立即查找”

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第47张图片

使用管理员的帐户,在帐户权限中将“完全控制”选中

 

  1. 安装SEP客户端时提示请转入控制面板或者安装组件

解决办法:把SEP安装包解压,在解压后的SEP文件夹里双击SETUP.EXE安装,安装成功后,在开始->运行输入SMC –STOP,停止SEP客户端的服务,将SYLINK.XML拷入SEP客户端的安装文件夹下。默认安装文件夹为C:\Program Files\Symantec\Symantec Endpoint Protection,再在开始->运行输入SMC –START启动SEP客户端的服务

 

  1. 无法再windows 7的操作系统上安装SEP

解决办法:

1。SEP.0.5及之后的版本才能正常支持windows 7。

2.在导出SEP客户端时不要勾选形成单个.EXE的文件选项导出一个文件夹形式的安装包。

 

  1. 安装SEP客户端时双击setup.exe没有任何反应,或者出现乱码信息

打开控制面板发现如下图所示SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第48张图片

将英语改成中文中国后可以正常安装。注意,“高级”小标签中的语言也要选中文。

 

  1. SEP客户端与Word软件冲突

 

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第49张图片

当客户端安装SEP后,部分客户端会出现无法打开word文档或者word文档无法保存的情况,

解决方法:

  1. 此问题在SEP 11.0.5版本已经解决,请安装使用新版本。
  2. 将磁盘分区中everyone用户的权限都取消,之后重新添加everyone用户的权限;

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第50张图片

如果看不到安全选项,把文件夹选项的“使用简单文件共享”的钩去掉。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第51张图片

把everyone的所有权限取消并确定

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第52张图片

然后再给everyone指派所有权限

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第53张图片

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第54张图片

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第55张图片

 

  1. 安装SEP时提示” 无效驱动器 x:”

现象:安装SEP时提示无效的驱动器,系统日志是MSIInstaller:1327

原因:可能是安装某些软件后导致修改了系统注册表内默认的用户目录配置

解决方法1:进入任意驱动器,建立文件夹“tmp”,例如我的路径为“d:\tmp”,点击“开始菜单”中的“运行”,输入“subst x: d:\tmp”,其中“x”为提示的盘符,完成后,打开我的电脑,这时会多出一个盘符为“x”的驱动器,现在卸载或者删除就正常了。如果原因是由于虚拟光驱造成的,这时卸载虚拟光驱即可。在重启后,该虚拟盘符便会自动删除。

解决方法2:建议修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders的默认路径后,再重新安装SEP客户端。

 

  1. 客户端安装后显示“安全遵重性扫描失败”

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第56张图片

解决方法:1、运行WindowsXP-Windows2000-Script56-KB917344-x86-chs.exe。

2、如果还失败则在运行里输入角本命令。C:\WINDOWS\system32\cscript.exe //Job:AgentHIScript "C:\Program Files\Symantec\Symantec Endpoint Protection\AVScript.wsf" "13109" "Helper.exe" "Symantec.SSHelper" "C:" "22" "C:\WINDOWS\TEMP\" "0"。

3、如果提示:“CScript 错误: 没有在该机执行 Windows 脚本宿主的权限。”再打开“INTERNET选项”的“安全”选项卡里“自定义级别”,看看“ActiveX空件及服务”禁用的选项。

接着运行 regsvr32 scrrun.dll

再打开注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

查看右边的窗口有个名为 Enabled的DWORD键值,把它删除或者把值该为 1。

 

  1. 安装SEPA后在“客户端”目录树中显示的状态仍然是未安装的图标

解决方法:1。检查客户端SEP状态,显示运行状态正常,且病毒定义等都已更新,策略版本号也与SEPM一致。

           2.在cmd命令行窗口检查,可以ping通SEPM服务器ip,但telnet TCP 2967端口不通。因此断定是IDC分区隔离防火墙策略没有开放相应端口,开放后问题解决。

 

  1. SEP安装不完整,但又无法正常卸载

问题描述:一台sav客户端安装sep后发现只有网络威胁防护模块,其它模块看不到,后台服务都有正常启动。用户使用nonav2.6.11卸载后,没法安装sep,用cleanwipe v5.0卸载,出现错误“windows找不到C:\Program Files\Common Files\Symantec Shared\ccApp.exe,请确认文件是否存在,再试一次”。还是没法安装sep

解决办法:使用360安全卫士的软件卸载功能卸载,然后安装sep,正常安装了。

 

  1. SEP客户端在安装时出现提示:无法终止“SavRom”,请确认您有足够的权限终止服务进程。  

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第57张图片

我们通过卸载工具把SavRom(SavRom)卸载掉,才能安装.好几台机出现这种情况,

先问一下这个错误是否会影响SEP的推送

处理建议:

         SavRomSAV 10.x版的客户端漫游服务进程。按照你所说的情况,好几台机出现这种情况,那麽这很可能是一个较普遍的问题。

建议用户管理员从旧版本的SAV控制台SSC上对两台服务器修改配置,取消客户端的漫游选项。这样应该能解决这个问题。

 

  1. 提示“Windows Installer无法打开此安装包”

现象:安装SEP客户端时提示“Windows Installer无法打开此安装包”

可能是系统的Windows Installer服务异常造成

解决办法:在cmd窗口运行命令msiexec /unregister后,再运行msiexec /regserver即可。如果仍然有问题,建议安装微软最新的Windows Installer 4.5后,再安装SEP客户端即可,或解压缩SEP客户端的setup.exe安装包,运行Symantec AntiVirus.msi安装即可。

 

  1. 提示“内部错误2203 c:\windows\installer\XXX.IPI”

现象:安装SEP客户端时提示“内部错误2203 c:\windows\installer\XXX.IPI”

解决办法:对C:\Documents and Settings\"your user name" \Local Settings\TEMP文件夹,将System帐户赋予完全控制权限后,再重新安装SEP客户端即可。

 

  1. 安装时出现“读取c:\windows\installer\Symantec Antivirus.msi时发生网络错误”的提示

 

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第58张图片

问题分析:

从图中看,sep在安装过程中需要读取c:\windows\installer\Symantec Antivirus.msi这个旧版本的安装包备份文件,以便提取一些卸载文件或信息,但是由于某种原因在这个位置找不到这个文件了,所以出现这个错误。基于这种分析,这种情况只会出现在个别电脑上,不太可能大规模出现。

解决办法:找到原SAV安装源位置。从别的计算机上或者从以前安装sav 10的共享服务器上找到这个相同版本的Symantec Antivirus.msi文件,重新复制到c:\windows\installer\下,然后再安装sep;或者直接用卸载工具卸载sav后再安装sep(卸载过程可能会比较慢)。

如果用户把SAV安装文件删除了,请到原来的SAV服务器上找到备份的安装包文件。

比如珠海这边SAV原安装位置是在共享文件夹\\10.151.49.77\tools\Symantec 诺顿安装包\这个位置,后来因为新建了SEP安装包,所以他们把原SAV安装位置移动到了“\\10.151.49.77\tools\Symantec 诺顿安装包\OLD”,现在只要点浏览,把位置指向现有SAV位置就行了。

  1. 安装SEP时出现“读取c:\windows\installer\Redist\Drivers\symredrv.sys时出错”

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第59张图片

解决方法:

1.检查c:\windows\installer\Redist\Drivers\symredrv.sys文件是否存在,如果存在是否有读写权限。

2. 从别的安装有SAV的计算机上或者从以前安装sav 10的共享服务器上找到这个相同版本的symredrv.sys文件,重新复制到该文件夹下,然后再安装sep;或者直接用卸载工具卸载sav后再安装sep(卸载过程可能会比较慢)。

 

  1. SEP在安装过程中出现“此Windows Installer包有问题。……”的提示

windows installer 包问题

一、故障描述:安装SEP之前是客户是用着McAfee8的杀毒软件,把它卸掉之后重启后安装SEP时出现下面问题

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第60张图片

二、故障原因:

  1. windows installer有问题,可能是损坏了;
  2. 在卸载McAfee8时有残留文件;
  3. 用户在之前卸载SAV时卸载不干净

三、处理过程:

         1、先用msiexec /unregserver 停掉windows installer服务。

         2、下载InstMsiW.exe,用winrar解压开。进入目录。

         3、右击msi.inf ,点击安装,右击mspatcha.inf ,点击安装。

         4、再用msiexec.exe /regserver 启用服务。

         5、用McAfee卸载工具重新卸载

         6、用sav卸载工具卸载

 

四、防御措施和建议:

          1、对于需要手动安装的计算机先确认其本身的杀毒软件,然后把它卸载,然后最好重启计算机

          2、还不能成功安装的,就用SAV卸载工具卸载,这样一般都能成功

          3、如果还是不行,就按照出错的提示修复和安装windows installer 相关的功能组件和程序

 

  1. sep安装程序循环安装且无法停止

现象描述:

SEP客户端在安装过程过半时,异常停止安装,并且360弹出“是否允许”对话框时,用户点击了“否”。此时重启计算机后,依然会继续安装SEP客户端,进入循环、反复安装,但无法安装成功。

 解决办法:

    利用卸载工具,卸载SEP客户端,重启计算机,此时不会出现客户端循环安装的现象,再将SEP客户端安装包解压缩,运行解压缩后的文件“Symantec AntiVirus.MSI”,之后选择“删除”软件,重新启动计算机,可成功安装SEP客户端。

 

  1. 天网防火墙冲突

原因分析:SEP和天网防火墙有冲突,可能导致系统蓝屏

解决方法:建议在安全模式下先卸载天网防火墙软件后,如无法卸载天网防火墙软件,建议删除c:\windows\system32\drivers\sknfw.sys文件,再手工删除c:\program files\skynet目录后,再重新安装SEP客户端。

 

  1. 卸载瑞星防火墙后,出现网络不通现象

原因分析:卸载瑞星防火墙后,如果出现网络不通现象。原因是瑞星防火墙卸载不干净。

解决方法:建议在CMD——ipconfig查看是否能正常显示IP地址,如果不能正常显示,建议在本地连接属性内将“Rising Rfwbase Drivers”卸载即可。

 

  1. 提示磁盘空间不足

现象:安装SEP时提示磁盘空间不足

原因:SEP安装后要占用大约600兆空间,但安装过程中要生成一些临时文件,需要空间1GB以上。

解决办法:建议检查C盘是否还有足够剩余空间,如C盘剩余空间正常,有可能是系统环境变量的TEMP目录指定到其他盘符上导致空间不足,建议在系统属性高级内“环境变量”中,修改TEMP属性后,再重新安装SEP客户端。

 

  1. 无法保存word2007 SP2的文件的情况

现象:

  在保存word时出现“文件许可权错误”,导致word文档损坏。

原因:

  由于在分区时使用第三方软件,NTFS格式分区权限只赋予everyone导致的

解决方法:

  添加除系统盘符的system、administrator等权限

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第61张图片  SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第62张图片

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第63张图片SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第64张图片

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第65张图片

 

  1. 控制面板中找不到原杀毒软件的删除选项

问题原因:当前登录的域用户权限不够。

解决方法:注销,换有管理员权限的帐户登陆后可以删除了。

         有时候在开始菜单中有软件的卸载项,最好用这个来卸载软件。如果这里没有提供卸载项,再去控制面板“添加或删除程序”中找卸载项。

 

  1. 无法登陆FTP服务器下载安装文件

解决方法:1。请用户FTP管理员处理FTP访问权限问题。

2。在问题解决前先用U盘拷贝SEP安装文件安装客户端。

 

  1. 原symantec antivirus软件客户端无法卸载,            

解决方法:下载Symantec提供的专门卸载工具卸载。可以选择使用nonav 2.6.11.exe或者CleanWipe.exe。

注意,Symantec提供的专门卸载工具只适用于其企业版防毒软件。Norton单机版的软件不适用。Norton单机版防毒软件的快捷方式名称类似为“Norton 2006”。“Symantec antivirus”是企业版。

 

  1. 系统windows installer损坏,无法卸载或安装程序 

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第66张图片

解决方法:检查系统“服务”项“windows installer”的状态,原配置为“手动”,状态是未启动的,尝试启动该服务时会出错,无法启动。解决办法是重新安装或注册msi(windows installer)。

打开CMD命令行窗口,依次输入命令:

msiexec /unregserver

msiexec /regserver

重启动电脑即可。

 

如果还不行,以下提供更详细的一类解决办法。

windows installer服务解决方案

很多朋友在安装MSI格式的文件包时,经常会遇到windows installer出错的情况,有如下几种现象:

1、所有使用windows installer服务安装的MSI格式程序均不能正常安装,并且系统提示“不能访问windows installer

服务,可能你在安全模式下运行 windows ,或者windows installer 没有正确的安装,请和你的支持人员联系以获得帮助”。

2、察看“windows installer服务”的状态,一般为停用,当你试图启用此服务,会发现此服务已被系统禁用,或则windows

installer服务已被标记为删除。

3、如果你重新安装windows installer服务,系统提示“指定的服务已存在”。

当出现了以上现象,是非常令人头疼的,而且问题难以解决,后来经自己研究发现一些非常好的解决方法。

笔者以Windows2000和Windows XP系统为例,根据它们出现的不同问题分别介绍一下解决过程:

一、Windows2000解决过程:

在Windows2000系统中3种现象都是经常出现的。

第一步:点击”开始-->运行“,输入”CMD“命令,在弹出的”CMD命令提示符“窗口中输入”

msiexec /unregserver“命令,这样就停掉windows installer服务。

第二步:下载windows

installer服务安装程序包,Windows2000/NT系统的安装程序包为”InstMsiW.exe“,Windows98/ME安装程序包为"InstMsiA.exe",Windows

XP系统则集成了最新版本的Windows Installer v2.0

下载”InstMsiW.exe“安装程序包后,将其用winrar解压开,然后进入到此目录中。

第三步:右键单击”msi.inf“文件,点击”安装“选项,接着右键单击” mspatcha.inf “文件,点击”安装“。

第四步:在CMD命令提示符下输入”msiexec /regserver“命令,这样就启动了windows

installer服务,重新启动Windows2000系统后,问题就得到解决。

注意:在安装两个inf文件的过程中,不要重新启动系统,全部操作完成后才能重启,另外,如果系统安装了”瑞星病毒防火墙”和“瑞星网络防火墙”,建议在操作过程中关闭瑞星防火墙。

 

二、Windows XP解决过程:

Windows XP集成了最新版本的Windows Installer v2.0,但在Windows XP里安装MSI程序也会经常出现”找不到windows

installer服务”“的错误。

第一步:使用记事本编写installer.reg文件,内容如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer]

"ImagePath"=-

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,\

00,73,00,69,00,65,00,78,00,65,00,63,00,2e,00,65,00,78,00,65,00,20,00,2f,00,\

56,00,00,00

然后将文件保存为”.reg“格式,双击该文件,将文件内容导入注册表。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第67张图片

第二步:重新启动电脑进入安全模式(启动时按F8键),然后点击”开始-->运行“,输入”CMD“命令,在弹出的”CMD命令提示符“窗口中输入”

msiexec /regserver“,最后重新启动系统即可。

 

  1. 类似大蜘蛛杀毒软件无法卸载

       解决方法:关闭其启动项。运行——msconfig,从启动项中屏蔽掉该软件的启动加载项。最好能从互联网上找到卸载工具来卸载。

 

 

 

十二 如何将最新的病毒定义和入侵防护签名添加到客户端安装包

除非使用的 Symantec Endpoint Protection Manager 是版本SEP 11.0.5或更高版本,否则不建议使用这些步骤。

Symantec Endpoint Protection Manager (SEPM) 导出客户端安装软件包,然后修改此软件包附带的定义和入侵防护签名。

收集当前病毒定义和入侵防护签名

1. 导航到 Endpoint Manager content 文件夹中的当前病毒定义。 默认路径是:

C:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content\{C60DC234-65F9-4674-94AE-62158EFCA433}

2. {C60DC234-65F9-4674-94AE-62158EFCA433} 文件夹中有多个编号的文件夹。 打开其中最新的文件夹。
要确定文件夹的保留时间,请单击 View(查看),然后单击 Details(详细信息) 最新的文件夹具有最近的 Date Modified(修改日期)值。

3. 复制标有 full.zip 的文件并将其粘贴到桌面上。
在桌面上,将复制的文件从 full.zip 重命名为 vdefhub.zip

4. 导航到 Endpoint Manager content 文件夹中的当前入侵防护签名。 默认路径是:
C:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content\{D3769926-05B7-4ad1-9DCF-23051EEE78E3}

5. {D3769926-05B7-4ad1-9DCF-23051EEE78E3} 文件夹中有多个编号的文件夹。 打开其中最新的文件夹。
要确定文件夹的保留时间,请单击 View(查看),然后单击 Details(详细信息) 最新的文件夹具有最近的 Date Modified(修改日期)值。

6. 复制标有 full.zip 的文件并将其粘贴到桌面上。
在桌面上,将复制的文件从 full.zip 重命名为 IPSDef.zip

64 位客户端的注意事项要将内容部署到 64 位客户端,请使用下列文件夹中的 full.zip 文件:

针对 64 位客户端的 IPS 签名:
{42B17E5E-4E9D-4157-88CB-966FB4985928}

针对 64 位客户端的病毒定义:
{1CD85198-26C6-4bac-8C72-5D34B025DE35}

导出客户端安装软件包

导出不是单一可执行文件的客户端安装软件包。

找到导出的软件包。使用前面创建的文件替换导出的软件包文件夹中的 vdefhub.zip IPSDef.zip 文件。

使用此软件包部署的客户端将使用修改的病毒定义和入侵防护签名进行安装。

创建自解压可执行软件包

使前面创建的最新软件包成为单一可执行文件。

  1. 导航到在上述步骤中创建的具有最新定义的导出的软件包。
  2. 使用 zip 存档格式存档导出的软件包的内容。
  3. 对于具有集成的 zip 实用程序的操作系统 (Windows XP/2003/Vista/2008)
  1. 单击 Edit(编辑),然后单击 Select All(全选)
  2. 单击 File(文件)> Sent To(发送到)> Compressed (zipped) Folder(压缩(zipped)文件夹)
  3. 将存档命名为 input.zip
  4. input.zip 文件移动到 C:\
  5. 打开命令提示符并导航到以下目录:
    对于 Windows 32 位操作系统,键入:cd C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\bin\
    对于 Windows 64 位操作系统,键入:cd C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\bin\
  6. 输入以下命令:
    makesfx.exe /zip="c:\input.zip" /sfx="output.exe" /title="Symantec Endpoint Protection" /defaultpath="$temp$\sepinst" /autoextract /delete /exec="setup.exe"
  7. 该命令运行完毕后,output.exe 将出现在步骤 6 中的路径上,并在执行后运行安装程序。 (有关 MakeSFX.exe 的命令行开关的详细信息,请在命令提示符下键入 makesfx.exe /? )。

文档号: 20091118150217968
最近更新: 2009-12-03
Date Created: 2009-11-17

操作系统: Windows 2000 Professional, Windows 2000 Server/Advanced Server, Windows XP Professional Edition, Windows Server 2003 Web/Standard/Enterprise/Datacenter Edition, Windows Vista, Windows XP Professional x64 Edition, Windows Server 2003 x64 Edition, Windows Vista x64 Edition
产品: Endpoint Protection 11

 

十三 脚本示例

  1. 一个提升用户安装权限的SEP安装脚本

注:下面脚本中,\\10.150.228.2\install\WEBinstall\sepinstall\sep32 是某客户SEP32位客户端安装包共享存放位置,setup_32bit.exe是压缩后的安装包文件名。

    CPAU.exe是用来提升用户安装权限的工具软件,请和客户端安装包存放于同一共享位置username是具有加入域的客户端本地管理员权限的帐号,password是其密码。

为了避免用户看到此帐号密码,我用bat2exe的工具软件QuickBFC将此脚本编译成一个exe脚本文件,让管理员把这个exe脚本文件发布给所有使用者,执行一下即可安装SEP客户端了。

 

 @ECHO On

rem 安装SEP要求客户端计算机包含且可运行 Windows Installer 3.1 或以上版本。

rem 运行Windows XP Service Pack 2 及以上版本、Windows Server 2003 Service

rem Pack 1 及以上版本和 Windows Vista 的计算机均满足此项要求。如果客户端

rem 计算机不满足此项要求,在安装 Symantec 客户端软件之前,您必须在没有

rem 运行 Windows Installer 3.1 的计算机上运行此文件。您可以使用计算机启动

rem 脚本安装 Symantec 客户端软件来运行此文件。如果使用 GPO 作为安装方法,

rem 必须先决定如何更新未运行Windows Installer 3.1 的客户端计算机。

 

@ ECHO Off

rem 判断是否已装SEP,如果装过就删除上次安装时拷贝的临时文件,并退出;没装过就进行安装。

if exist "%ProgramFiles%\Symantec\Symantec Endpoint Protection\SmcGui.exe"  goto DELtemp

if exist "%ProgramFiles%\Symantec Antivirus\SmcGui.exe"  goto DELtemp

if exist "%ProgramFiles%\Symantec_Client_Security\SmcGui.exe"  goto DELtemp

goto SETUP

 

: DELtemp

ECHO On

rem 系统已安装了sep,这一步删除上次拷贝的安装包文件,并退出脚本

Del  /Q  %temp%\sepinst\*.*

rd %temp%\sepinst

  rem pause

goto EXIT

 

:SETUP

ECHO On

rem 系统还没有安装sep,下面开始安装sep

rem 将旧版隔离区移到别处,避免安装SEP时要求确认是否保留隔离区。

Move /Y "C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine"  "C:\Documents and Settings\All Users\Application Data\SavQuarantine"

 ECHO Off

rem s:临时映射到存放sep 32位全功能安装包的共享文件夹中,然后拷贝文件到本地%temp%\sepinst下,并执行安装。

ECHO On

net use s: \\10.150.1.1\install\WEBinstall\sepinstall\sep32 /PERSISTENT:NO

s:

MD %temp%\sepinst

copy /Y s:\*.* %temp%\sepinst\*.*

c:

cd %temp%\sepinst

 ECHO Off

Rem 下面使用CPAU提升安装权限来执行sep安装包

 CPAU -u username -p password -ex "setup_32bit.exe" -lwp

  rem pause

 :EXIT

 

 注意

1.CPAU一行中的用户名如果是域用户帐号,则请在用户名前加上域名(如,domain\username),并删除最后的参数“-lwp”

2.net use一行命令中的路径如果中间有空格或使用长文件名,请给全路径使用双引号引起来。

 

  1. 修改XP客户端安全配置的脚本
  1. 本脚本将关闭XP的windows 自带防火墙服务,打开默认共享和经典访问模式,启动server服务,打开ipc$;启动RemoteRegistry服务,建立默认共享c$、admin$、IPC$。

将下面的内容保存为“ 开启.cmd”:

 

@echo off

rem 关闭XP防火墙

@echo on

net stop SharedAccess

 

@echo off

rem 在组策略计算机配置/Windows 设置/脚本,双击启动,单击添加,将如上.cmd文件与.reg文件复制进去,选择.cmd文件为起动脚本即可

 

rem 执行“开启.reg”,打开默认共享和经典访问模式

@echo on

regedit.exe /s  开启.reg

 

@echo off

rem 启动server服务,打开ipc$;启动RemoteRegistry服务

@echo on

net start lanmanserver

net start RemoteRegistry

 

@echo off

rem 建立默认共享

@echo on

net share ipc$

net share admin$

net share c$=c:

 

rem pause

 

exit

 

将下面的内容保存为“开启.reg”:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareWks"=dword:00000001

"AutoShareServer"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"forceguest"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"lmcompatibilitylevel"=dword:00000003

 

使用方法:

可以配置组策略:用户配置--》windows设置--》脚本--》登录,添加--》浏览--》把几个文件都黏贴进去,选择“开启.cmd” --》确定

 

或者将两个文件拷贝到本地硬盘,直接运行“开启.cmd”。

 

  1. 本脚本将关闭XP的windows 自带防火墙服务,打开默认共享和经典访问模式,启动server服务,打开ipc$;启动RemoteRegistry服务,建立默认共享c$、admin$、IPC$。

将下面的内容保存为“ 关闭.cmd”:

@echo off

rem 开启XP防火墙(使用时请删除下一行开头的rem

 rem net start SharedAccess

 

rem 在组策略计算机配置/Windows 设置/脚本,双击启动,单击添加,

rem 将如上.cmd文件与.reg文件复制进去,选择.cmd文件为起动脚本即可

 

rem 执行“关闭.reg”,关闭默认共享和经典访问模式

@echo on

 regedit.exe /s  关闭.reg

@echo off

rem 停止server服务以关闭ipc$(使用时请删除下一行开头的rem

rem net start lanmanserver

 

rem 删除已启用的默认共享(如要停止ipc$请删除下一行开头的rem

 rem net share ipc$ /DELETE

@echo on

 net share admin$ /DELETE

 net share c$ /DELETE

 net share d$ /DELETE

 net share e$ /DELETE

 net share f$ /DELETE

@echo off

rem pause

 

exit

 

将下面的内容保存为“关闭.reg”:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareWks"=dword:00000000

"AutoShareServer"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"forceguest"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"lmcompatibilitylevel"=dword:00000000

 

使用方法:

可以配置组策略:用户配置--》windows设置--》脚本--》登录,添加--》浏览--》把几个文件都黏贴进去,选择“关闭.cmd” --》确定

 

或者将两个文件拷贝到本地硬盘,直接运行“关闭.cmd”。

 

 

十四 附录

  1. 关于磁盘空间不足的处理

     解决方法:释放空间后安装。这里提供几种效果比较明显有效的清理磁盘空间的方法。

方法 1:清空 SoftwareDistribution 文件夹

  1. 在客户端计算机上打开控制面板管理工具服务,依次停止“Windows 更新服务(Automatic Updates) 和“后台智能传输服务(Background Intelligent Transfer Service)”。
  2. 重命名 SoftwareDistribution 文件夹为SoftwareDistribution.old
  3. 依次重新启动“后台智能传输服务(Background Intelligent Transfer Service)”和 Windows 更新服务(Automatic Updates)”。

注意 启动 Windows 更新服务后,将自动创建新的 SoftwareDistribution 文件夹。

方法 2:清理系统临时文件夹

清理系统临时文件夹(C:\WINDOWS\Temp)和用户临时文件夹(%temp% 或者C:\Documents and Settings\用户名\Local Settings\Temp);

清理时要注意,一些明显的临时文件可以删除,但是当天生成的临时文件最好不要删,因为可能系统正在使用它(往往也会提示是无法删除的),明显的.Log日志文件不要删除;文件夹“Cookies”、“History”、一般情况下也不要删除,可能还有用。

 

方法 3:清理IE缓存。

各个不同类型的浏览器都有各个不同的文件夹作为缓存使用,在系统的缺省状态下,IE的浏览器缓存文件夹为C:\Documents and Settings\[当前用户名]\Local Settings\Temporary Internet Files\Content.IE5\,还有 C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\。IE4.0以上版本的浏览器带有自动清除磁盘缓存的功能,如果用户想在这里节省硬盘的空间,也可以按“删除文件”按钮,来释放出更多的缓存空间,这种删除缓存内容的方式比较彻底。

打开IE8.0操作窗口,在窗口中用鼠标单击“工具”菜单中的“Internet选项”,在选项对话框中,单击“常规”标签 “浏览历史记录”下的“设置”栏(旧版IE是“Internet临时文件”),选上“退出时删除浏览记录”,单击“删除”按钮,选择“保留收藏夹网站数据”和“删除Internet临时文件”,然后点“删除”,“确定”返回上一页面;

IE的缓存也不需要设太大。点“设置”,在“要使用的磁盘空间”右边选择小一点儿的数值,如,8~50兆足够了。单击该栏中的“设置”按钮,程序将会打开一个标题为“设置”的对话框。

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第68张图片  SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第69张图片

 

方法 4:修改“虚拟内存”位置和设定

调整“我的电脑”—〉“系统”属性—〉“高级”,点击“性能”右边的“设置”,将虚拟内存从C:\ 改到其它分区中(如,D:\)。根据微软公司的建议,虚拟内存设为物理内存容量的1.5--3倍,例如512MB的内存,虚拟内存设定为768--1536MB;

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第70张图片SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第71张图片

 

方法 5删除内存转储的文件和修改启动和故障恢复选项

发生系统故障,和它们可用于确定一个失败的原因时创建内存转储文件。 如果不再需要这些文件可以安全地删除。删除的内存转储文件,请按照下列步骤操作:

  1. 删除 %AllUsersProfile%\Application Data\Microsoft\Dr Watson 文件夹中的文件。 这些日志和应用程序停止工作时创建内存转储文件。
  2. 删除 %Windir%\minidump 文件夹中的文件。 Windows 停止响应或崩溃时创建这些小型转储文件。
  3. 删除 %SystemRoot%\MEMORY.dmp 的文件。 这是 Windows 停止响应或崩溃时创建完全内存转储文件。

您可能还想防止系统在将来创建完全内存转储文件。 完全内存转储文件记录系统内存的内容时计算机停止响应或崩溃。 这些完全内存转储文件可能非常大。 若要节省的空间可以修改您的启动和故障恢复选项来创建只有一个小内存转储文件。

若要配置系统故障发生时创建小内存转储文件,而不是完整的转储文件,请按照下列步骤操作:

  1. 右键单击 我的电脑,然后单击 属性
  2. 单击 高级 选项卡,然后单击 启动和故障恢复 下的 设置
  3. 写入调试信息,下选择您希望 Windows在内存转储文件中记录的信息的种类。 若要在解决该问题记录信息时使用最小卷,选择 小内存转储 选项。 此选项要求在计算机的启动卷上至少 2 MB的页面文件,它指定每次系统停止响应或崩溃,Windows 将创建一个新的文件。
  4. 单击 确定

SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第72张图片SEP客户端部署方式及故障处理手册____借鉴文档的思路方法_第73张图片

 

方法 5:回收站

清空回收站中的已删除文件,并修改回收站的属性设定,减少回收站使用的保留空间。现在的硬盘容量都很大,一般设1%2%就已经不少了。

方法 6:系统还原

调整“我的电脑”—〉“系统”属性—〉系统还原,取消“系统还原”,可以节省不少空间。

方法 7:禁用休眠,删除休眠文件

从控制面板—〉“电源选项”里点“休眠”标签,取消“启用休眠”前面的钩。

删除C:\ hiberfil.sys文件。

方法 7:删除Windows更新卸载文件

警告如果删除了为每个更新文件夹对应的 Windows 更新不能被卸载。 请考虑这将删除 Windows 更新文件之前在计算机拥有该效果。

若要删除更新的 Windows 文件,请按照下列步骤操作:

  1. 仅删除那些一个月之前为Windows 更新备份创建的%Windir%/$NtUninstall KB 数字 $ 文件夹,不要删除那些过去 30 天内创建的。
  2. 若要删除下载缓存的 Windows 更新,删除 %Windir%\SoftwareDistribution\download 文件夹中创建 10 天前的所有文件夹。
  3. 删除下面的日志文件,在 %windir%文件夹中:
    • kb*.log
    • setup*.log
    • setup*.old
    • setuplog.txt
    • winnt32.log
    • set*.tmp

方法9:删除 Windows XP service pack卸载文件

警告 如果删除了为每个 Windows XP service pack 备份文件夹将无法卸载 Windows XP service pack。

如果您删除安装文件的文件夹和 Windows XP service pack 缓存,您将无法还原损坏的 Windows XP 服务包文件,或安装其他默认情况下不安装的 Windows XP 功能。

若要删除 Windows XP 服务包文件,请按照下列步骤操作:

  1. 删除要删除的 Windows XP service pack 备份文件夹 %Windir%\$NtServicePackUninstall$ 文件夹。
  2. 删除删除安装文件 %Windir%\ServicePackFiles 文件夹和 Windows XP 的服务包的缓存文件夹。

 

 

你可能感兴趣的:(SEP客户端部署方式及故障处理手册____借鉴文档的思路方法)