一般问题
Symantec AntiVirus 10.x 中是否包含 Symantec Endpoint Protection 所不具备的特性或功能?
Symantec Endpoint Protection 中不包含 SAVRoam,因为其所关注的问题(即 Symantec AntiVirus 服务器的可伸缩性和站点间带宽)已经在 Symantec Endpoint Protection 中得到了解决。此外,诸如故障转移、负载均衡、Group Update Provider 和自动定位之类的新功能也可解决原来 SAVRoam 所需关注的部分问题。
在 Symantec Endpoint Protection 中,病毒定义传输方法已经替换为不同的通信模式。此更改将影响防火墙管理员(需要了解新的通信端口和协议)和使用由“病毒定义传输方法”技术(例如,使用隔离区服务器提供更新)构建的工具集的管理员。
是否支持将 VMWare 用作 Symantec Endpoint Protection 的平台?
支持但尚不完善。VMWare 是 Symantec Endpoint Protection 支持的平台,但它不能提供最佳体验。Symantec Endpoint Protection 团队将继续致力于对 VMWare 的支持,以便在今后的版本中提供更佳的集成工具包。
是否将对 LiveUpdate Administrator 进行更新?
是的。与 Symantec Endpoint Protection 同期发布了 LU Admin 的新版本。
Symantec Endpoint Protection 是否支持具有多个网卡 (NIC) 的计算机?
是的。您的 Symantec Endpoint Protection Manager 和客户端上可以有多个 NIC。
将来我是否可以使用 Symantec Endpoint Protection Manager 来管理其他赛门铁克产品?
是的。最终目标是要让 Symantec Endpoint Manager 管理所有赛门铁克端点技术/产品,其中包括:Data Leakage Protection、Critical System Protection、Symantec AntiVirus for Linux 和 Symantec AntiVirus for Macs。请参阅 Symantec Endpoint Security Web 门户,获取发展蓝图的最新信息。
是否有用于 Symantec Endpoint Protection 的 SSIM 收集器?
是的。SSIM 收集器将与 Symantec Endpoint Protection 同期发布。
是否将以前在 Symantec AntiVirus/SCS 中使用的二级管理服务器替换为 Group Update Provider?
这取决于二级管理服务器在网络中的具体使用方式。由于 Symantec AntiVirus 二级管理服务器可以管理上千个客户端,所以单个 Group Update Provider 管理如此庞大数量的客户端是不现实的(Group Update Provider 的推荐管理客户端数量是 100 个)。实际上,可以将二级管理服务器替换为 Group Update Provider、Symantec Endpoint Protection Manager、Symantec Endpoint Protection Manager and Database(站点),或将它整合到现有站点。
我是否可以配置在 Symantec Endpoint Protection Server 上复制客户端日志文件的具体位置?
是的。与旧版本的 Symantec AntiVirus 不同,现在可以配置在 Symantec Endpoint Protection Manager 上复制客户端日志的具体位置。
防护功能
一般漏洞利用禁止功能是仅扫描 Microsoft 漏洞,还是同时查找其他软件漏洞?
一般漏洞利用禁止功能主要防御 Microsoft 漏洞,但也扫描其他漏洞特征。
一般漏洞利用禁止功能是否需要特征更新?
是的。赛门铁克安全响应中心会在需要时为新漏洞创建特征。
Symantec Endpoint Protection 是否提供缓冲区溢出防护?
是的。Symantec Endpoint Protection 通过它的网络入侵防御系统提供缓冲区溢出防护。
主动威胁防护分析的正确行为与不良行为有哪些示例?
主动威胁防护将已签名的应用程序视为正确行为。不良行为的示例包括一些开放端口、端口监听和未签名的应用程序。
主动威胁防护扫描计算机的频率是多久?
默认情况下,主动威胁防护每隔 15 分钟扫描一次,每当加载新进程时也进行扫描。默认情况下对特洛伊木马进行补救,而对于击键记录程序,则只是记录。
是否将用主动威胁扫描替换篡改防护?它们是否有某些防护功能重复?
主动威胁扫描不会替换篡改防护。相反,这两种防护功能互为补充。篡改防护旨在保护赛门铁克进程免受攻击。主动威胁扫描技术可以保护计算机免遭未知漏洞和零日攻击侵扰。
Symantec Endpoint Protection 如何改进扫描控制?
以前,Symantec AntiVirus 设置扫描进程的优先级,以便使扫描进程不干扰使用系统资源的其他进程。该方法经验证效率低下,因为扫描进程的优先级不一定会降低性能,性能降低主要取决于有多少进程占用 CPU 或 I/O 活动。现在,Symantec Endpoint Protection 监视占用 CPU 时间、I/O 活动及内存的新进程和现有进程。当 Symantec Endpoint Protection 扫描程序发现此类事件时,它将短暂休眠,然后检查系统资源是否得到释放。最终用户的总体体验是扫描程序不会干扰他们的应用程序,同时扫描可以及时完成。
创建集中式排除时,我是否可以使用通配符和系统变量?
是的。现在可以使用通配符和系统变量来进行集中式排除。
Symantec Endpoint Protection 客户端是否包含 Rootkit 检测和删除功能?
是的。Symantec Endpoint Protection 客户端可以防御 Rootkit。
安装
我是否可以将 Symantec Endpoint Protection 客户端安装作为不受管理的客户端?
是的。默认情况下,CD 上的 Symantec Endpoint Protection 客户端安装程序将客户端安装作为不受管理的客户端。
我是否可以创建一个同时包含 Symantec Endpoint Protection 客户端和 Symantec Network Access Control 客户端的安装软件包?
是的。虽然 Symantec Endpoint Protection 客户端和 Symantec Network Access Control 客户端是不同的产品,但是您可以创建一个可以同时安装这两个产品的安装软件包,并且可以通过一个 Symantec Endpoint Protection Manager 对这两种产品进行管理。
我是否可以通过 Symantec Endpoint Protection Manager 控制台卸载客户端?
不可以。您不能从 Symantec Endpoint Protection Manager 控制台远程卸载 Symantec Endpoint Protection 客户端。您可以使用第三方解决方案(例如 Altiris 或 SMS)来远程卸载客户端。
迁移
在开始将 Symantec AntiVirus 环境迁移至 Symantec Endpoint Protection 之前需要提前考虑哪些因素?
在开始进行迁移之前需要考虑以下几个因素:
在开始进行迁移之前创建这样的环境具有很多好处,您可以精确测试客户端和服务器的分组方式、迁移的设置以及
整体迁移成功率。
- 您是否可以执行向 Symantec Endpoint Protection 的全面迁移?
如果您的网络包含 Symantec Endpoint Protection 不支持的操作系统(例如 Netware),那么您必须维护一部分由
Symantec System Center 管理的客户端/服务器。
- 您是要创建新的客户端分组,还是使用 Symantec System Center 现有的分组?
- 您如何规划将 Symantec Endpoint Protection 迁移到客户端,是使用第三方工具还是使用迁移和部署向导?
一旦确定了迁移客户端所使用的方法,您就可以确定某些 Symantec Endpoint Protection 功能是否有用。
- 为了确保成功迁移,是否必须禁用或重新配置某些客户端设置?
在开始进行迁移之前必须禁用几项客户端设置,如定期扫描。
在开始进行迁移之前,请您务必先阅读 Symantec Endpoint Protection 和 Symantec Network Access Control 安装指南中关于迁移的章节。
将 Symantec AntiVirus 迁移到 Symantec Endpoint Protection 一般需要执行哪些步骤?
您必须按照列出的顺序完成以下步骤才能将 Symantec AntiVirus 迁移到 Symantec Endpoint Protection:
- 如果您已安装 Reporting Sever,请先将其卸载。
- 使用 Symantec System Center 配置准备进行迁移的管理服务器和客户端的设置。设置更改包括:禁用定期扫描、 修改隔离清除选项、删除历史记录、禁用 LiveUpdate、禁用漫游、取消锁定服务器组以及禁用篡改防护。安装 Symantec
- Endpoint Protection Manager。
- 迁移早期客户端和服务器。
- 卸载 Symantec System Center
- 迁移用于保护运行 Symantec System Center 的计算机的早期客户端或服务器。
这是个常规程序。如果您计划通过 Symantec System Center 和 Symantec Endpoint Protection Manager 来管理端点,那么步骤将有所不同。相关详细信息,请您务必参考 Symantec Endpoint Protection 和 Symantec Network Access Control 安装指南中有关迁移的章节。
我是否应该将 Symantec Endpoint Protection Manager 控制台安装在 Symantec System Center 所在的计算机上?
您可以将 Symantec Endpoint Protection Manager 控制台安装在 Symantec System Center 所在的计算机上,但这不是强制要求。如果您计划管理大量早期赛门铁克客户端,最好不要将 Symantec Endpoint Protection Manager 控制台安装在运行 Symantec System Center 的计算机上,以避免出现性能和通信问题。
迁移到 Symantec Endpoint Protection Manager 后,是否需要创建新的基础架构?
不需要。您可以重复利用为 Symantec System Center 创建的基础架构。在迁移过程中,将会询问您客户端如何继承设置:是从服务器组继承还是从父级管理服务器继承。根据您选择的选项,早期客户端和服务器将基于以前的 Symantec System Center 基础架构,出现在 Symantec Endpoint Protection Manager 控制台中。
是否需要迁移所有客户端设置?
不需要。不用迁移篡改防护。篡改防护设置包含在客户端常规设置中,而不是包含在防病毒和反间谍软件策略中。此外,您必须重新配置为进行迁移而禁用的设置,如定期扫描、LiveUpdate 和隔离清除。
以前,迁移到新版本的 Symantec AntiVirus 需要进行完整产品安装,这将为带宽有限的 WAN 链接带来压力。
迁移过程是否已进行某些改变以便减少带宽问题?
借助 Symantec Endpoint Protection,您可以创建仅包含目标客户端必需组件的安装软件包。此外,您可以交错进行客户端部署,以最大限度减少网络中的性能问题。
我是否需要在迁移之后重新启动 Symantec Endpoint Protection 客户端?
不需要重新启动,但迁移之后未重新启动的计算机只受到防病毒/反间谍软件功能的保护。您必须执行重新启动才能使用防火墙功能保护您的计算机。
我可以将 Symantec AntiVirus/SCS 的哪些版本迁移到 Symantec Endpoint Protection?
您可以将 Symantec AntiVirus 9.x 和 SCS 2.x 或更新版本迁移到 Symantec Endpoint Protection。其中包括 Symantec AntiVirus 10.2 for Windows Vista。
我是否可以迁移 Symantec AntiVirus 8.x 和 SCS 1.x 或更旧的版本?
不可以。客户端安装例程将阻止迁移这些不受支持的版本。您必须先卸载旧版本,然后再安装 Symantec Endpoint Protection。在此之前,您应该确保 Symantec Endpoint Protection 支持您所使用的操作系统平台。如果 Symantec Endpoint Protection 不支持您所使用的操作系统平台,那您可能需要继续使用 Symantec System Center 管理这些客户端,或者考虑将客户端的操作系统升级到 Symantec Endpoint Protection 支持的平台。
如果迁移失败会发生什么情况?
如果迁移失败,您可以分析安装日志以确定失败的原因。Windows 安装程序、迁移和部署向导将创建用于验证安装是否成功的日志文件。该日志文件列出成功安装的组件,并提供各种与安装软件包有关的详细信息。如果安装不成功,那么会有一个条目指出安装已失败。通常,查找 Value 3 即可发现问题所在。使用迁移和部署向导时创建的日志文件 (vpremote.log) 位于 \\Windows\temp 目录中。
是否迁移排除设置?
是的。在迁移过程中,当您选择从服务器组或父级管理服务器继承设置时,这些排除设置将迁移到 Symantec Endpoint Protection Manager 控制台的集中式排除中。如果通过在本地客户端上运行安装程序单独迁移客户端,那么不会迁移客户端排除设置。
是否会向我提供显示迁移过程的报告?
是的。您可以从“报告”页面运行报告。选择“计算机状态”作为“报告类型”,并选择“客户端迁移”作为要运行的报告。提供以下信息:
- 按组进行客户端迁移
- 保留在同一组中的迁移客户端
- 等待迁移的客户端
迁移我的环境需要花费多长时间?
对于此问题没有确切的答案。我们建议您创建一个测试环境,以便您了解和熟悉迁移工作原理,例如,在迁移之前要配置哪些设置、如何迁移策略,以及这些设置位于 Symantec Endpoint Protection Manager 控制台的哪个位置。您熟悉了 Symantec Endpoint Protection Manager 并了解 Symantec AntiVirus 策略在新环境中的转换方式之后,应该按阶段执行迁移,以确保您的网络始终受到保护。
是否有可以遵循的迁移最佳实践?
以下是将 Symantec AntiVirus 迁移到 Symantec Endpoint Protection 的最佳实践
- 执行站点调查以确定哪些客户端将迁移到 Symantec Endpoint Protection,以及哪些客户端应该持续运行 Symantec AntiVirus。
- 在生产环境中运行迁移之前,创建一个可以对迁移过程和结果进行测试的迁移测试环境。
- 如果您要管理大量早期 Symantec AntiVirus 客户端/服务器,那么可以在不同的计算机上安装 Symantec Endpoint Protection Manager,而不是在运行 Symantec System Center 的计算机上安装。
有关迁移最佳实践的详细信息,您应该参考 Symantec Endpoint Protection 和 Symantec Network Access Control 安装指南。
从 Symantec AntiVirus 迁移到 Symantec Endpoint Protection 的成功率是多少?
在执行迁移前的分析和任务时考虑得越周全,迁移成功率就越高。例如,如果您确保在客户端上禁用定期扫描,那么这些客户端的迁移成功率就更高。此外,在迁移到生产环境之前创建迁移测试环境能够提高客户端的迁移成功率。
如果在同一计算机上安装了 Sygate 和 Symantec AntiVirus 的支持版本,那么迁移到 Symantec Endpoint Protection 时是否需要升级这两个产品?
是的。只要 Sygate 和 Symantec AntiVirus 版本都能够进行迁移。
Symantec Endpoint Protection 客户端
什么是设备控制?
设备控制是一种新功能,可以阻止对 Symantec Endpoint Protection 客户端上的相应设备进行访问,如 USB 和蓝牙设备。
Symantec Endpoint Protection 客户端是否支持 Exchange 2007?
Symantec Endpoint Protection 客户端支持在 Exchange 上进行电子邮件扫描。Symantec Mail Security for Exchange 将支持 Exchange 2007。
服务器是否能够作为防火墙客户端来运行?
是的。对于安装在服务器操作系统上的 Symantec Endpoint Protection 客户端,您可以配置防火墙策略,以确保服务器计算机正常运行。
Symantec Endpoint Protection 是否可以拒绝访问不属于域的访客笔记本电脑或计算机?
是的。您可以使用 Symantec Network Access Control 根据几个可配置的计算机属性来拒绝访问。NAC 需要额外的许可证。
我是否可以通过 Symantec Endpoint Protection 保护我的 Linux 计算机?
不可以,但是您可以使用 Symantec AntiVirus for Linux 来保护您的 Linux 计算机。
Symantec Endpoint Protection 客户端与 Symantec Gateway Security 硬件设备是否兼容?
是的。Symantec Endpoint Protection 客户端可以与 SGS 硬件设备全面兼容。
一般漏洞利用禁止功能是仅扫描 Microsoft 漏洞,还是同时查找其他软件漏洞?
一般漏洞利用禁止功能主要防御 Microsoft 漏洞,但也扫描其他漏洞特征。
一般漏洞利用禁止功能是否需要特征更新?
是的。赛门铁克安全响应中心会在需要时为新漏洞创建特征。
客户端使用哪些端口与 Symantec Endpoint Protection Manager 进行通信?
客户端使用 TCP 默认临时端口(1024 到 65535)进行网络通信。但是,所使用的临时端口范围很少超过 5000。
Symantec Endpoint Protection 客户端是否依据 grc.dat 文件来配置设置?
不是。grc.dat 文件已经被 Sylink.xml 取代。Symantec Endpoint Protection 客户端依据 Sylink.xml(其中包括像客户端管理服务器之类的信息)文件来配置设置。
Symantec Endpoint Protection 客户端占用多大空间?
当所有组件处于活动状态时,在硬盘驱动器上所占用的空间为 21MB。所占用的内存空间在 20-25MB 之间。
Symantec Endpoint Protection 客户端是否可以不带用户界面?
是的。您可以从客户端页面配置 UI 设置。
我如何修改不受管理的客户端上的策略?
您可以通过执行以下操作之一来修改不受管理的客户端上的策略:
- 将策略从 Symantec Endpoint Protection Manager 控制台导出
- 将策略复制到不受管理的客户端
- 运行 smc - importconfig(策略文件)来更新策略
- 将策略复制到 Symantec Endpoint Protection 客户端进行处理
- 将策略从 Symantec Endpoint Protection Manager 控制台中导出
- 创建注册表项 HKLM\Software\Symantec\Symantec Endpoint Protection\SMC\TPMState,其中十六进制值为 80,从而使该项显示为 0x00000080 (128) 的形式
- 从 Symantec/Symantec Endpoint Protection 目录依次运行以下命令:smc.exe -stop 和 smc.exe -start
- 以手动方式或使用第三方工具将策略复制到以下位置:
- 对于非 Vista 计算机:\\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\inbox\
- 对于 Vista 计算机:\\Program Data\Symantec\Symantec Endpoint Protection\inbox\
64 位 Symantec Endpoint Protection 客户端是否为本机 64 位应用程序?
不是。Symantec Endpoint Protection 客户端并非真正意义上的本机 64 位应用程序。有些组件是 64 位,有些则不是。Symantec Network Access Control 是真正意义上的本机 64 位应用程序。
Symantec Endpoint Protection Manager 和控制台
我是否可以从 Symantec Endpoint Protection Manager 控制台管理早期 Symantec AntiVirus 客户端?
不可以。您必须使用 Symantec System Center 来管理早期 Symantec AntiVirus 客户端和服务器。例如,如果您拥有运行 Symantec AntiVirus 的 Netware 服务器,应该将这些服务器归类到一个服务器组并使用 Symantec System Center 来进行管理。Symantec Endpoint Protection 并不支持将报告数据从 Symantec AntiVirus 转发到 Symantec Endpoint Protection。此功能允许您从一个控制台查看所有数据。
我是否可以像 XP 和 Vista 那样按照组策略对象 (GPO) 来控制 Symantec Endpoint Protection 防火墙?
不可以。Symantec Endpoint Protection 与 Active Directory 相集成,但是未与 GPO 相集成。您可以创建一个脚本,将 GPO 设置的 Windows 防火墙规则移到 Symantec Endpoint Protection 防火墙。
我是否可以从 Symantec Endpoint Protection Manager 控制台集中管理 PC 和 Mac?
不可以。在我们的发展蓝图中包括集中管理 Mac 和 PC 的功能。最终目标是通过 Symantec Endpoint Protection Manager 来管理赛门铁克发布的所有端点安全解决方案。
我是否可以从 Symantec Endpoint Protection Manager 控制台检测未受保护的计算机?
是的。您可以使用客户端页面上的“查找不受管理的计算机任务和网络审计”来检测不受 Symantec Endpoint Protection 保护的计算机。
Active Directory 的跟踪机制是 OID 还是 dn?Symantec Endpoint Protection Manager 与 AD 同步之后,对 AD 中组名称所进行的更改是否会显示为重命名,或者同步是否会导致新条目与旧条目共同位于 Symantec Endpoint Protection Manager 中?
一切都基于 OID。在这种情况下,组将在同步之后,在 Symantec Endpoint Protection Manager 中重命名。
我如何通过浏览器连接到 Symantec Endpoint Protection Manager 控制台?
您可以通过在浏览器中输入以下内容连接到 Symantec Endpoint Protection Manager:http://(Symantec Endpoint Protection Manager 的 IP 地址):9090
我是否可以在 64 位计算机上安装 Symantec Endpoint Protection Manager?
是的。您可以在 Windows XP Professional 64 位 SP1 或更高版本以及 Windows 2003 Server 64 位 SP1 或更高版本上安装 Symantec Endpoint Protection Manger 和控制台。
客户端部署
Symantec Endpoint Protection 的各个组件是否可以彼此独立安装?
是的。您可以创建具有以下防护类型的安装软件包:
- 只具有防病毒和反间谍软件功能
- 只具有网络威胁防护
- 防病毒和反间谍软件/主动威胁防护
- 防病毒和反间谍软件/主动威胁防护/网络威胁防护
内容分发
是否为 Symantec Endpoint Protection 提供区域性的更新?
是的。将为此版本提供本地化补丁程序。
从管理服务器下载策略和内容时采用的“推”和“拉”模式有何不同?
使用“推”模式的客户端将在策略和内容可用时进行下载。在推模式上始终保持一个开放的连接,以便管理人员可以在数据可用时立即联系客户端。使用“拉”模式的客户端将基于心跳间隔设置下载策略和内容,默认情况下该间隔设置为 5 分钟。由于推模式要使用较多的网络带宽,因此建议最好将其用于中小型网络。
Group Update Provider 是否需要在计算机上安装 IIS?
不需要。Group Update Provider 使用内置嵌入式 HTTP 服务器。
Group Update Provider 是否可以从 LiveUpdate 以及 Symantec Endpoint Protection Manager 获得更新?
不可以。Group Update Provider 只能从 Symantec Endpoint Protection Manager 接收更新。
Symantec Endpoint Protection 客户端和管理器之间发送的各种数据包有多大?
以下是 Symantec Endpoint Protection 客户端和管理器之间发送的各种数据包大小的估计值:
- 心跳(没有更新需要交换) - 如果没有需要交换的通信(即没有要下载的配置文件和要更新的日志),那么心跳介于 2 和 3 KB/秒之间。
- 策略(例如,AV/AS、防火墙、操作系统防护、主机完整性) - 通常介于 20 KB 和 80 KB 之间,但是如果包含详细的规则或使用操作系统防护
模板,那么大小可能会有所增加。通常,在您针对网络需要设置所需的策略之后,就不需要定期进行修改。
- IPS 特征更新 - 文件范围介于 50 和 100 KB 之间。赛门铁克大约每个季度都会提供更新,除非需要解决特定威胁或漏洞,提供更新的时间会有所变化。
- 病毒特征 - 每天为客户端提供 50 KB 至 100 KB 的特征(假设每天都成功更新特征)。
- 日志 - 在将日志上传到 Symantec Endpoint Protection Manager 之前,将在客户端上压缩这些日志。800 个日志条目大约会占用 1KB 的文件空间。
Group Update Provider 可以支持多少个客户端?
Group Update Provider 设计为支持大约 100 个客户端(建议)。Group Update Provider 最多可能处理 1,000 个客户端。
报告
如何在新方案中将早期数据添加到 Symantec Endpoint Protection Manager 数据库?
在早期数据插入数据库时已进行了标准化。
Symantec Endpoint Protection Reporting 是否可以从早期 Symantec AntiVirus Reporting 代理收集收据?
是的。您可以将现有报告代理指向 Symantec Endpoint Protection Manager。启用早期客户端数据日志处理,随后所有数据都会出现在新控制台中。
我是否可以采用 PDF 或 HTML 格式导出报告?
不可以。您只能以 CSV 格式导出报告。将在 Symantec Endpoint Protection 未来的版本中考虑以 PDF 和/或 HTML 格式导出报告的功能。
伸缩性
通过一个 Symantec Endpoint Protection Manager 可以管理多少个客户端?
只要有网络资源可供使用,Symantec Endpoint Protection Manager 可以管理 50,000 个客户端。
如果我使用嵌入式数据库,那么可以管理多少个客户端?
赛门铁克建议您使用嵌入式数据库最多管理 1,000 个客户端。如果您拥有更多的客户端,那么应该使用单独的数据库。
最佳实践
假如一次不能对所有客户端进行升级,那么管理带有 Symantec AntiVirus 9.x、10.x 和 11.x 的客户端的最佳实践是什么?
管理 Symantec AntiVirus 9.x/10.x 和 Symantec Endpoint Protection 11.x 客户端组合的最佳实践是将 Symantec Endpoint Protection Manager 和控制台与 Symantec System Center 安装在不同的计算机上。然后,可以将早期受支持的 Symantec AntiVirus 客户端分阶段迁移到 Symantec Endpoint Protection 11.x。您应该参阅 Symantec Endpoint Protection 和 Symantec Network Access Control 安装指南中的“迁移概述和顺序”一节。