中國石化Symantec-SEP110-防病毒培訓(xùn)教材

中國石化SymantecSEP11.0防病毒培訓(xùn)教材主講人：焦宏亮2009年08月24日目錄1、SEP11.0產(chǎn)品功能和優(yōu)勢簡介2、SEP11.0安裝部署說明3、SEP11.0策略配置說明4、SEP11.0日常運維說明5、SEP11.0常見技術(shù)問題解決方法6、SEP11.0客戶端常見安裝問題解決方法7、SEP11.0SEPM服務(wù)器災(zāi)難恢復(fù)處理方法8、資料獲取、技術(shù)支持、操作演示和現(xiàn)場答疑2Symantec防病毒與先進(jìn)的威脅防護(hù)技術(shù)結(jié)合起來單一的解決方案提供終端安全防護(hù)單代理、單控制臺結(jié)果:降低了成本、復(fù)雜度，

減少了風(fēng)險的暴露增強了保護(hù)、

控制和管理性防病毒防間諜軟件防火墻(主機)入侵防護(hù)設(shè)備控制應(yīng)用控制(網(wǎng)絡(luò))入侵防護(hù)3SNAC11.0防病毒及防間諜軟件網(wǎng)絡(luò)威脅防護(hù)主

主動性威脅防護(hù)網(wǎng)絡(luò)準(zhǔn)入控制Symantec

端點安全管理器防病毒及防間諜軟件檢測、攔截和移除病毒間諜軟件Rootkits其他惡意軟件主動性威脅防護(hù)針對零時差攻擊提供保護(hù)基于策略攔截對設(shè)備的訪問網(wǎng)絡(luò)威脅防護(hù)檢測和攔截外部威脅進(jìn)出數(shù)據(jù)訪問控制位置感知的策略網(wǎng)絡(luò)訪問控制強制端點遵守安全策略攔截未授權(quán)的端點的訪問行為防護(hù)來自遠(yuǎn)程辦公員工帶來的危害SEP11.0模塊4LaptopsDesktopsSQL數(shù)據(jù)庫-Policies-Events&Logs-SecurityContent-ReportingData-StateInformation-UpdatesandPatchesJava控制臺-PolicyManagement-AgentManagement-RolesandAdministration-LaunchReports-ViewAlerts

Servers客戶端SymantecEndpointClient管理服務(wù)器SymantecEndpointProtectionManager(SEPM)HTTPStoApacheHTTPtoIISforReportsSEP11.0架構(gòu)5防病毒和防間諜軟件的主要功能最好的防護(hù)惡意軟件的產(chǎn)品強化了實時保護(hù)和攔截功能自動清除強化了對間諜軟件的防護(hù)新增的rootkit保護(hù)功能,裸磁盤掃描改善了性能，為系統(tǒng)提供更好的保護(hù)，同時降低了對系統(tǒng)的影響犯罪軟件間諜軟件蠕蟲病毒防病毒及防間諜軟件的主要功能6用戶模式內(nèi)核模式Windows文件系統(tǒng)卷管理器刪除器物理磁盤MS文件系統(tǒng)API直接卷訪問現(xiàn)在的刪除器Rootkit掛點間諜軟件和Rootkit引擎可擴展的“清除器”修復(fù)引擎，自動更新，能夠持續(xù)不斷的改善不依賴于新版本發(fā)布提高病毒查殺能力SEP11.0的強化更底層的rootkit檢測直接裸硬盤掃描-用戶模式Rootkits影響用戶模式安全軟件和用戶模式操作系統(tǒng)

-內(nèi)核模式Rootkits影響文件系統(tǒng)和操作系統(tǒng)內(nèi)核間諜軟件檢測和移除的改善7網(wǎng)絡(luò)威脅防護(hù)的主要特性最好的基于規(guī)則的應(yīng)用防火墻IPS引擎對漏洞利用攻擊的一般性攔截(GEB)基于包或流的IPS定制的IPS簽名，與Snort?類似位置感知緩存溢出后門101010110101011010101混合型威脅對已知漏洞的利用網(wǎng)絡(luò)威脅防護(hù)的主要功能8個人防火墻功能基于規(guī)則的應(yīng)用防火墻引擎防火墻規(guī)則觸發(fā)器應(yīng)用、主機、服務(wù)、時間完全支持TCP/IPTCP,UDP,ICMP,RawIPProtocol，ARP支持以外網(wǎng)協(xié)議能夠攔截協(xié)議驅(qū)動例如：VMware,WinPcap個人防火墻的主要功能9SSHIMSMTPFTPHTTPRCPruletcp,tcp_flag&ack,daddr=$LOCALHOST,msg="[182.1]RPCDCOMbuffer

overflowattemptdetected",content="\x05\x00\x00\x03\x10\x00\x00\x00"(0,8)定制的簽名引擎簽名的IPSGEBSSHIMSMTPFTPHTTPRCP入侵防護(hù)功能通用漏洞利用攻擊攔截GEB(主動防護(hù)技術(shù))深入的包檢查IPS引擎允許管理員創(chuàng)建他們自己的簽名使用類似于SNORT?的簽名格式抵御普通的和高級的逃避技術(shù)入侵防護(hù)系統(tǒng)的主要功能10AutoLocation觸發(fā)器IP地址(訪問或掩碼)DNS服務(wù)器DHCP服務(wù)器WINS服務(wù)器網(wǎng)關(guān)地址TMP令牌(硬件令牌)DNS名稱解析到IP連接了管理服務(wù)器網(wǎng)絡(luò)連接類型(無線、VPN,以太網(wǎng),撥號)支持和/或關(guān)系測試:辦公策略:遠(yuǎn)程企業(yè)LAN遠(yuǎn)程位置

(家,咖啡館，賓館等)VPN位置感知策略，自動處所切換11主動性威脅防護(hù)的主要功能行為的威脅防護(hù)與WholeSecurityConfidenceOnline完全集成非基于簽名的惡意軟件檢測和攔截防護(hù)零日攻擊和未知威脅設(shè)備控制攔截外設(shè)，攔截讀寫執(zhí)行系統(tǒng)鎖定和操作系統(tǒng)保護(hù)增強了對本地文件系統(tǒng)和應(yīng)用的保護(hù)系統(tǒng)設(shè)備零日漏洞利用，未知威脅系統(tǒng)權(quán)限主動威脅防護(hù)的主要功能12應(yīng)用行為分析監(jiān)控行為或應(yīng)用進(jìn)程執(zhí)行控制阻止有害程序運行文件訪問控制攔截對文件和文件夾的非法訪問注冊表訪問控制控制對注冊表鍵值的訪問和寫入模塊及DLL加載控制阻止應(yīng)用程序加載模塊\WINDOWS\system32\應(yīng)用程序控制的主要功能13系統(tǒng)鎖定功能在受保護(hù)的系統(tǒng)中，阻止任何未授權(quán)代碼的運行惡意軟件未授權(quán)的應(yīng)用創(chuàng)建系統(tǒng)的指紋工具Checksum.exe建立這個清單追蹤每個可執(zhí)行文件的運行痕跡(exe,com,dll,ocx,etc.)對任何不在列表上的執(zhí)行文件進(jìn)行攔截系統(tǒng)鎖定的主要功能14心懷不滿的員工/

內(nèi)部攻擊者自動運行的漏洞利用攻擊,rootkits,間諜軟件等設(shè)備攔截端口支持所有常用端口USB紅外藍(lán)牙串口并口火線(Firewire)SCSIPCMCIA設(shè)備保護(hù)的功能按類型攔截設(shè)備(WindowsClassID)攔截來自移動設(shè)備的讀/寫/運行設(shè)備控制的主要功能15SEP11.0客戶端界面截圖16SEP11.0產(chǎn)品特點總結(jié)17應(yīng)對當(dāng)前復(fù)雜的安全威脅提供多層次的終端安全保護(hù)主動威脅防護(hù)防范零日攻擊和未知威脅一個客戶端一個控制臺，更簡單，更容易管理，更低成本，更多保護(hù)可管理的終端安全與SNAC無縫結(jié)合防病毒防間諜軟件防火墻入侵防護(hù)設(shè)備控制目錄1、SEP11.0產(chǎn)品功能和優(yōu)勢簡介2、SEP11.0安裝部署說明3、SEP11.0策略配置說明4、SEP11.0日常運維說明5、SEP11.0常見技術(shù)問題解決方法6、SEP11.0客戶端常見安裝問題解決方法7、SEP11.0SEPM服務(wù)器災(zāi)難恢復(fù)處理方法8、資料獲取、技術(shù)支持、操作演示和現(xiàn)場答疑18SEP11.0安裝部署說明SQLServer2005安裝和配置說明SQLServer2005安裝說明SQLServer2005SP2補丁安裝說明SQLServer2005配置說明SEP11.0SEPM服務(wù)器端安裝說明安裝組件環(huán)境要求SEP11.0SEPM服務(wù)器端安裝說明19SQLServer2005安裝和配置要點SQLServer2005安裝要點：建議將SQLServer2005安裝在D盤等非系統(tǒng)分區(qū)；使用“命名實例”，例如“SEPM”；使用“混合模式”身份認(rèn)證模式，并牢記SA賬戶的密碼；使用“SQL排序規(guī)則”：字典順序，不區(qū)分大小寫，用于1252字符集；SQLServer2005配置要點：禁用“TCP動態(tài)端口”，建議使用“TCP端口：1433”；20SQLServer2005安裝截圖SQLServer2005SP2補丁安裝截圖22SQLServer2005配置截圖23SEP11.0SEPM服務(wù)器端安裝組件Windows2003企業(yè)版+SP2；SQLServer2000+SP4或SQLServer2005+SP2；IIS6.0（Windows2003自帶組件）；IE6.0（Windows2003自帶組件）；24SEP11.0環(huán)境要求25SEP11.0SEPM服務(wù)器推薦配置26SEP11.0客戶端推薦配置27SEP11.0SEPM服務(wù)器端安裝要點建議將SEP11.0SEPM程序安裝在D盤等非系統(tǒng)分區(qū)自定義IISWeb網(wǎng)站端口，建議使用2967；牢記SEPM加密密碼；牢記Sem5數(shù)據(jù)庫帳戶密碼；牢記admin帳戶密碼；選擇SQLServer數(shù)據(jù)庫，并輸入正確的實例名；28SEP11.0SEPM服務(wù)器端安裝截圖29SEP11.0客戶端安裝注意事項安裝注意事項操作系統(tǒng)要求，目前總部計算機的操作系統(tǒng)均符合安裝要求；WindowsXPSP1IE6以上Windows2000SP3IE6以上Windows2003IE6以上WindowsVistaWindows2008包含32位和64位操作系統(tǒng)，在Server版的操作系統(tǒng)只能安裝防病毒模塊。要求安裝客戶端的磁盤分區(qū)至少要有1G的剩余空間，內(nèi)存512－1G；安裝前提醒用戶保存當(dāng)前的工作信息，重新啟動計算機，初步判斷用戶的操作系統(tǒng)沒有嚴(yán)重問題；卸載原有計算機上非Symantec10防病毒客戶端程序，如360、卡巴斯基、瑞星、金山等防病毒和防火墻類產(chǎn)品；30SEP防病毒系統(tǒng)客戶端安裝記錄表31SEP防病毒系統(tǒng)客戶端安裝記錄表

部門：序號房間號碼電話IP地址網(wǎng)絡(luò)工位號MAC安裝日期

安裝人員計算機類型

（臺式機或筆記本）用戶簽字1

2

3

4

5

6

7

8

9

10

11

SEP11.0客戶端安裝說明

創(chuàng)建和使用SEP客戶端安裝包登陸SEPM策略管理器，選擇“管理員”——“安裝軟件包”——“客戶端安裝軟件包”，選擇針對操作系統(tǒng)類型（32位或64位），右鍵選擇“導(dǎo)出”；默認(rèn)是SEP所有功能（也可根據(jù)情況導(dǎo)出部分功能）默認(rèn)是無人參與方式安裝3233SEP11.0客戶端安裝截圖目錄1、SEP11.0產(chǎn)品功能和優(yōu)勢簡介2、SEP11.0安裝部署說明3、SEP11.0策略配置說明4、SEP11.0日常運維說明5、SEP11.0常見技術(shù)問題解決方法6、SEP11.0客戶端常見安裝問題解決方法7、SEP11.0SEPM服務(wù)器災(zāi)難恢復(fù)處理方法8、資料獲取、技術(shù)支持、操作演示和現(xiàn)場答疑34SEP基本策略配置

添加和管理客戶端分組根據(jù)各單位的組織結(jié)構(gòu)，手工建立客戶端分組，系統(tǒng)默認(rèn)是僅有DefaultGroup組。操作方法：SEPM控制臺——客戶端——添加組，輸入組名即可。35SEP基本策略配置

配置站點Liveupdate升級策略配置SEP服務(wù)器的Liveupdate升級策略，系統(tǒng)默認(rèn)是每4小時升級一次。操作方法：SEPM控制臺——管理員——本地站點——右鍵“編輯屬性”——Liveupdate，選擇“簡體中文”，根據(jù)實際情況配置Liveupdate調(diào)度升級時間。同時建議在“下載內(nèi)容”內(nèi)取消“客戶端更新”。37SEP基本策略配置

配置定時備份站點數(shù)據(jù)庫配置站點數(shù)據(jù)庫的備份設(shè)置，系統(tǒng)默認(rèn)是不執(zhí)行調(diào)度備份。操作方法：SEPM控制臺——管理員——數(shù)據(jù)庫服務(wù)器——編輯備份設(shè)置，根據(jù)實際情況配置站點數(shù)據(jù)庫備份調(diào)度時間。39SEP基本策略配置

配置客戶端密碼保護(hù)配置SEP客戶端在打開客戶端用戶界面、停止客戶端服務(wù)、導(dǎo)入或?qū)С霾呗院托遁d客戶端時是否啟用密碼保護(hù)功能，系統(tǒng)默認(rèn)是不啟用密碼保護(hù)的。操作方法：SEPM控制臺——客戶端——常規(guī)設(shè)置——安全設(shè)置——客戶端密碼保護(hù)。注意：此策略是客戶端的分組策略，默認(rèn)每個分組是繼承父組MyCompany策略的，所以如果各分組策略都一致，管理員可在父組MyCompany完成此配置；如果各分組策略不同意，管理員可在具體分組上完成此配置。4041SEP基本策略配置

配置客戶端防篡改保護(hù)配置客戶端防篡改保護(hù)，防止病毒或其他應(yīng)用程序篡改或關(guān)閉Symantec安全軟件。操作方法：SEPM控制臺——客戶端——常規(guī)設(shè)置——防篡改。4243SEP基本策略配置

配置客戶端通信策略配置SEP客戶端與SEP服務(wù)器下載策略和更新內(nèi)容的通信方式，系統(tǒng)默認(rèn)是推模式。操作方法：SEPM控制臺——客戶端——通訊設(shè)置。注意：此策略是客戶端的分組策略，默認(rèn)每個分組是繼承父組MyCompany策略的，所以如果各分組策略都一致，管理員可在父組MyCompany完成此配置；如果各分組策略不統(tǒng)一，管理員可在具體分組上完成此配置。推模式：客戶端會和服務(wù)器創(chuàng)建持續(xù)的HTTP連接。每當(dāng)服務(wù)器狀態(tài)發(fā)生更改，就會立刻通知客戶端。拉模式：客戶端會根據(jù)檢測信號設(shè)置的頻率，定期連接至服務(wù)器?？蛻舳藭谶B接時檢查服務(wù)器的狀態(tài)。由于推模式采用的是持續(xù)連接，從而需要占用大量網(wǎng)絡(luò)帶寬。所以在大部分情況下，您可以將客戶端設(shè)置為拉模式。4445SEP基本策略配置

配置SEP客戶端防病毒策略文件系統(tǒng)自動防護(hù)范圍：所有類型操作：宏病毒、非宏病毒

1.清除

2.隔離

安全風(fēng)險1.隔離

2.刪除補救：處理前備份、終止進(jìn)程、停止服務(wù)其他掃描選項掃描安全風(fēng)險禁止安裝安全風(fēng)險清除軟盤引導(dǎo)型病毒通知顯示通知消息鎖定重要選項

其他選項設(shè)置TruScan掃描：按默認(rèn)設(shè)置隔離：按默認(rèn)設(shè)置提交：按默認(rèn)設(shè)置Internet電子郵件：可根據(jù)實際情況啟動或禁用MicrosoftOutlook：可根據(jù)實際情況啟動或禁用LotusNotes：可根據(jù)實際情況啟動或禁用其他：從不禁用Windows安全中心按實際情況勾選日志過濾（按默認(rèn)設(shè)置）日志匯總頻率設(shè)置為5-30分鐘（根據(jù)服務(wù)器性能和客戶端數(shù)量酌情配置）鎖定重要選項

46SEP基本策略配置

配置SEP客戶端防火墻策略配置防火墻規(guī)則點擊“添加空白規(guī)則”輸入名稱、嚴(yán)重性選擇應(yīng)用程序，客戶端會將已有應(yīng)用程序列表自動提交給管理服務(wù)器選擇主機，限定源或目的范圍（本地/遠(yuǎn)程）選擇規(guī)則生效時間段指定服務(wù)（協(xié)議或端口）指定適配器，可添加自定義適配器指定屏幕保護(hù)狀態(tài)（開啟或關(guān)閉）操作（允許、拒絕、詢問）排序與優(yōu)先級配置通信與隱藏設(shè)置啟用NetBIOS防護(hù)允許令牌環(huán)通信啟用反向DNS查找啟用防MAC欺騙4748SEP基本策略配置

配置SEP客戶端入侵防護(hù)策略入侵防護(hù)設(shè)置啟用入侵防護(hù)啟用拒絕服務(wù)檢測啟用端口掃描檢測自動禁止攻擊者的IP地址：600秒入侵防護(hù)例外不記錄：P2PEdonkeyPingMessages和P2PEdonkeyStartUploadRequest（由于迅雷等下載軟件具有BT和電驢下載模塊，不記錄以上特征可防止客戶正常使用迅雷時SEP客戶端產(chǎn)生大量日志）4950SEP高級策略配置

管理客戶端位置用戶嘗試連接到企業(yè)網(wǎng)絡(luò)的位置不同，需要的策略和設(shè)置通常也不同。因此，您可以為用戶所屬的每個組創(chuàng)建不同的位置或配置文件。您可能想為下列類型的客戶端計算機添加位置：無線網(wǎng)絡(luò)辦公室中非無線網(wǎng)絡(luò)辦公室內(nèi)遠(yuǎn)程位置（在遠(yuǎn)程企業(yè)機構(gòu)工作）VPN（從外部位置進(jìn)入的

VPN）您可以根據(jù)適合該位置的特定條件，自定義每個位置的策略和設(shè)置。例如，默認(rèn)位置的策略可能不像

VPN或

Home位置的策略那么嚴(yán)格。當(dāng)用戶受企業(yè)防火墻保護(hù)時，將使用與默認(rèn)位置關(guān)聯(lián)的策略。5152SEP高級策略配置

授權(quán)客戶端手動Liveupdate操作方法：SEPM控制臺——策略——Liveupdate設(shè)置策略——服務(wù)器設(shè)置——勾選“使用Liveupdate服務(wù)器”。SEPM控制臺——策略——Liveupdate設(shè)置策略——高級設(shè)置——勾選“允許用戶手動啟動Liveupdate”。同時建議禁用“使用Liveupdate服務(wù)器下載SEP產(chǎn)品更新和客戶端Liveupdate調(diào)度。5354SEP高級策略配置

啟用客戶端對聯(lián)網(wǎng)應(yīng)用程序的自動學(xué)習(xí)功能操作方法：SEPM控制臺——客戶端——通信設(shè)置——勾選“獲知在客戶端計算機上運行的應(yīng)用程序”。55SEP高級策略配置

通過防火墻策略屏蔽開心網(wǎng)、BT和電驢5657SEP高級策略配置

禁止非法修改本地Hosts文件通過應(yīng)用程序控制功能防止病毒等非法修改本地Hosts文件。操作方法：SEPM控制臺——策略——應(yīng)用程序和設(shè)備控制——應(yīng)用程序控制——添加——按下圖配置。5859SEP高級策略配置

禁用1394、紅外、藍(lán)牙等硬件設(shè)備操作方法：SEPM控制臺——策略——應(yīng)用程序和設(shè)備控制策略——設(shè)備控制——在“禁止的設(shè)備”內(nèi)選擇“1394FirewireHostController、InfraredDevices、Bluetooth和Modems”硬件類型。同時在“不禁止的設(shè)備”內(nèi)添加允許使用的硬件設(shè)備，比如：“USB、IDS、CD/DVD、DiskDrivers”等。60SEP高級策略配置

禁用1394、紅外、藍(lán)牙等硬件設(shè)備對于如ipod等其他未知設(shè)備，管理員可通過使用Symantec提供的DevViewer（此工具在SEP第二個安裝包的Tools\NoSupport\DevViewer目錄內(nèi)）獲知其硬件特征信息。操作方法：SEPM控制臺——策略——策略組件——硬件設(shè)備——添加類ID或設(shè)備ID。SEPM控制臺——策略——應(yīng)用程序和設(shè)備控制策略——設(shè)備控制——在“禁止的設(shè)備”內(nèi)選擇上述新添加的類ID或設(shè)備ID。注意：類ID是指此類設(shè)備的ID標(biāo)識，具有通用性；而設(shè)備ID是指僅此種設(shè)備的ID標(biāo)識，不具有通用性。61SEP高級策略配置

禁止U盤的Autorun.inf和EXE等執(zhí)行程序運行通過應(yīng)用程序控制功能防止U盤的Autorun.inf和EXE等執(zhí)行程序運行。操作方法：SEPM控制臺——策略——應(yīng)用程序和設(shè)備控制——應(yīng)用程序控制——添加——按下圖配置。6263SEP高級策略配置

禁止ARP病毒向網(wǎng)絡(luò)發(fā)送ARP欺騙包通過防火墻策略僅允許操作系統(tǒng)的ndisuio.sys文件向網(wǎng)絡(luò)發(fā)送ARP數(shù)據(jù)包，其他的如病毒或黑客工具等應(yīng)用程序則禁止向網(wǎng)絡(luò)發(fā)送ARP數(shù)據(jù)包。操作方法：SEPM控制臺——策略——防火墻——規(guī)則——新建空白規(guī)則——在應(yīng)用程序內(nèi)選擇ndisuio.sys（c:\windows\system32\drivers\ndisuio.sys）——在服務(wù)內(nèi)選擇“以太網(wǎng)【協(xié)議=0x806；傳出】”——在操作內(nèi)選擇“允許”。SEPM控制臺——策略——防火墻——規(guī)則——新建空白規(guī)則——在服務(wù)內(nèi)選擇“以太網(wǎng)【協(xié)議=0x806；傳出】”——在操作內(nèi)選擇“禁止”。6465SEP高級策略配置

多SEPM服務(wù)器的站點復(fù)制配置根據(jù)上述“SEP11.0安裝部署說明”，首先全新安裝1臺SEPM服務(wù)器后，在安裝第2臺SEPM服務(wù)器時，在“管理服務(wù)器配置向?qū)А敝邪聪铝胁僮鲌?zhí)行多臺SEPM服務(wù)器的站點復(fù)制配置。6667目錄1、SEP11.0產(chǎn)品功能和優(yōu)勢簡介2、SEP11.0安裝部署說明3、SEP11.0策略配置說明4、SEP11.0日常運維說明5、SEP11.0常見技術(shù)問題解決方法6、SEP11.0客戶端常見安裝問題解決方法7、SEP11.0SEPM服務(wù)器災(zāi)難恢復(fù)處理方法8、資料獲取、技術(shù)支持、操作演示和現(xiàn)場答疑68遠(yuǎn)程訪問報告服務(wù)器http://服務(wù)器名稱或服務(wù)器IP：2967/reporting

備注：2967端口是SEPM管理服務(wù)器安裝時的IISWeb站點的默認(rèn)端口；69遠(yuǎn)程訪問SEPM控制臺http://服務(wù)器名稱或服務(wù)器IP：9090https://服務(wù)器名稱或服務(wù)器IP：8443

備注：9090端口是SEPM管理服務(wù)器安裝時的默認(rèn)Web控制臺端口（明文訪問），而8443是SEPM管理服務(wù)器安裝時的默認(rèn)Web控制臺端口（加密訪問）；70SEPM服務(wù)器備份管理71目錄1、SEP11.0產(chǎn)品功能和優(yōu)勢簡介2、SEP11.0安裝部署說明3、SEP11.0策略配置說明4、SEP11.0日常運維說明5、SEP11.0常見技術(shù)問題解決方法6、SEP11.0客戶端常見安裝問題解決方法7、SEP11.0SEPM服務(wù)器災(zāi)難恢復(fù)處理方法8、資料獲取、技術(shù)支持、操作演示和現(xiàn)場答疑72SEPM管理員帳號鎖定管理員帳戶默認(rèn)會在5次登錄嘗試后自動鎖定，解鎖的方法是默認(rèn)會在15分鐘后自動解鎖，無需人工干預(yù)。73SEPM管理員密碼恢復(fù)SEPM管理服務(wù)器的默認(rèn)帳號名稱是admin，如果將此帳號的密碼忘記，可SEPM自動工具：resetpass.bat將密碼重置為admin，待成功登陸SEPM后在修改密碼即可。resetpass.bat文件路徑：C:\ProgramFiles\Symantec\SymantecEndpointProtectionManager\Tools74手動將未受管的SEP客戶端接受SEPM管理查找

Temporary組的組文件夾1.在“Windows資源管理器”中，瀏覽至

C:\ProgramFiles\Symantec\SymantecEndpointProtectionManager\data\outbox\agent。在此位置中，有

2個以上的文件夾的名稱由

32個字母數(shù)字字符組成。在您的

SymantecEndpointProtectionManager站點中，每個文件夾代表一個組。每個文件夾內(nèi)包含一個名為

LSProfile.xml的文件

?警告：不建議/不支持對此文件進(jìn)行編輯，編輯該文件可能會引起嚴(yán)重的通信問題2.打開

LSProfile.xml文件并查找

XML標(biāo)記：<GroupInfoName="X"，其中

X是組的名稱。

3.查找是哪個

LSProfile.xml文件將

Temporary指定為組的名稱。包含此文件的文件夾是代表

Temporary組的文件夾。將

Sylink.xml從

Temporary組文件夾復(fù)制到客戶端

1.在

Temporary組文件夾中有一個名為

Sylink.xml的文件。復(fù)制此文件并將其移動至您要管理的客戶端的桌面。使用

SylinkDrop工具應(yīng)用

Sylink.xml文件

1.將名為

SylinkDrop.exe的文件復(fù)制到要管理的客戶端的桌面。（此工具位于

SymantecEndpointProtection11安裝文件

CD2上名為

\TOOLS\NOSUPPORT\SYLINKDROP的文件夾中。也可從賽門鐵克技術(shù)支持部門獲得此工具）

2.運行

SylinkDrop.exe。出現(xiàn)提示時，選擇

Sylink.xml文件

3.選擇您保存到桌面的

Sylink.xml。（有關(guān)運行

SylinkDrop.exe的更多信息，請參見下面“技術(shù)信息”部分）?注意：SylinkDrop.exe不提供進(jìn)度指示。完成后，將出現(xiàn)含有文本“已經(jīng)成功替換

Sylink文件。”的窗口75手動更新SEPM服務(wù)器病毒庫76目錄1、SEP11.0產(chǎn)品功能和優(yōu)勢簡介2、SEP11.0安裝部署說明3、SEP11.0策略配置說明4、SEP11.0日常運維說明5、SEP11.0常見技術(shù)問題解決方法6、SEP11.0客戶端常見安裝問題解決方法7、SEP11.0SEPM服務(wù)器災(zāi)難恢復(fù)處理方法8、資料獲取、技術(shù)支持、操作演示和現(xiàn)場答疑77故障現(xiàn)象：SEP11.0安裝時提示“系統(tǒng)掛起，需重新啟動”解決方法：建議msconfig中，將“服務(wù)”和“啟動”中“全部禁用”，重啟后再重新安裝SEP11.0即可。（注意“服務(wù)”里要勾選“隱藏所有Microsoft服務(wù)”）故障現(xiàn)象：SEP和天網(wǎng)防火墻有沖突，可能導(dǎo)致系統(tǒng)藍(lán)屏解決方法：建議在安全模式下先卸載天網(wǎng)防火墻軟件后，如無法卸載天網(wǎng)防火墻軟件，建議刪除c:\windows\system32\drivers\sknfw.sys文件，再手工刪除c:\programfiles\skynet目錄后，再重新安裝SEP客戶端。故障現(xiàn)象：安裝SEP時提示磁盤空間不足解決方法：建議檢查C盤是否還有足夠剩余空間，如C盤剩余空間正常，有可能是系統(tǒng)環(huán)境變量的TEMP目錄指定到其他盤符上導(dǎo)致空間不足，建議在系統(tǒng)屬性高級內(nèi)“環(huán)境變量”中，修改TEMP屬性后，再重新安裝SEP客戶端。故障現(xiàn)象：安裝SEP時提示無效的驅(qū)動器，系統(tǒng)日志是MSIInstaller:1327解決方法：可能是安裝某些軟件后導(dǎo)致修改了系統(tǒng)注冊表內(nèi)默認(rèn)的用戶目錄配置，建議修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders的默認(rèn)路徑后，再重新安裝SEP客戶端。故障現(xiàn)象：卸載瑞星防火墻后，如果出現(xiàn)網(wǎng)絡(luò)不通現(xiàn)象解決方法：建議在CMD——ipconfig查看是否能正常顯示IP地址，如果不能正常顯示，建議在本地連接屬性內(nèi)將“RisingRfwbaseDrivers”卸載即可。故障現(xiàn)象：安裝SEP客戶端時提示“WindowsInstaller無法打開此安裝包”解決方法：可能是系統(tǒng)的WindowsInstaller服務(wù)異常造成，建議CMD—msiexec/unregserver后，在運行msiexec/regserver即可。如果仍然有問題，建議安裝微軟最新的WindowsInstaller4.5后，再安裝SEP客戶端即可，或解壓縮SEP客戶端的setup.exe安裝包，運行SymantecAntiVirus.msi安裝即可。7879故障現(xiàn)象：安裝SEP客戶端時提示“內(nèi)部錯誤2203c:\windows\installer\XXX.IPI”解決方法：將C:\DocumentsandSettings\"yourusername"\LocalSettings\TEMP目錄，將System帳戶賦予完全控制權(quán)限后，再重新安裝SEP客戶端即可。故障現(xiàn)象：安裝SEP客戶端時提示“需瀏覽SymantecAntiVirus.msi文件”解決方法：可能是SEP11安裝包未徹底原有卸載SAV10程序，建議提供原SAV10安裝包內(nèi)的SymantecAntiVirus.msi文件即可。故障現(xiàn)象：SEP客戶端的主動型威脅防護(hù)和網(wǎng)絡(luò)威脅防護(hù)未自動更新到最新狀態(tài)解決方法：建議在SEP客戶端的計算機上，刪除C:\ProgramFiles\Symantec\SymantecEndpointProtection\ContentCache目錄的所有文件，然后等待SEP客戶端從SEP服務(wù)器上自動更新最新的特征庫即可。故障現(xiàn)象：無法保存word2007SP2的文件的情況，提示“許可權(quán)錯誤，無法保存”解決方法：此故障一般在Ghost系統(tǒng)情況下出現(xiàn)，同時一般所要保存的word文件存儲在非C盤的其他分區(qū)，并且分區(qū)權(quán)限缺少。建議對非C盤的其他分區(qū)的安全權(quán)限添加包括administrator、system、users帳戶。故障現(xiàn)象：雙擊SEP客戶端安裝包的setup.exe后無任何反應(yīng)解決方法：建議解壓縮SEP客戶端的setup.exe安裝包，運行SymantecAntiVirus.msi安裝即可。故障現(xiàn)象：部分計算機在安裝SEP客戶端前有病毒或木馬，導(dǎo)致SEP客戶端無法安裝解決方法：建議使用Windows清理助手等工具先對病毒和木馬進(jìn)行清理后，再重新安裝SEP客戶端即可。另外可能由于病毒或木馬的干擾，造成安裝SEP客戶端后系統(tǒng)藍(lán)屏，建議在Windows安全模式下使用Symantec卸載工具徹底刪除后，再重新安裝SEP客戶端即可。故障現(xiàn)象：在剛安裝完SEP客戶端的計算機上，如SEP客戶端提示自動防護(hù)禁用且主動型威脅防護(hù)關(guān)閉，同時系統(tǒng)日志內(nèi)有SRTSP：ErrorLoadingSymantecrealtimeAnti-VirusDriver解決方法：此問題可能是計算機在安裝SEP客戶端前有病毒或木馬，建議使用Windows清理助手等工具先對病毒和木馬進(jìn)行清理后，在添加刪除程序內(nèi)找到SymantecEndpointProtection項選擇“更改”，在向?qū)?nèi)選擇“修復(fù)”即可。目錄1、SEP11.0產(chǎn)品功能和優(yōu)勢簡介2、SEP11.0安裝部署說明3、SEP11.0策略配置說明4、SEP11.0日常運維說明5、SEP11.0常見技術(shù)問題解決方法6、SEP11.0客戶端常見安裝問題解決方法7、SEP11.0SEPM服務(wù)器災(zāi)難恢復(fù)處理方法8、資料獲取、技術(shù)支持、操作演示和現(xiàn)場答疑80詳見《中國石化SymantecSEP11.0SEPM服務(wù)器災(zāi)難恢復(fù)處理手冊》81目錄1、SEP11.0產(chǎn)品功能和優(yōu)勢簡介2、SEP11.0安裝部署說明3、SEP11.0策略配置說明4、SEP11.0日常運維說明5、SEP11.0常見技術(shù)問題解決方法6、SEP11.0客戶端常見安裝問題解決方法7、SEP11.0SEPM服務(wù)器災(zāi)難恢復(fù)處理方法8、資料獲取、技術(shù)支持、操作演示和現(xiàn)場答疑82資料獲取安裝程序（培訓(xùn)光盤內(nèi)）Symantec_Endpoint_Protection_11.0.4202_MR4_MP2_AllWin_CS_CD1.zip（444MB）；【包含SymantecEndpointProtectio