********************************************************************************
Symantec AntiVirus(TM) 企业版 README.TXT
Copyright 1999 - 2005 Symantec Corporation. All rights reserved.
1999 - 2005 年 Symantec Corporation 版权所有。 保留所有权利。 2005 年 6 月
********************************************************************************
在安装或分装 Symantec AntiVirus 企业版,或者致电技术支持部门之前,请完整地阅读本文档。
它包含 Symantec AntiVirus 企业版文档或联机帮助所没有涵盖的内容。
安装和卸载问题
--------------------------------------
* 不支持 Symantec Packager
* 如果已经安装相同版本的 Symantec AntiVirus,则无法将 Symantec AntiVirus 添加
到用于 Active Directory (R) 部署的软件安装组策略对象中
* 安装中央隔离区和 Symantec 系统中心可能需要重新启动
* 如果安装 Alert Management Service(2) 软件,则安装 Antivirus 服务器时需要重新启动
* 卸载与 Symantec 系统中心位于同一台计算机上的 Symantec AntiVirus 服务器时出现通信问题
* SERVERNAME 客户端安装的 MSI 属性必须是一个有效名称
* 在安装接受管理的客户端的过程中使用的“服务器名称”字段必须是一个有效名称
迁移问题
----------------
* 在客户端迁移期间使用 Grc.dat 更新为新的父服务器
* 不支持从不接受管理到接受管理的客户端的迁移
* 在打开客户端或服务器用户界面时,版本 7.6.1 的迁移失败
* 从 Norton AntiVirus 7.6x 客户端迁移到 Symantec AntiVirus 10.X 客户端
使用第三方产品进行部署
------------------------------------
* 使用高级权限部署基于用户的安装包失败
与管理有关的问题
-------------------------
* 备份一级服务器上的 \pki 目录
* 恢复服务器系统日期将禁用服务器
* 停止 Symantec 进程会导致系统不稳定
* SAVRoam /nearest 命令需要 Windows 上的管理员权限
* 删除锁定的和空的服务器组
* 将组设置应用于不同步的客户端
* Symantec 系统中心提示受限用户复制服务器组证书
* 更改客户端的管理模式
* 不再允许用户修改调度的 LiveUpdate
* 只有重新启动后,有关用户登录域的信息才可用
* 锁定允许客户端修改 LiveUpdate 调度的设置
* 当客户端电子邮件应用程序使用一个收件箱文件时
* 只将锁定的设置传播到客户端
* 需要简单主机名称解析来管理 Symantec AntiVirus 服务器和客户端
* 更改登录证书设置后拖放服务器会导致通信丢失
* 将服务器提升为一级服务器时出现时间不同步错误
防病毒客户端和服务器问题
----------------------------------
* 不扫描 Cookie
* 忽略 Internet 电子邮件自动防护端口的更改
* 调度扫描的客户端用户必须登录,扫描才能运行
* 提高客户端的重新启动性能
* 将文件添加到隔离区并将该文件从其原始位置删除
* 按类型扫描文件不再可用
* 清除风险及负面影响
* 清除蠕虫和特洛伊木马
* 启用防篡改时不使用第三方安全风险扫描程序
* 设置“客户端跟踪”选项
* 扫描安全风险的自动防护选项不应用于运行较早版本的 Symantec AntiVirus 的计算机
NetWare 信息
-------------------
* 扫描安全风险的自动防护选项不应用于运行 NetWare 的计算机
* NetWare 上不支持快速扫描
* 配置安全风险的特例
64 位支持
--------------
* 防病毒客户端是唯一受支持的功能
* LiveUpdate 是唯一受支持的病毒定义文件更新方法
* 使用 Symantec 系统中心管理 64 位客户端
* 负面影响修复限制
文档问题
--------------------
* 参考指南的“事件日志项”一章包含的信息不正确
* 安装指南包含的客户端登录脚本安装信息不完整
其他问题
------------
* 重新启动后 XP SP2 防火墙状态错误地报告为已启用
* 在运行 Windows XP 的计算机上使用系统还原功能
* Symantec AntiVirus 组件使用的 16 位文件
* 关于安全风险
* 关于 Cookie
* 安全风险的最佳处理方法
* 注意 - 中央隔离区性能注意事项
--------------------------------------------------------
安装和卸载问题
--------------------------------------------------------
不支持 Symantec Packager
--------------------------------
不支持使用 Symantec Packager 和 PMI 文件。
如果已经安装相同版本的 Symantec AntiVirus,则无法将 Symantec AntiVirus
添加到用于 Active Directory (R) 部署的软件安装组策略对象中
--------------------------------------------------------------------------------
如果计算机上安装了相同版本的应用程序,将无法创建用于软件安装的组策略对象 (GPO) 包。
在将 Symantec AntiVirus 安装到服务器之前,请首先创建 Symantec AntiVirus 安装 GPO。
安装中央隔离区和 Symantec系统中心需要重新启动
---------------------------------------------------------------
安装中央隔离区可能需要重新启动,因为它还要更新系统文件。安装 Symantec 系统中心
也需要重新启动,因为它需要更新 Microsoft(R) 管理控制台插件。
如果安装了 Alert Management Service(2) 软件,则安装 Antivirus 服务器时需要重新启动
---------------------------------------------------------------
如果在安装防病毒管理服务器时选择安装 Alert Management Service(2) 软件,则必须
重新启动计算机,然后才能配置警报。
卸载与 Symantec 系统中心位于同一台计算机上的 Symantec AntiVirus 服务器时出现通信问题
--------------------------------------------------------------------
如果卸载与 Symantec 系统中心位于同一台计算机上的 Symantec AntiVirus 服务器,然后
再重新安装该服务器,则它将无法与 Symantec 系统中心进行通信。要解决此问题,您可以
卸载 Symantec AntiVirus 服务器和 Symantec 系统中心,然后再次安装它们。
SERVERNAME 客户端安装的 MSI 属性必须是一个有效名称
--------------------------------------------------------------------
SERVERNAME 属性指定将管理客户端的现有父服务器的名称。它必须是一个名称,
不能对该属性使用 IP 地址。
在安装接受管理的客户端的过程中使用的“服务器名称”字段必须是一个有效名称
-------------------------------------------------------------------
在安装接受管理的客户端的过程中,使用的“服务器名称”字段指定将管理客户端的
现有父服务器的名称。它必须是一个名称,不能对该字段使用 IP 地址。如果您只
知道 IP 地址,请单击“浏览”按钮,然后单击“查找计算机”按钮,根据 IP 地址
进行搜索。
--------------------------------------------------------
迁移问题
--------------------------------------------------------
在客户端迁移期间使用 Grc.dat 更新为新的父服务器
------------------------------------------------------------------------
如果将客户端从以前的版本迁移到当前版本,并将该客户端分配给新的父服务器,
则必须将新父服务器的名称添加到您所具有的 Grc.dat 文件中的 RoamManagingParentLevel0
项中。该项是逗号分隔的可用父服务器的列表。如果不将新父服务器的名称添加到该表中,
则迁移客户端将不使用您指定的新服务器。
不支持从不接受管理到接受管理的客户端的迁移
----------------------------------------------------
不支持从不接受管理的客户端到接受管理的客户端的迁移。要解决此问题,在通过
不接受管理的客户端安装接受管理的客户端时,您可以将 Grc.dat 文件(指定了由
特定父服务器管理的客户端)复制到适当的目录中。安装指南中的安装章节介绍
了如何执行此转换。
在打开客户端或服务器用户界面时,版本 7.6.1 的迁移失败
--------------------------------------------------------------------------
如果迁移版本 7.6.1 的服务器或客户端,而且用户界面是打开的,则迁移将失败。
要将版本 7.6.1 的服务器和客户端迁移到最新版本,请在开始迁移之前关闭用户界面。
从 Norton AntiVirus 7.6x 客户端迁移到 Symantec AntiVirus 10.X 客户端
--------------------------------------------------------------------------
部署 Symantec AntiVirus 10.0(STM 或 MR1)以升级 Norton AntiVirus 7.6x 的现有
安装可以正确完成,但是由于这两个版本之间的某些驱动程序相冲突,必须重新启动计算机
(以完成安装),实时防护(自动防护)功能才可以启用。因此,以这种方式分发的计算机
只有在重新启动后才可以受到保护。
一种变通解决方法是强制客户端在升级结束时重新启动。在与客户端部署关联的 VPRemote.dat
文件中,删除 REBOOT=ReallySuppress 参数。
警告:系统不会通知客户端计算机的用户将要重新启动计算机
(已部署的客户端安装在没有提示的情况下运行)。
--------------------------------------------------------
使用第三方产品进行部署
--------------------------------------------------------
使用高级权限部署基于用户的安装包失败
-------------------------------------------------------------------------
通过设置“总是使用高级权限安装”的 Active Directory 组策略,没有管理员权限的
用户将可以安装 Windows Installer 软件包。如果基于计算机进行安装,该设置有可
帮助安装成功。如果基于用户进行安装,该设置将导致安装失败。
--------------------------------------------------------
与管理相关的问题
--------------------------------------------------------
备份一级服务器上的 \pki 目录
-------------------------------------------------
如果您的服务器组中只包含一台服务器,则该服务器就是一级服务器并且管理该服务器组
的所有客户端。如果由于某种原因,您必须重新安装一级服务器上的服务器软件,将丢失
与客户端的所有通信。这是因为客户端不信任您创建的新服务器组根证书。
要缓解此潜在问题,请始终在服务器组中安装一台二级服务器,以便可以解除对服务器组
的锁定。另外,还应总是备份包含服务器软件的目录中的整个 \pki 子目录。如果重新安
装服务器软件后可还原 \pki 子目录,您就可以重新建立客户端通信。有关详细过程,请
与您的 Symantec 技术支持代表联系。
恢复服务器系统日期将禁用服务器
-------------------------------------------------
如果将一级服务器上的系统日期恢复到服务器组根证书创建日期之前的某个日期,
则将无法使用该服务器。
停止 Symantec 进程会导致系统不稳定
----------------------------------------------
如果停止在后台运行的 Symantec 进程,则该进程所在的计算机将变得不稳定。
有关 Symantec 进程的列表,请参考位于安装 CD 上的参考指南。
SAVRoam /nearest 命令需要 Windows 上的管理员权限
-----------------------------------------------------------------
SAVRoam 通常配置为在一定时间以后及计算机重新启动之后查找新的父服务器。
但是,使用命令行命令 SAVRoam /nearest,您可以强制 SAVRoam 立即查找新的
父服务器。要使用此命令,用户必须具有 Windows 计算机上的管理员权限。
删除锁定的和空的服务器组
---------------------------------------
当您的服务器组只包含一台一级服务器时,如果您卸载该服务器,则无法解除
该服务器组的锁定并将其删除。
要删除该服务器组,请执行以下操作:
1. 在 Symantec 系统中心控制台中,单击“工具”>“搜索服务”。
2. 在“搜索服务属性”对话框中,单击“立即清除缓存信息”。
将组设置应用于不同步的客户端
-------------------------------------------------
默认情况下,如果客户端的系统时钟比一级管理服务器上设置的时间早 ±24 小时,
管理员将无法直接配置客户端设置。例如,您无法在Symantec 系统中心中右键单击
不同步的客户端,以及查看客户端日志。但是,不同步的客户端可以接受管理员应用
于组的设置。例如,如果您在 Symantec 系统中心中右键单击组并更改“客户端自动
防护选项”设置,则不同步的客户端将接受该新设置。
您无法直接配置客户端设置的原因是:系统使用的是登录证书,而该证书只在指定时间内有效。
您可以在 Symantec 系统中心中使用“配置登录证书设置”在组级别更改时间。不同步的客户端
之所以接受组级别的更改,是因为系统使用的是服务器证书,而该证书的有效期为 5 年。
有关证书的更多信息,请参阅安装 CD 上 Docs 文件夹中的参考指南。
Symantec 系统中心提示受限用户复制服务器组证书
----------------------------------------------------------------------------
当您第一次解除服务器组的锁定时,Symantec 系统中心将提示您将服务器组根证书
复制到 Symantec 系统中心目录结构中。如果您随后使用管理员权限登录到运行
Symantec 系统中心的计算机并且解除服务器组的锁定,将不会提示您复制服务器组
根证书。如果随后使用低级别的用户权限登录到同一台计算机,将总是提示您复制服务器
组根证书。
更改客户端的管理模式
----------------------------------------
如管理指南的第 2 章中所述,在将不接受管理的客户端更改为接受管理的客户端的
过程中,不再需要步骤 5 和步骤 6。如果客户端上的 pki\roots 文件夹为空,新的父
服务器现在会自动复制服务器组根证书,并且在您将 Grc.dat 文件复制到客户端并重新
启动该客户端后,将该证书放入客户端上的 pki\roots 文件夹中。如果该客户端上的
pki\roots 文件夹包含它以前的服务器组根证书,则应该先删除该证书,然后再将新的
Grc.dat 文件复制到客户端。
不再允许用户修改调度的 LiveUpdate
-----------------------------------------------------------
Symantec 系统中心的“病毒定义管理器”对话框上的“不允许客户端修改 LiveUpdate
调度”选项已被禁用。如果选中“不允许客户端手动启动 LiveUpdate”选项或
“使用 LiveUpdate 安排客户端的自动更新”选项,用户则不得修改您配置的任何
调度 LiveUpdate。这种自动锁定功能可确保管理员调度的 LiveUpdate 总是能够传播到
客户端,并且不会被用户修改。
只有重新启动之后,有关用户登录域的信息才可用
----------------------------------------------------------------------
初次安装客户端软件后,只有重新启动客户机,才会在 Symantec 系统中心显示用户的
登录域信息。重新启动之后,可以在 Symantec 系统中心的 Symantec AntiVirus 视图、
网络审核结果、事件日志、风险历史记录和改动历史记录中找到该信息。在 Symantec AntiVirus
用户界面中,可以在事件日志、风险历史记录和改动历史记录中找到该信息。
锁定允许客户端修改 LiveUpdate 调度的设置
---------------------------------------------------------------------
Symantec 系统中心的“病毒定义管理器”窗口包含以下已锁定并且灰显的设置:
o 不允许客户端修改 LiveUpdate 调度
当同时禁用以下两个设置时,将自动取消选中并禁用锁定的设置:
o 使用 LiveUpdate 安排客户端的自动更新
o 不允许客户端手动启动 LiveUpdate
当选中并启用这两个设置中的一个或两个时,将自动选中并启用锁定的设置。
如果该设置未锁定,客户端用户则可以创建或修改与组策略相冲突的调度,并且
不会收到组调度的病毒定义更新。
当客户端电子邮件应用程序使用一个收件箱文件时
-----------------------------------------------------------
如果客户端使用的电子邮件应用程序(例如,Outlook Express、Eudora、Mozilla
和 Netscape)将所有电子邮件都存储在一个文件中,您可能希望将收件箱文件排除
在手动扫描和调度扫描之外。如果 Symantec AntiVirus 在手动扫描或调度扫描期间,
在收件箱文件中查到一个病毒,并且为该病毒配置的操作是隔离,则 Symantec AntiVirus
会隔离整个收件箱,这样用户就无法访问其电子邮件。
尽管定期从扫描中排除文件不是推荐的常规做法,但是从扫描中排除收件箱文件可以防止
该文件被隔离,同时仍然允许检测病毒。如果在您打开电子邮件时,而不是在下载邮件
或扫描过程中,Symantec AntiVirus 发现病毒,则它可以安全地隔离或删除该邮件,
而不会导致整个收件箱出问题。
只将锁定的设置传播到客户端
----------------------------------------------
要更改客户端上的设置,必须锁定 Symantec 系统中心中的设置。如果更改客户端的设置,
并且该设置未锁定,则不会在该客户端上显示所做的更改。此功能还会影响使用 Symantec
系统中心中的客户端漫游功能进行的客户端安装。在安装期间,只能在客户端上配置
已更改且已锁定的设置。
需要简单主机名称解析来管理 Symantec AntiVirus 服务器和客户端
--------------------------------------------------------------------
必须在环境中配置简单主机名称解析,才能管理 Symantec AntiVirus 服务器和客户端。
不需要完全合格的域名解析。
更改登录证书设置后拖放服务器会导致通信丢失
--------------------------------------------------------------
在 Symantec 系统中心中,如果您将“登录证书设置”对话框中两个选项的时间间隔设置
为大于 1 天(24 小时),来解决服务器和客户端之间的时间不同步问题,然后将服务器
拖放到一个新服务器组中,则该服务器与 Symantec 系统中心之间的通信将丢失。如果
实际的时间相差 24 小时或更少,则不会出现此问题。
将服务器提升为一级服务器时出现时间不同步错误
------------------------------------------------------------------
当您在 Symantec 系统中心中将服务器提升为一级服务器时,可能会出现登录证书时间
不同步错误。在大多数情况下,可以通过清除缓存信息,然后运行新的搜索来解决此问题。
然后就可以将服务器提升为一级服务器。
----------------------------------
防病毒客户端和服务器问题
----------------------------------
不扫描 Cookie
-----------------------
不对 Cookie 进行病毒、威胁或安全风险扫描。
忽略对 Internet 电子邮件自动防护端口的更改
-----------------------------------------------------
“Internet 电子邮件高级选项”的防病毒客户端自动防护功能允许您更改 POP3 和 SMTP 端口。
这两个端口的默认值分别为 110 和 25。防病毒客户端忽略对这些默认值的更改。所有使用
POP3 和 SMTP(包括 Microsoft Outlook)的电子邮件程序均存在此问题。
如果您更改防病毒客户端的这些默认值,但是您的电子邮件程序却使用这些默认值,则自动
防护功能仍然会对电子邮件通信进行风险扫描。如果您的电子邮件程序不使用这些默认值,
并且您将自动防护端口更改为与电子邮件程序使用的端口匹配,自动防护功能则不会对电子
邮件通信进行风险扫描。
调度扫描的客户端用户必须登录,扫描才能运行
----------------------------------------------------------------------
如果最终用户使用防病毒客户端用户界面调度扫描使其在不使用计算机时运行,则他们必须
登录到计算机,扫描才能运行。同样,如果调度的扫描已开始运行,用户随后注销,扫描将
停止运行。此问题的解决方法是让用户锁定计算机而不注销。调度在服务器组中的客户端上
运行的扫描不会受到影响,并且总是按调度时间运行。
提高客户端的重新启动性能
------------------------------------
默认情况下,防病毒客户端软件在客户机重新启动时执行自动生成的快速扫描。快速扫描包括
一项扫描安全风险(如广告软件和间谍软件)的增强功能。此增强功能增加了重新启动客户机
所需的时间,并且不可以从 Symantec 系统中心配置。
要提高客户端的启动性能,请执行以下操作:
1. 在 Symantec AntiVirus 窗口的左窗格中,展开“启动扫描”,然后单击“自动生成的快速扫描”。
2. 在右窗格中,单击“编辑”。
3. 在“扫描”对话框中的“快速扫描”选项卡上,单击“选项”。
4. 在“扫描选项”对话框中的“扫描增强”功能下,取消选中“扫描常见病毒和安全风险的踪迹”。
5. 单击“确定”。
6. 在“扫描”对话框中,单击“确定”。
将文件添加到隔离区并将该文件从其原始位置删除
--------------------------------------------------------
在关闭自动防护之后,“将文件添加到隔离区”对话框中的“从原始位置上删除文件”选项将
不起作用。如果您使用“隔离区视图”图标将文件添加到隔离区,并且取消选中从其原始位置
删除文件的选项,该文件仍然被删除。
按类型扫描文件不再可用
---------------------------------------------
在您配置任何扫描时,都无法再选择按类型扫描文件。将扫描所有类型的文件。任何迁移到当
前版本的以前配置的扫描也将扫描所有文件类型。管理指南中有关按选定的文件类型进行
扫描的所有信息都不再适用。
清除风险及负面影响
-------------------------------
当 Symantec AntiVirus 处理复杂的风险及其负面影响时,有时它会将您配置的第一和第二操
作应用于该风险的不同部分。
例如,当 Symantec AntiVirus 检测到风险(例如 Trojan.QQMess 特洛伊木马)时,如果配置
的第一和第二操作分别是“清除威胁”和“不操作(仅记录)”,则看起来好像是对已检测文
件执行第一操作时失败,但其实该操作已应用于该风险的某些组件。出现此问题的原因是,如
果 Symantec AntiVirus 检测到受感染文件,但却无法将其清除,Symantec AntiVirus 将采取
第二操作,保留该文件。但是,Symantec AntiVirus 将应用第一操作以清除该风险的负面影响,
并将这些补救目标放入隔离区。
如果配置的第一和第二操作分别是“清除威胁”和“删除威胁”,并且 Symantec AntiVirus
无法清除文件,则 Symantec AntiVirus 会将第二操作应用于受感染的文件并将其删除。并将
第一操作应用于该风险的负面影响,清除这些影响并将补救目标放入隔离区。
清除蠕虫和特洛伊木马
--------------------------------
如果对非宏病毒配置的第一操作是“清除威胁”,当 Symantec AntiVirus 通过手动扫描或调度
扫描检测到蠕虫和特洛伊木马时,它所采取的操作不同于与通过自动防护扫描检测到相同风险时
所采取的操作。
在极少数情况下,如果无法从文件中清除蠕虫或特洛伊木马,但是自动防护功能确定该蠕虫或
特洛伊木马非常危险,不能留在计算机上,Symantec AntiVirus 将删除受感染的文件,即使为
自动防护配置的第一操作是“清除威胁”,第二操作是“不操作(仅记录)”时,也是如此。
如果手动扫描或调度扫描配置了相同的操作并且检测到相同的无法清除的风险,则清除操作将
失败,文件将保留下来(配置的第二操作)。要从计算机中删除风险,您必须将配置的操作更改
为“删除威胁”或“隔离威胁”,或者必须手动删除这些文件。
启用防篡改时不使用第三方安全风险扫描程序
--------------------------------------------------------------------
防病毒客户端和服务器具有一个称为“防篡改”的新的实时功能,该功能可防止对 Symantec
进程进行未经授权的访问和改动。如果您运行的第三方安全风险扫描程序会检测和防御不需要的
广告软件和间谍软件,则这些扫描程序通常会影响 Symantec 进程。这样,改动防护会生成几十个
甚至几百个警报和日志项。如果您希望使用第三方安全风险扫描程序,请禁用改动防护。
设置“客户端跟踪”选项
-------------------------------
在 Symantec 系统中心中,当您在“服务器调整选项”对话框中设置“客户端跟踪”选项时,
只有重新启动所配置的服务器上的 Rtvscan 服务后,所做的更改才会生效。
扫描安全风险的自动防护选项不应用于运行较早版本的 Symantec AntiVirus 的计算机
--------------------------------------------------------------------------
当在 Symantec 系统中心中配置自动防护选项时,“扫描安全风险”选项不应用于运行
较早版本的 Symantec AntiVirus 的计算机。
-------------------
NetWare 信息
-------------------
扫描安全风险的“自动防护”选项不应用于运行 NetWare 的计算机
--------------------------------------------------------------------------
当在 Symantec 系统中心中配置“服务器自动防护”选项时,“扫描安全风险”选项不
应用于运行 NetWare 的计算机。
NetWare 上不支持快速扫描
------------------------------------
运行 NetWare 的计算机不支持快速扫描。
配置安全风险的特例
-----------------------------------------
当在 Symantec 系统中心中为自动防护和其他扫描配置扫描选项时,如果父服务器或一级
服务器运行的是 NetWare,则“选择风险”对话框中的“可用风险”列表为空,并且您
无法配置特例。要解决此问题,请将运行 Windows 的计算机用作您的一级服务器或父服务器,
或者直接在由 NetWare 父服务器和一级服务器管理的计算机上配置特例。
--------------------------------------------------------
64 位支持
--------------------------------------------------------
防病毒客户端是唯一受支持的功能
------------------------------------------------------
防病毒客户端为客户端和服务器提供病毒防护和安全风险防护,并且是此版本中唯一受支持的
功能。所有其他组件、产品和工具均不受支持。
LiveUpdate 是唯一受支持的病毒定义文件更新方法
----------------------------------------------------------------------
LiveUpdate 是唯一受支持的病毒定义文件更新方法。所有其他更新方法,包括病毒定义传输
方法均不受支持。
使用 Symantec 系统中心管理 64 位客户端
-------------------------------------------------------
要使用 Symantec 系统中心管理 64 位客户端,请配置客户端设置以使客户端不接收自动的病毒
定义更新。配置客户端设置的最简单方法是配置一个客户端组,然后将您的 64 位客户端放入该组。
可以依靠用户来单击 LiveUpdate,也可以使用 Symantec 系统中心设置该组的 LiveUpdate 调度。
要使用 Symantec 系统中心管理 64 位客户端,请执行以下操作:
1. 创建一个客户端组。
2. 右键单击该客户端组。
3. 取消选中“继承服务器组的设置”。
4. 右键单击该客户端组,然后选择“所有任务”> Symantec AntiVirus >“病毒定义管理器”。
5. 在“病毒定义管理器”对话框中,取消选中“从父服务器更新病毒定义”。
6 请执行以下操作中的一个或两个:
o 取消选中“不允许客户端手动启动 LiveUpdate”。
o 选中“使用 LiveUpdate 安排客户端的自动更新”,单击“调度”,指定一个调度,然后单击
“确定”。
7. 单击“确定”。
在安装 64 位客户端软件之后,将客户机拖到该客户端组中。
负面影响修复限制
-------------------------------
64 位防病毒客户端仅支持对 32 位病毒和安全风险(感染了 AMD(R)/64 和 EM64T 硬件上的 64
位操作系统的 WOW64 部分)的负面影响进行修复。目前不支持对 AMD/64 和 EM64T 硬件上 WOW64
之外的 64 位原生操作系统工具上的 64 位病毒和安全风险进行修复。
--------------------------------------------------------
文档问题
--------------------------------------------------------
参考指南中的“事件日志项”一章包含的信息不正确
--------------------------------------------------------------------
参考指南中的“事件日志项”一章将错误的事件号与事件相关联。通常,在参考指南中,
40 以上的事件号之间相差一。
安装指南包含的客户端登录脚本安装信息不完整
-------------------------------------------------------------------
“使用登录脚本安装客户端”一节介绍了如何编辑 vp_login.ini 以控制自动的客户端安装。
但是,使用这种方法,在重新启动 SAV 服务器后,对 vp_login.ini 所做的更改无法保留下来。
为了确保所做的更改能够保留,必须编辑 DoInstallOnWinNT 注册表值。有关更多信息,
请参见知识库文章:
Changes made to Vp_Login.ini are not saved after restarting the
Symantec AntiVirus service or the computer”,网址为:
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2005051211252348
--------------------------------------------------------
其他问题
--------------------------------------------------------
重新启动后 XP SP2 防火墙状态错误地报告为已启用
--------------------------------------------------------------------
在特定情况下,Windows 防火墙可能会在实际没有启用的情况下,暂时将其自身报告为已启用。
如果按以下顺序进行安装,则会出现此问题:
1. 安装 XP SP1。
2. 安装 Symantec AntiVirus 并将其配置为禁用 Windows 防火墙(默认)。
3. 安装 XP SP2。
在这种情况下,Windows 安全中心将在等待一分钟后,将 Windows 防火墙正确显示为已禁用。
在运行 Windows XP 的计算机上使用系统还原功能
-----------------------------------------------------
Symantec 服务 Rtvscan.exe 会禁用 Windows XP 的系统还原功能。
要在运行 Windows XP 的计算机上使用系统还原功能,请执行以下操作:
1. 断开计算机与网络的连接。
2. 显示称为“服务”的管理工具。
3. 在“服务”窗口中,停止 Symantec AntiVirus。
4. 使用系统还原功能将计算机还原为已知状态。
5. 重新启动计算机。
Symantec AntiVirus 组件使用的 16 位文件
--------------------------------------------------
以下 16 位文件作为随每个安装和定义更新一起分发的病毒定义文件的一部分包含在
Symantec AntiVirus 中。尽管 16 位操作系统不支持当前版本的 Symantec AntiVirus,
但是为了实现与可能仍然在使用的旧版 Symantec AntiVirus 的向后兼容,还是提供了
这些 16 位病毒定义文件。
与 NetWare 防护相关的文件存储在安装 Symantec 系统中心的计算机上。这些文件会推送到
支持 16 位 NetWare 客户端的 NetWare服务器上。这些 16 位文件只能在接收它们的目标
计算机上执行,而不会在管理计算机上执行。
受支持的 Windows 平台上的安装和更新可能包括以下这些:
目录:
C:\Program Files\Common Files\Symantec Shared\VirusDefs\BinHub\
C:\Program Files\Symantec\Quarantine\Server\Signatures\00027599\
文件:
ECBOOTIL.VXD
NAVENG.VXD
NAVENG16.DLL
NAVEX15.VXD
NAVEX16A.DLL
从 Symantec 系统中心推送到受支持的 NetWare 平台的 16 位文件可能包括以下这些:
管理计算机上的目录:
C:\Program Files\Symantec\Symantec System Center\Deployment\Server Rollout\
SERVER\NETWARE\LOGIN\ 文件:
CTL3D.DLL
DY_LOH.DLL
I2_LDVP.DLL
LDRTSC16.386
MSCOMSTF.DLL
MSDETSTF.DLL
MSINSSTF.DLL
MSSHLSTF.DLL
MSUILSTF.DLL
NAVAPI16.DLL
SETUP.EXE
VPCCC16.EXE
VPDNUI.EXE
VPDN_FTP.EXE
VPDOWN.EXE
VPREMOVE.EXE
WPUSHPOP.EXE
关于安全风险
--------------------
请尽量在安全风险的安装程序在系统中加载广告软件和间谍软件程序之前,检测并
删除该安装程序。如果安装程序仅用于将安全风险传送到主机,这将是一个有效的
方法。但是,用途更广泛的安装程序可以很好地与间谍软件或广告软件结合使用,
而且无法禁止,因为它们服务于各种应用程序类型。当无法禁止安全风险安装程序时,
由于以下几个原因,将允许间谍软件或广告软件应用程序加载到系统中。
首先,中断已部分安装的间谍软件程序可能会使主机处于不稳定状态,同时向用户显示
错误信息,或者在计算机上遗留下文件和文件夹。如果在删除这类程序之前安装已完成,
则可以分析安全风险的所有方面并正确将其删除,以使主机处于可预测的安全状态。
其次,间谍软件和广告软件程序的行为与正常的应用程序非常类似,与恶意软件通常表现
出的更加明显、异常的行为不同。因此,为了确保检测准确,允许先加载该程序,然后再
完全识别它,随后再将其删除或隔离。最后,安全风险可能是需要的程序,它是否值得接受
完全由用户或管理员的喜好决定。如果是这样,确保这类应用程序不被自动禁止是必要的。
尽管安全风险程序可以暂时加载到系统中,但如果已正确防护的主机上具有额外的安全措施,
那么这类程序几乎成功加载。例如,使用 SCS/NIS 的客户将从功能强大的防火墙防护中受益,
该防护将禁止应用程序在没有用户同意的情况下向家里打电话或以其他方式传输数据的企图。
因此,在安全风险得以加载与将其删除之间这段短暂的时间内,采取未经授权的操作的风险
将微乎其微。
我们相信这种方法与我们主要竞争对手的方法类似,而且目前我们尚未发现哪种方法可以
准确有效地检测并删除诸如广告软件或间谍软件之类的安全风险程序,而不对其进行充分地
分析。
关于 Cookie
-------------
Cookie 是广泛用于维护网站会话期间和各会话之间的信息的一种技术。Cookie 有几种主要形式,
每一种都有各自的意图和用法。Cookie 之间的第一个主要区别是,在您访问网站之后它们是否
仍然存在于您的系统中。如果仍然存在(作为小文本文件的一部分),则称为“永久性 Cookie”,
网站使用这些 Cookie 在您下次访问该网站时,根据您以前的操作来定制您的体验。如果不存在,
则称为“会话 Cookie”或“临时 Cookie”,在您关闭浏览器之后将被删除。
Cookie 之间的第二个主要区别是第一方 Cookie 与第三方 Cookie 的区别。第一方 Cookie 由您
正在访问的网站提供,并且只有该网站可以使用。第三方 Cookie 或跟踪 Cookie 由一个或多个
网站提供,用于跟踪网站内或跨网站的基本在线行为,通常是为了在线营销目的。虽然我们通常
接受大多数类型的 Cookie,但是有些人认为第三方 Cookie 是不良的,因为它们可能会将 Web
浏览习惯或更多个人数据等信息泄漏给营销商。
虽然从 1996 年引入 Cookie 开始就一直存在隐私保护问题,但是随着人们对这项技术的日益了解,
而且 Web 浏览器也提供了允许用户明确选择如何处理 Cookie 的选项,以前的担忧最终得到缓解。
具体而言,当今常用的 Web 浏览器(如 Internet Explorer)允许用户设置其隐私首选项,包括
处理第三方 Cookie 的详细方法,并且这些浏览器的默认设置可防止在未经用户明确同意的情况下
跟踪个人识别信息的做法。
除了对第三方 Cookie 的使用进行控制的现有功能外,即将出台的法规也规定不得在受管制的软件
或功能范围中包含 Cookie。最主要的联邦法案 SPY ACT 或 H.R. 29 最近进行了修正,从而将
第三方 Cookie 排除在管制范围之外,以便准确地限制在线商务。
由于客户可以很容易地在如今的 Web 浏览器内控制 Cookie,以及更加严重的安全风险(如间谍软件)
的普遍性,因此 Symantec 目前不检测系统中是否存在 Cookie,以便客户可以把精力重点放在最紧迫的
安全问题上。
安全风险的最佳处理方法
----------------------------
o 如果客户不主动删除间谍软件或广告软件,Symantec 建议关闭对该类别的实时扫描。
o 删除间谍软件/广告软件可能需要终止某个进程(例如 Web 浏览器),在某些情况下,
必须重新启动系统才能完全清除它。
o 管理员可以允许最终用户选择何时终止/重新启动。
o 如果最终用户延迟此操作,实时防护将继续查找安全风险。
o 这样可起到主动提醒的作用。
注意 - 中央隔离区性能注意事项
-------------------------------------------------------
在 9.0.4 和 2.0.4 版本中,中央隔离区中允许的最大可配置样本数已经从 2500 增加到 5000 个;
但是有一些性能问题需要注意。首先,因为样本数量的增多,导致中央隔离区服务器上的工作量明显
增加。在重负荷下,隔离区控制台查看器可能需要很长时间才能加载列表,甚至在其他计算机上也是
如此。其次,中央隔离区服务器可能需要占用很大的处理器开销,而且此项活动会占用服务器上的
大量磁盘空间。因此,将样本数量增大到 2500 个以上会导致中央隔离区服务器的性能相对降低。
