Symantec™ Client Security
用戶端指南
Symantec™ Client Security 用戶端指南
本手冊中所指的軟體內含授權許可協議,使用時必須遵守同意書中所記載的條款。
文件版本 2.0
版權聲明
Copyright © 2004 Symantec Corporation. 版權 ©2004 賽門鐵克公司。
All Rights Reserved. 版權所有。
賽門鐵克公司所提供之任何技術性說明文件的版權及所有權均屬於賽門鐵克公司
所有。
不為瑕疵責任擔保。本技術性說明文件之發送係根據既有的內容,賽門鐵克公司對
於其內容的正確性及使用不作任何保證。使用者必須對使用本技術性說明文件及其
所含之內容自行負責。文件中可能包含技術上或其它誤差或印刷的錯誤。賽門鐵克
保留變更的權利,而不需事先通知。
未經賽門鐵克公司 (20330 Stevens Creek Blvd., Cupertino, CA 95014) 的書面同
意,不得複製本出版品的任何部份。
商標
Symantec、Symantec 標誌、LiveUpdate 和 Norton AntiVirus 均為賽門鐵克公司
的美國註冊商標。Norton Internet Security、Norton Personal Firewall、
Symantec AntiVirus、Symantec Client Firewall、Symantec Client Security 和
Symantec Security Response 均為賽門鐵克公司的註冊商標。
本手冊所提及其它產品名稱可能為各該所有者之商標,特此聲明。
印製地點:愛爾蘭
10987654321
技術支援
「賽門鐵克全球技術支援小組」是 Symantec Security Response ( 賽門鐵克安全機
制應變中心 ) 的一部份,負責全世界的支援中心。「技術支援小組」的主要角色並
不是在回應有關產品特性 / 功能、安裝、架構的特定問題,與可從網路存取之技術
智庫的製作內容問題。「技術支援小組」共同處理賽門鐵克內其它功能領域的問
題,以便即時回答您的問題。例如,「技術支援小組」與 「產品工程」和 「賽門
鐵克安全機制應變中心」合作,為病毒爆發與安全警示提供 「警示服務」和 「病
毒定義檔更新」。
賽門鐵克技術支援提供的服務包括:
Q 各種支援選擇,為各種規模的組織提供正確服務的選擇彈性
Q 電話與網路支援元件,提供快速的回應及最新的資訊
Q 升級保證,提供軟體自動升級防護
Q 病毒定義檔與安全特徵的內容更新,確保最高等級的防護
Q 來自 Symantec Security Response ( 賽門鐵克安全機制應變中心 ) 專家們的全
球支援,為在 「白金級技術支援程式」中註冊的客戶,提供各種語言一天 24
小時,一週 7 天的全球服務。
Q 進階功能,如 Symantec Alerting Service 與 Technical Account Manager 角
色,提供加強的回應與預先的安全支援
請拜訪我們的網站,取得有關 「支援計劃」的最新資訊。根據購買的支援等級與
使用的特定產品,可用的特定功能可能會有所不同。
授權與註冊
如果您操作的產品需要註冊和 / 或授權碼,可連上賽門鐵克授權與註冊網站
www.symantec.com.tw/certificate,這是註冊服務最迅速簡單的方式。或者,您
也可以連上 www.symantec.com.tw/region/tw/techsupp/enterprise,選取您要註
冊的產品,然後再從產品首頁選取 「授權與註冊」 (Licensing and Registration)
連結。
聯絡技術支援
客戶服務
具有最新支援合約的客戶可以透過電話或從網路與技術支援取得聯絡,網址是
www.symantec.com.tw/region/tw/techsupp。
具有白金級技術服務合約的客戶可以透過 「白金級」網站與 「白金級技術支援」
小組聯絡,網址是 www-secure.symantec.com/platinum/。
聯絡技術支援小組時,請備妥下列資訊:
Q 產品版本
Q 硬體資訊
Q 可用記憶體、磁碟空間、NIC 資訊
Q 作業系統
Q 版本與修正程式
Q 網路拓樸
Q 路由器、閘道器和 IP 位址資訊
Q 問題描述
Q 錯誤訊息 / 日誌檔
Q 聯絡賽門鐵克前執行的疑難排解
Q 最近的軟體架構變更和 ( 或 ) 網路變更
若要線上聯絡 「企業客戶服務」,請造訪 www.symantec.com 選取適合您所在
國家的全球網站,然後選擇 「售後服務」。「客戶服務」可協助您處理下列類型
的事項︰
Q 關於產品授權或序號的問題
Q 產品註冊更新,如地址或名稱變更
Q 一般產品資訊 ( 功能、可用語言、當地經銷商 )
Q 產品更新與升級的最新資訊
Q 升級保證與維修合約的資訊
Q Symantec Value License Program 的資訊
Q 賽門鐵克技術支援選項的說明
Q 非關技術的預售問題
Q 遺失光碟或手冊,或是有瑕疵
目錄
技術支援
第 1 章介紹 Symantec Client Security
關於 Symantec Client Security .......................................................................... 11
安全性威脅類型 .....................................................................................................12
何處可以找到最新病毒的相關資訊 .............................................................13
Symantec Client Security 技術如何共同合作 ................................................... 13
管理 Symantec Client Security .......................................................................... 14
Symantec Client Security 安裝 .................................................................. 14
Symantec Client Security 防護更新 ...........................................................14
第 1 部 Symantec Client Security 防毒用戶端
第 2 章介紹 Symantec Client Security 防毒用戶端
關於 Symantec Client Security 防毒用戶端 ...................................................... 17
關於連線至企業網路的遠端電腦 .................................................................18
關於病毒與其它威脅 .............................................................................................18
關於其它威脅類別 .........................................................................................19
Symantec Client Security 對病毒與其它威脅的應變方式 ............................... 20
Symantec Client Security 保護您電腦的方式 ................................................... 21
Symantec Client Security 能保有最新的防護能力的原因 ............................... 22
關於 Symantec Security Response ( 賽門鐵克安全機制應變中心 )
的角色 .....................................................................................................22
更新病毒防護的方式 .....................................................................................23
第 3 章 Symantec Client Security 防毒用戶端基礎篇
開啟 Symantec Client Security 防毒用戶端 ...................................................... 25
瀏覽 Symantec Client Security 防毒用戶端主視窗 .......................................... 26
檢視 Symantec Client Security 防毒用戶端類別 ..................................... 26
啟動與停用自動防護 .............................................................................................30
暫停和延緩掃描 .....................................................................................................31
更新病毒防護 ........................................................................................................33
使用 LiveUpdate 排程病毒防護更新 ..........................................................33
利用 LiveUpdate 立即更新病毒防護 ..........................................................35
不透過 LiveUpdate 進行更新 ......................................................................35
6
目錄
如需詳細資訊 ........................................................................................................36
存取線上說明 ................................................................................................36
存取 Symantec Security Response ( 賽門鐵克安全機制應變中心 )
網站 ........................................................................................................37
第 4 章 保護您的電腦不受病毒侵襲
關於 Symantec Client Security 防毒政策 .......................................................... 39
要掃描的內容 ................................................................................................39
偵測到病毒時要執行什麼動作 .....................................................................40
關於自動防護 ........................................................................................................41
修改自動防護與使用 SmartScan ................................................................ 42
掃描病毒 ................................................................................................................42
關於掃描壓縮檔與編碼的檔案 .....................................................................43
起始手動掃描 ................................................................................................43
建立排程掃描 ................................................................................................45
架構開機掃描 ................................................................................................46
架構自訂掃描 ................................................................................................47
解析掃描結果 ........................................................................................................47
排除不進行掃描的檔案 .........................................................................................48
第 5 章 如果發現病毒或其它威脅時要採取什麼行動
對受感染的檔案採取的動作 .................................................................................51
管理隔離所 ............................................................................................................52
重新掃描隔離所內的檔案 .............................................................................53
何時修復的檔案無法放回原來的位置 ......................................................... 54
清除備份項目 ................................................................................................55
從隔離所刪除檔案 .........................................................................................55
自動清除隔離所、備份項目和修復項目中的檔案 .................................... 56
傳送可能感染病毒的檔案給 Symantec Security Response ( 賽門鐵克
安全機制應變中心 ) 進行分析 ..............................................................56
處理衍生型威脅類別中的威脅 .............................................................................57
第 2 部 Symantec Client Security 防火牆用戶端
第 6 章介紹 Symantec Client Security 防火牆用戶端
Symantec Client Security 防火牆用戶端的新增功能 ...................................... 62
關於 Symantec Client Security 防火牆用戶端 .................................................. 63
Symantec Client Security 防火牆用戶端與 Symantec Client Security ........ 64
Symantec Client Security 防火牆用戶端功能 ................................................... 64
第 7 章 Symantec Client Security 防火牆用戶端基礎篇
存取 Symantec Client Security 防火牆用戶端 .................................................. 67
顯示 Symantec Client Security 防火牆用戶端系統匣功能表 .................. 68
使用 Symantec Client Security 防火牆用戶端 .................................................. 69
Symantec Client Security 防火牆用戶端使用者層級 ............................... 69
變更 Symantec Client Security 防火牆用戶端防護功能的設定 .............. 71
回應 Symantec Client Security 防火牆用戶端的警示 .............................. 71
以 「中斷連線」來停止 Internet 通訊 .......................................................72
自訂 Symantec Client Security 防火牆用戶端 .................................................. 73
關於一般選項 .................................................................................................73
關於防火牆選項 .............................................................................................74
關於安全通訊埠選項 .....................................................................................75
關於設定值管理員 .........................................................................................75
匯出及匯入政策檔 .................................................................................................75
暫時停用 Symantec Client Security 防火牆用戶端 .......................................... 77
透過 LiveUpdate 隨時保持最新狀態 ..................................................................77
關於程式更新 .................................................................................................77
關於防護更新 .................................................................................................78
更新的時機 .....................................................................................................78
關於在內部網路執行 LiveUpdate ...............................................................78
從賽門鐵克網站取得更新 .............................................................................78
使用 LiveUpdate 取得更新 ..........................................................................79
將 LiveUpdate 設定為互動模式或簡易模式 ...............................................79
如需詳細資訊 ........................................................................................................80
存取說明 ........................................................................................................80
關於檢視 Readme 檔及版本注意事項 .........................................................81
存取用戶端指南 PDF .................................................................................... 81
從 Symantec Client Security 防火牆用戶端主視窗存取賽門鐵克網站 .. 82
目錄
7
第 8 章 使用網路偵測與區域
使用網路偵測 ........................................................................................................83
啟動與停用網路偵測 .....................................................................................85
選取要執行的位置 .........................................................................................86
清除網路連線資訊 .........................................................................................87
新增位置 ........................................................................................................88
關於自訂位置設定 .........................................................................................88
刪除位置 ........................................................................................................89
將電腦新增至信任與限制區域 .............................................................................89
第 9 章 防範入侵
關於防範入侵 ........................................................................................................93
Symantec Client Security 防火牆用戶端防止網路受到攻擊的方式 ............... 94
8
目錄
Symantec Client Security 防火牆用戶端監視通訊的方式 ....................... 94
入侵偵測分析流量的方式 .............................................................................95
自訂防火牆防護 ....................................................................................................96
變更安全性等級滑動軸 .................................................................................96
變更個別的安全性設定 .................................................................................97
將安全性設定重設為預設值 .........................................................................98
自訂防火牆規則 ....................................................................................................99
建立新的防火牆規則 .....................................................................................99
手動建立防火牆規則 ...................................................................................103
關於狀態檢查 ..............................................................................................106
防火牆規則處理的優先順序 .......................................................................107
新增防火牆規則 ...........................................................................................107
變更現有的防火牆規則 ...............................................................................109
使用安全通訊埠 ..................................................................................................111
啟動與停用安全通訊埠功能 .......................................................................111
新增與移除使用者定義的通訊埠 ...............................................................113
自訂入侵偵測 ......................................................................................................114
顯示入侵偵測警示 .......................................................................................114
排除特定的網路活動不受監視 ...................................................................114
加入攻擊特徵 ..............................................................................................115
啟動或停用自動攔截 ...................................................................................116
取消攔截自動攔截目前攔截的電腦 ...........................................................117
將特定電腦排除在自動攔截之外 ...............................................................117
限制被攔截的電腦 .......................................................................................118
第 10 章 防護網頁瀏覽階段作業
關於防護您的隱私權 ...........................................................................................119
關於選取通訊埠來監視隱私權 ...................................................................120
識別要防護的私人資訊 ...............................................................................121
自訂隱私權控管設定 ...................................................................................123
攔截廣告 ..............................................................................................................126
廣告攔截的運作方式 ...................................................................................126
啟動與停用廣告攔截 ...................................................................................127
啟動與停用彈出式視窗攔截 .......................................................................128
使用垃圾筒 ..................................................................................................128
使用進階網站內容設定 .......................................................................................129
架構全域設定值 ...........................................................................................130
架構使用者設定值 .......................................................................................131
架構廣告攔截設定 .......................................................................................132
新增與刪除網站 ...........................................................................................134
第 11 章監視 Symantec Client Security 防火牆用戶端
關於監視 Symantec Client Security 防火牆用戶端 ........................................135
檢視統計值視窗 ...................................................................................................136
重設統計值視窗資訊 ...................................................................................137
檢視 Symantec Client Firewall 的 「統計值」視窗 .......................................137
重設統計值計數器 .......................................................................................138
選擇性顯示統計值 .......................................................................................138
永遠顯示詳細的統計值視窗 .......................................................................139
使用日誌檢視器 ...................................................................................................139
檢視日誌 ......................................................................................................140
重新整理日誌 ...............................................................................................141
清除日誌 ......................................................................................................141
變更日誌檢視器的大小 ...............................................................................142
在日誌檢視器中調整欄寬 ...........................................................................142
停用記錄 ......................................................................................................143
列印和儲存日誌及統計值 ...................................................................................143
索引
目錄
9
10
目錄
Chapter
1
介紹 Symantec Client Security
本章包含以下主題:
Q 關於 Symantec Client Security
Q 安全性威脅類型
Q Symantec Client Security 技術如何共同合作
Q 管理 Symantec Client Security
關於 Symantec Client Security
有效防護不受到安全性威脅需要包含多層防護與回應機制的詳細安全性解決方案。
Symantec Client Security 有助於防止組織網路的
病毒。每個用戶端都是一個網路伺服器、工作站或個人電腦。一個網路可以包含多
個用戶端,而且可以提供您存取網路與 Internet 資源的權限。
雖然您可能已經嘗試以很謹慎的方式工作了,您的網路電腦還是很容易受到數千
種威脅,如病毒和駭客入侵。因此,網路時常會遭受新的威脅。表面上無害的活
動 ( 如閱讀電子郵件和開啟檔案附件 ) 都可能使您的電腦以及連接您網路的所有用
戶端受到威脅。只是位於相同網路的其它用戶端也會使您的用戶端電腦受到威脅。
Symantec Client Security 會使用多個整合的安全性技術防護企業網路中的所有用
戶端,包括遠端使用者和手提式電腦。
用戶端
層級散佈複雜的 Internet
12
介紹 Symantec Client Security
安全性威脅類型
安全性威脅類型
表 1-1 列出並說明用戶端容易遭受的威脅類型。
表 1-1 威脅類型
威脅類型 說明
病毒與其它威脅 可感染其它程式、開機磁區、分割磁區或支援巨集的文件之程式或
程式碼。病毒會自行插入或附加到受害者的電腦。大多數的病毒只
是複製,但很多也會造成傷害。
非病毒類的威脅,如廣告軟體或窺視程式,是以它們從事的行為,
以及設計的目的來分類的。
請參閱第 18 頁的「關於病毒與其它威脅」。
入侵嘗試 安全性破壞,包含嘗試危及資源的完整性、機密性或可用性。入侵
可能是從組織外部或內部發生。
未經授權的通訊埠掃描攻擊者或工具嘗試侵入電腦所傳送的一連串訊息。攻擊者每次傳送
一個訊息到一個通訊埠。未經授權的通訊埠掃描可協助攻擊者了解
電腦執行哪些電腦網路服務,以及其弱點在哪裡。然後攻擊者就會
嘗試利用可用的服務。
複雜的病毒 複雜的病毒種類和其它入侵可以用不同的方法造成破壞並四處散
佈。複雜的病毒包含將其它病蟲的元素結合為單一病毒的病蟲,它
可用不同的方法攻擊受害者。例如,W32.HLLW.Kazmor 是特洛伊
木馬程式的後門,可讓駭客控制受到威脅的電腦。
W32.HLLW.Kazmor 會利用共用磁碟機散佈到區域網路上。病蟲也
會嘗試散佈到 KaZaA 檔案共用的網路。
W32.HLLW.Kazmor 會偽裝成電影或遊戲程式等,或是誘騙 KaZaA
使用者下載程式,然後將程式開啟的軟體檔案。
複雜的病毒包含混合型病毒。
介紹 Symantec Client Security
Symantec Client Security 技術如何共同合作
表 1-1 威脅類型
威脅類型 說明
混合型病毒 將病毒、病蟲、特洛伊木馬程式和惡意程式碼與伺服器和 Internet
弱點結合,以便起始、傳送和散佈攻擊的病毒。混合型病毒使用多
種方法和技術來快速散佈,並透過網路對所連接的用戶端造成廣大
的損害。
混合型病毒會:
Q 造成損害。它們可以對目標 IP 位址啟動隱蔽服務攻擊、損壞
We b 伺服器或植入特洛伊木馬程式,以便於日後執行。
Q 以多種方法散佈。它們會掃描弱點來危害系統,例如在伺服器
的 HTML 檔案中嵌入程式碼,讓探訪者受到此網站的感染,或
將病蟲附件加在受威脅伺服器的未授權電子郵件上。
Q 從不同處發動攻擊。它們會將惡意程式碼放到系統的 .exe 檔
中、提升 Guest 帳戶的權限等級、建立可寫入的網路共用、變
更大量登錄資料,並將程序檔碼加到 HTML 檔案中。
Q 不需人為介入即可散佈。它們會持續掃描要攻擊的脆弱伺服器
的 Internet。
Q 利用弱點。它們會利用已知的弱點,例如緩衝區超上限、
HTTP 輸入驗證弱點,以及已知的預設密碼來取得未經授權的
管理存取。
W32.Nimda.A@mm 是混合型病毒的範例。它是使用多種方法大量
擴散的電子郵件病蟲。此病蟲會藉由電子郵件傳送,或搜尋開放的
網路共用,然後嘗試將自己複製到無法修復或脆弱的 Microsoft IIS
We b 伺服器。W32.Nimda.A@mm 也具有病毒的特性,會感染本機
檔案和遠端網路共用上的檔案。
13
何處可以找到最新病毒的相關資訊
Symantec Client Security 由 Symantec Security Response ( 賽門鐵克安全機制應
變中心 ) 支援。若需安全性威脅的最新資訊,請至 「賽門鐵克安全機制應變中心」
網站:
www.symantec.com.tw/region/tw/avcenter/
Symantec Client Security 技術如何共同合作
Symantec Client Security 技術會以下列方式共同合作防護用戶端:
Q 當 Symantec Client Security 入侵偵測技術發現有人嘗試入侵用戶端時,便會通
知 Symantec Client Security 防火牆用戶端攔截入侵者的位址達半小時之久。
14
介紹 Symantec Client Security
管理 Symantec Client Security
Q 當 Symantec Client Security 防火牆用戶端技術發現內送或外寄檔案時,便會
通知防毒保護掃描該檔案。
Q 如果防毒掃描判斷該檔案受到感染,便會通知 Symantec Client Security 防火
牆用戶端將威脅等級提高為 「高」,並採取預設動作將檔案攔截下來,使其無
法存取 Internet 或進入用戶端。
附註:只有 64 位元的電腦會受到 Symantec Client Security 防毒用戶端的防護。
不支援 Symantec Client Security 防火牆用戶端。
管理 Symantec Client Security
在 Symantec Client Security 設定中,您可以根據先前 Symantec Client Security
在您的電腦上的設定,來進行變更並執行作業。在某些組織中,網路管理員或
「服務台」人員會安裝 Symantec Client Security,所以他們可以管理您所有的安
全性需求。您不必與 Symantec Client Security 互動,便可以防護您的電腦不受到
安全性的威脅。您可以依賴您公司的安全性管理團隊來防護您的用戶端。
在其它組織中,可能會安裝 Symantec Client Security,讓您可以變更某些設定。
如果 Symantec Client Security 選項變淡,您便無法進行存取。
Symantec Client Security 安裝
在大多數情況下,您的網路管理員會為您網路上的所有用戶端管理 Symantec
Client Security 的安裝。
在用戶端電腦上安裝 Symantec Client Security 防毒用戶端的方法有好幾種。如果
您負責安裝 Symantec Client Security 防毒用戶端,則您的系統管理員可以為您提
供相關說明。
如果您負責安裝 Symantec Client Security 防火牆用戶端,則您的系統管理員可以
為您提供相關說明。
Symantec Client Security 防護更新
Symantec Client Security 包含更新機制,可讓您的用戶端保有最新的攻擊防範資
訊。這屬於小型更新,因此可讓您對於您公司網路上的新威脅進行快速回應。在大
多數情況下,您的網路管理員可為您網路上的所有用戶端管理 Symantec Client
Security 的更新。
Section
Symantec Client Security
防毒用戶端
Q 介紹 Symantec Client Security 防毒用戶端
Q Symantec Client Security 防毒用戶端基礎篇
Q 保護您的電腦不受病毒侵襲
1
Q 如果發現病毒或其它威脅時要採取什麼行動
16
Chapter
介紹 Symantec Client Security 防毒用戶端
本章包含以下主題:
Q 關於 Symantec Client Security 防毒用戶端
Q 關於病毒與其它威脅
Q Symantec Client Security 對病毒與其它威脅的應變方式
Q Symantec Client Security 保護您電腦的方式
2
Q Symantec Client Security 能保有最新的防護能力的原因
關於 Symantec Client Security 防毒用戶端
您的 Symantec Client Security 病毒防護可以安裝成單機版或由管理員管理的版
本。單機版表示您的 Symantec Client Security 軟體不是由網路防毒管理員所管
理。
如果您管理自己的電腦,必須是下列其中一種類型:
Q 未連接至網路的單機型電腦,例如家用電腦或單機型的筆記型電腦,並已使用
預設選項設定或管理員預設的選項設定安裝 Symantec Client Security
Q 連接至您企業網路之前即符合安全性需求的遠端電腦
Symantec Client Security 的預設設定可提供電腦完整的病毒防護。但是,您可能
要加以調整,使系統效能最佳化、停用不適用的選項,並允許 Symantec Client
Security 掃描病毒之外的威脅,例如廣告軟體或窺視程式。
18
介紹 Symantec Client Security 防毒用戶端
關於病毒與其它威脅
如果您的安裝是由防毒管理員所管理,便會根據管理員的防毒政策,將某些選項鎖
定或停用,甚至完全不出現。您的管理員可以在您的電腦上執行掃描,並可設定排
程掃描。
您的防毒管理員將會告訴您 Symantec Client Security 有哪些用途。
附註:若選項顯示掛鎖圖示,表示您的防毒管理員已經將其鎖定,因此無法使用。
除非防毒管理員先解除鎖定,否則您將無法變更這些選項。
關於連線至企業網路的遠端電腦
連線至企業網路的遠端電腦可以接收病毒定義檔與程式檔更新,也可以受到
Symantec System Center 管理員程式的管理。
系統管理員可能會要求連線至企業網路的遠端電腦符合某些安全性需求。例如,在
連線至網路前,該電腦可能必須執行具備最新病毒定義檔的 Symantec Client
Security。不符合安全性需求的電腦可能會被拒絕存取網路。
關於病毒與其它威脅
所謂病毒是一種電腦程式,會在執行時將其本身的複本附加到其它電腦程式或文
件。每當受感染的程式執行,或使用者開啟含有巨集病毒的文件時,就會啟動附加
的病毒程式,並將其本身附加到其它程式或文件中。
病毒通常會傳送特殊的任務,例如在特定日期顯示訊息。其中有些病毒特別會藉著
破壞程式、刪除檔案或重新將硬碟格式化來損毀資料。
所謂的
病蟲
是一種特殊類型的病毒,它會從一台電腦複製其本身到另一台電腦上,
且可使用記憶體。病蟲通常存在於其它檔案中,例如 Microsoft Word 或 Excel 文
件。病蟲可以釋放出已經含有其病蟲巨集的文件。
混合型威脅
造成兩百萬台以上的電腦感染,它兼具病毒和病蟲的特性,而且會以四種不同感染
方式自行散佈。
在 Symantec Client Security 的內容中,病毒一詞用來涵蓋所有以疑似病毒方式運
作的威脅。
其它已知的程式,例如廣告軟體或窺視程式,可能會也可能不會對電腦造成威脅。
Symantec Client Security 可以偵測這些其它威脅的類別。
使用多種方法及技術散佈與攻擊。例如,Nimda 病毒在 24 小時之內便
關於其它威脅類別
病毒以外的威脅是依照它們的行為與所設計的目的而分類。Symantec Client
Security 防毒用戶端 可偵測以下衍生型威脅類別:
Q
Q
Q
Q
Q
介紹 Symantec Client Security 防毒用戶端
關於病毒與其它威脅
窺視軟體
:一種單機的程式,可以秘密地監視系統活動、偵測如密碼以及其它
機密的資訊,再將它轉播回另一台電腦。
廣告軟體
:是單機或附加的程式,可透過 Internet 秘密地收集個人資訊,並
將它轉遞回另一台電腦。廣告軟體可能會因為廣告的目的,而有追蹤瀏覽的習
慣。廣告軟體也可以傳送廣告的內容。
窺視程式與廣告軟體可以在不知情的狀況下,從網站 ( 通常是以分享軟體或免
費軟體的形式 )、電子郵件訊息,以及即時傳訊軟體下載。您可能會因為接受
軟體程式的 「使用者授權合約」,而在不知情的狀況下載廣告軟體。
撥號程式
:這種程式通常會利用電腦,在沒有您的許可或不知情的狀況下,透
過 Internet 撥號到 900 號碼或是 FTP 網站,而產生費用。
惡作劇程式
:這種程式企圖以幽默或嚇人的方式,來改變或中斷電腦的作業。
例如,您可能在不知情的狀況下,從由網站 ( 通常是以分享軟體或免費軟體的
形式 )、電子郵件訊息,以及即時傳訊軟體下載程式。當您嘗試要刪除它時,
它可以移動垃圾筒離開滑鼠,或是使滑鼠相反地按下。
遠端存取程式
:允許透過 Internet 存取,從其它電腦取得資訊,或是攻擊或
改變電腦程式。例如,您可能在不知情的情況下,或是在其它程序中安裝了一
個程式。這個程式可以在修改或不修改原始遠端存取程式的情況下,被用於惡
意的企圖。
19
Q
駭客工具
:駭客在未經授權情況下,用來存取電腦的程式。例如,有一種駭客
工具叫做按鍵記錄程式,它可以追蹤與記錄個別的按鍵,並傳回這個資訊給駭
客。然後駭客就可以執行通訊埠掃描或是弱點掃描。駭客工具也可以用來建立
工具,以便在建立病毒時使用。
Q
追蹤軟體
:是一種單機或附加的應用程式,可追蹤使用者在 Internet 上的路
徑,並將資訊傳送到目標系統。例如,該應用程式可以從網站、電子郵件訊
息,或是即時傳訊軟體下載。然後它就可以取得關於使用者行為的機密資訊。
Q
安全風險
:威脅與嚴格的病毒定義、特洛伊木馬程式、病蟲,或其它衍生型威
脅類別不一致,但它可能代表對您的電腦與資料的威脅。
Symantec Client Security 預設會掃描病毒、特洛伊木馬程式及病蟲。您必須啟動
Symantec Client Security 的衍生型威脅掃描,以偵測其它類型的威脅。
Symantec Security Response ( 賽門鐵克安全機制應變中心 ) 網站提供關於威脅的
最新資訊,並包含大量的威脅參考資訊,例如白皮書和關於病毒與其它威脅的詳細
資訊。
圖 2-1 顯示關於駭客工具威脅的資訊,以及 「賽門鐵克安全機制應變中心」建議
的處理方式。
20
介紹 Symantec Client Security 防毒用戶端
Symantec Client Security 對病毒與其它威脅的應變方式
圖 2-1 賽門鐵克安全機制應變中心的衍生型威脅說明
請參閱第 37 頁的 「存取 Symantec Security Response ( 賽門鐵克安全機制應變中
心 ) 網站」。
Symantec Client Security 對病毒與其它威脅的應變 方式
不論來源為何,Symantec Client Security 都能保護電腦不受病毒與其它威脅感
染。來自硬碟、磁片及網路的其它病毒都將無法入侵電腦。電腦也不會受到經由電
子郵件附件或其它方式傳播的病毒與其它威脅感染。例如,當您存取 Internet 時,
威脅可能會在您不知情的情況下,將自身安裝在您的電腦上。
壓縮檔內的檔案也會被掃描並除毒。Internet 型的病毒不需要變更個別的程式或選
項。「自動防護」掃描會自動在下載未壓縮的程式與文件檔時,進行掃描。
介紹 Symantec Client Security 防毒用戶端
Symantec Client Security 保護您電腦的方式
Symantec Client Security 會以相關動作與備份作業來因應處理受到病毒感染的檔
案。根據預設,當掃描作業偵測到病毒時,Symantec Client Security 會嘗試清除
受感染檔案中的病毒。如果檔案已完成清除,即表示病毒已從檔案中成功且完全地
移除。如果 Symantec Client Security 因為某些原因而無法清除檔案中的病毒,
Symantec Client Security 便會嘗試進行備份動作,將受到感染的檔案移到 「隔離
所」,使病毒無法擴散感染。
當病毒防護更新完畢之後,Symantec Client Security 會自動檢查是否有任何檔案
存放在 「隔離所」中,並讓您選擇是否使用新的防護資訊進行掃描。
附註:您的防毒管理員會選擇自動掃描 「隔離所」中的檔案。
Symantec Client Security 可以回應某些進行刪除動作或只以備份進行記錄的威脅
類別。刪除某些威脅時,也會造成您電腦上的網路瀏覽器等其它程式的問題。對於
這些威脅類型,Symantec Client Security 會採取只記錄的動作。
當 Symantec Client Security 發現病毒之外的威脅時,會連結至 Symantec
Security Response ( 賽門鐵克安全機制應變中心 ),讓您可在此了解處理該威脅的
最佳方式。您的系統管理員可能也會傳送一個自訂的訊息,告訴您應變的方式。
21
Symantec Client Security 保護您電腦的方式
病毒感染是可以輕易避免的。您電腦中的病毒能迅速偵測出並移除,它們不會傳染
其它檔案而造成傷害。偵測到病毒時,Symantec Client Security 會通知您有一或
多個檔案受到感染。
Symantec Client Security 提供三種防護類型:
Q 自動防護:定期監視電腦活動,也就是在執行或開啟檔案時,以及進行諸如重
新命名、儲存、搬移或複製等檔案修改動作時,查看是否出現病毒。「自動防
護」並不會在衍生型威脅類別中搜尋威脅。
Q 特徵掃描:在受感染的檔案中搜尋病毒特徵的蛛絲馬跡。此種搜尋作業即稱為
掃描
。根據管理電腦的方式,您和貴公司的防毒管理員可以起始特徵或型樣掃
描,有系統地檢查電腦上的檔案是否有病毒和其它威脅,如廣告軟體或窺視程
式。您可以依需求執行掃描,或排程掃描以自動執行掃描,或是在系統開機時
自動執行掃描。特徵掃描會在手動與排程掃描時,搜尋衍生型威脅類別中的威
脅。
Q 進階啟發式:分析程式的結構、行為和其它屬性中疑似病毒的特性。在多數情
況下,如果您是在更新病毒定義檔之前便遇到此威脅,則可保護電腦免於受到
威脅感染 ( 例如透過電子郵件大量擴散的病蟲和巨集病毒 )。進階啟發式會在
HTML、VBScript 和 JavaScript 檔中尋找程序檔式病毒。
22
介紹 Symantec Client Security 防毒用戶端
Symantec Client Security 能保有最新的防護能力的原因
Symantec Client Security 能保有最新的防護能力的 原因
賽門鐵克公司的工程師會不斷追蹤各種電腦病毒的活動,藉以發現新的病毒。他們
也會追蹤其它威脅的新類型,例如廣告軟體與窺視程式。一旦完成病毒或其它威脅
辨識後,其
要的資訊,可用來偵測及排除病毒或其它威脅。當 Symantec Client Security 掃描
病毒和其它威脅時,它會搜尋這些特徵類型。
賽門鐵克會不斷追蹤新病毒,來提供更新的定義檔。Symantec Security Response
( 賽門鐵克安全機制應變中心 ) 網站每天都會更新定義檔。至少會在每星期或在出
現新的毀滅性病毒威脅時,都會以 LiveUpdate 提供新的定義檔。
如果新病毒太複雜,以致所發佈的新病毒定義檔不足以使用時,賽門鐵克的工程師
會以最新的病毒偵測和修復元件來更新 AntiVirus 引擎。必要時,對 AntiVirus 引
擎進行的更新也會包括病毒定義檔。
關於 Symantec Security Response ( 賽門鐵克安全機制應變中心 ) 的 角色
Symantec Client Security 背後的力量就是 「賽門鐵克安全機制應變中心」。不斷
增加的電腦病毒與其它威脅需要努力追蹤、辨識與分析新病毒及威脅,以及發展新
的技術來保護您的電腦。
特徵
( 病毒或威脅的相關資訊 ) 即會被存入
病毒定義檔
,此檔案含有必
「賽門鐵克安全機制應變中心」研究專家會分解各種病毒樣本,查明其專有的特徵
與行為。透過分析所得的資訊,他們進一步建立病毒定義,供賽門鐵克產品在進行
掃描時藉以偵測及消滅新種病毒。
由於新種病毒散播的速度相當快速,尤其是透過 Internet 散佈時更形嚴重,「賽門
鐵克安全機制應變中心」已開發出自動化的軟體分析工具。它可以透過 Internet
直接從您的 「中央隔離所」,將受感染的檔案傳給 「賽門鐵克安全機制應變中
心」,使發現病毒、進行分析然後以電子郵件傳回解毒方法的時間從數天縮短到數
小時,而不久的未來更可能進一步縮減到數分鐘內。
「賽門鐵克安全機制應變中心」的研究專家也會研究與製造防護電腦的技術,讓電
腦不受窺視程式、廣告軟體及駭客工具等其它威脅的入侵。
「賽門鐵克安全機制應變中心」的百科全書擁有詳盡的病毒與其它威脅資訊。必要
時,他們會提供關於刪除或移除該威脅的資訊。百科全書位於 「賽門鐵克安全機
制應變中心」網站。
請參閱第 37 頁的 「存取 Symantec Security Response ( 賽門鐵克安全機制應變中
心 ) 網站」。
更新病毒防護的方式
您的防毒管理員會決定更新您病毒定義檔的方式。您不需要做任何事,便可以收到
新的病毒定義檔。
您的防毒管理員可以設定 Symantec Client Security 中的 LiveUpdate 功能,以確
定您的病毒與其它威脅防護保持最新的狀態。透過 LiveUpdate,Symantec Client
Security 會自動連接特殊的網站、研判您的檔案是否需要更新、下載適當的檔案並
將其安裝至適當的位置。
請參閱第 33 頁的 「更新病毒防護」。
介紹 Symantec Client Security 防毒用戶端
Symantec Client Security 能保有最新的防護能力的原因
23
24
介紹 Symantec Client Security 防毒用戶端
Symantec Client Security 能保有最新的防護能力的原因
Chapter
3
Symantec Client Security 防毒 用戶端基礎篇
本章包含以下主題:
Q 開啟 Symantec Client Security 防毒用戶端
Q 瀏覽 Symantec Client Security 防毒用戶端主視窗
Q 啟動與停用自動防護
Q 暫停和延緩掃描
Q 更新病毒防護
Q 如需詳細資訊
開啟 Symantec Client Security 防毒用戶端
有數種開啟 Symantec Client Security 防毒用戶端 的方式。
開啟 Symantec Client Security 防毒用戶端
X 執行下列其中一個動作:
Q 在 Windows 工作列上,連按兩下 Symantec Client Security 防毒用戶端
圖示。
您的防毒管理員可決定是否要將此圖示顯示在工作列上。
Q 請選取 Windows 工作列上的 「開始」 > 「程式集」 >Symantec Client
Security > Symantec AntiVirus。
Q 在 Windows XP 工作列上,按下 「開始」 > 「程式集」 > Symantec
Client Security > Symantec AntiVirus。
26
Symantec Client Security 防毒用戶端基礎篇
瀏覽 Symantec Client Security 防毒用戶端主視窗
瀏覽 Symantec Client Security 防毒用戶端主視窗
Symantec Client Security 防毒用戶端 主視窗分為兩個窗格。左邊的窗格會分門別
類地列出您可以執行的活動。例如,「掃描」類別之下有 「掃描磁片」和 「掃描
電腦」等作業。左窗格中的每一個圖示都代表一個類別。當您選取左窗格中的類別
與其它項目時,右窗格會顯示執行作業所需的資訊。
瀏覽 Symantec Client Security 防毒用戶端 主視窗
X 在左窗格中,執行下列動作之一:
Q 按下 + 號可將資料夾展開。
Q 按下 - 號則將資料夾收合。
Q 選取任何一個項目,其相關資訊便會顯示在右窗格內。
檢視 Symantec Client Security 防毒用戶端類別
使用 Symantec Client Security 防毒用戶端 防毒用戶端執行的活動可以分為七個主
要類別。每個類別都有一些您可以設定的選項。
下表並不討論您可以變更的個別選項,而是提供選項功能以及您如何找到這些選項
的一般性說明。關於選項的特定資訊,請參閱線上說明。
Symantec Client Security 防毒用戶端基礎篇
瀏覽 Symantec Client Security 防毒用戶端主視窗
檢視類別
您可以使用 「檢視」類別來追蹤防毒活動。
表 3-1 檢視類別
選項 說明
自動防護掃描統計 檢視有關 「自動防護」掃描狀態的統計數據,包括最
後所掃描的檔案 ( 即使並未感染病毒 )。
排程掃描 檢視預先建立在您電腦上執行的所有排程掃描清單,包
括掃描作業名稱、排定執行時間及建立者姓名。排程掃
描應由貴公司的防毒管理員或您本人建立。
隔離所 管理已隔離的中毒檔案以防其四處散播。
Symantec Client Security 只會將受病毒感染的檔案移
到 「隔離所」目錄。但不會移動如窺視程式和廣告軟
體等其它威脅。
請參閱第 53 頁的 「重新掃描隔離所內的檔案」。
備份項目 刪除中毒檔案的備份複本。Symantec Client Security
防毒用戶端 會在嘗試修複動作前先備份中毒項目的複
本,作為資料安全防護屏障。在確認了 Symantec
Client Security 防毒用戶端 已清除中毒項目裡的病毒
後,您即應刪除 「備份項目」中的複本。
Symantec Client Security 僅會備份受病毒感染的檔
案。但不會備份如窺視程式和廣告軟體等其它威脅。
請參閱第 55 頁的 「清除備份項目」。
27
修復項目 釋放病毒已清除但檔案位置不明的項目。例如,受感染
的附件可能會從電子郵件訊息中移除而被隔離。當該項
目在 「隔離所」中清除病毒且移至 「修復項目」後,
您必須從 「修復項目」還原該項目,並指定其還原的
位置。
授權 檢視關於目前授權的資訊。目前的授權資訊包含授權狀
態、續號,以及開始和到期日期。您可以啟動授權安裝
精靈。
掃描類別
您可以使用 「掃描」類別來執行對您的電腦進行手動掃描。
表 3-2 掃描類別
選項 說明
掃描磁片 掃描磁片及其它可移式媒體。
28
Symantec Client Security 防毒用戶端基礎篇
瀏覽 Symantec Client Security 防毒用戶端主視窗
表 3-2 掃描類別
選項 說明
掃描電腦 隨時掃描檔案、資料夾、磁碟機或整個電腦。
架構類別
您可以使用 「架構」類別來設定 「自動防護」,以監視檔案和電子郵件附件 ( 適
用於支援的電子郵件用戶端 )。
表 3-3 架構類別
選項 說明
檔案系統自動防護 每當您存取、複製、儲存、移動或開啟任何檔案時,
請參閱第 43 頁的 「起始手動掃描」。
Norton AntiVirus 都會檢查該檔案是否受到病毒感染。
「檔案系統自動防護」包含 SmartScan 功能,啟動時,
甚至可以判斷病毒變更檔案副檔名之後的檔案類型。
請參閱第 41 頁的 「關於自動防護」。
「Lotus Notes 自動防護」和
「Microsoft Exchange 自動防護」
對於群組軟體電子郵件用戶端 (Lotus Notes 和
Microsoft Exchange/Microsoft Outlook 用戶端 ),
Symantec Client Security 防毒用戶端 包含額外的電子
郵件防護。
記錄類別
您可以使用 「記錄」類別來追蹤資訊,包括在電腦上執行的掃描與所發現的病毒
感染等資訊。
表 3-4 記錄類別
選項 說明
威脅記錄 檢視您的電腦所感染的病毒清單以及一些有關感染情況的相
關資訊。檢視安裝在您電腦上的其它威脅資訊,如廣告軟體
與窺視程式。其它威脅的記錄包括 Symantec Security
Response ( 賽門鐵克安全機制應變中心 ) 網站的連結,其會
說明威脅並提供處理指示。
掃描記錄 保留您電腦上過去曾發生的掃描作業記錄。掃描作業會連同
其它相關資訊一併顯示。
事件日誌 檢視您電腦上有關防毒活動方面的記錄,包括架構變更、錯
誤以及病毒定義檔資訊。
Symantec Client Security 防毒用戶端基礎篇
瀏覽 Symantec Client Security 防毒用戶端主視窗
開機掃描類別
您可以在開機時,使用 「開機掃描」類別來建立並架構在開機時要執行的掃描。
表 3-5 開機掃描類別
選項 說明
新增開機掃描 某些使用者會在排程掃描外加上開機掃描以補不足。通常開
機掃描只著重在重要、高風險的資料夾,例如 Windows 資
料夾和儲存 Microsoft Word 與 Excel 範本的資料夾。
請參閱第 46 頁的 「架構開機掃描」。
自訂掃描類別
您可以使用 「自訂掃描」類別,建立您可以手動執行的預先架構掃描。
表 3-6 自訂掃描類別
選項 說明
新增自訂掃描 如果要定期掃描相同的檔案或資料夾,您可以專門針對
這些項目建立自訂掃描。不論何時,您都可以快速確認
指定的檔案與資料夾並未受到病毒感染。
請參閱第 47 頁的 「架構自訂掃描」。
29
排程掃描類別
您可以使用 「排程掃描」類別,建立在您所指定時間自動執行的預先架構掃描。
表 3-7 排程掃描類別
選項 說明
新增排程掃描 針對硬碟排定每週至少一次的掃描作業。排程掃描可確
保您的電腦不會感染病毒。
請參閱第 45 頁的 「建立排程掃描」。
30
Symantec Client Security 防毒用戶端基礎篇
啟動與停用自動防護
啟動與停用自動防護
如果您尚未變更預設選項設定,「自動防護」會在您啟動電腦時載入,以防衛病
毒。它會在程式執行時檢查病毒,並且監視您電腦上任何可能表示病毒存在的活
動。在偵測到病毒或
警示您。
在某些情況下,「自動防護」會警告您有疑似病毒活動,但是您知道此活動並非病
毒所造成的。例如,當您在安裝新的電腦程式時,就會發生這個情況。如果您要進
行這類活動,而且要避免產生警告,您可以暫時停用 「自動防護」。當您已經完成
您的工作時,請確定啟動 「自動防護」以確保您的電腦繼續受到防護。
您的管理員可能因為某種原因鎖定了 「自動防護」,讓您無法停用,或是指定您可
以暫時停用 「檔案自動防護」,但超過指定的時間之後,便會自動重新啟動。
啟動與停用自動防護
Symantec Client Security 防毒用戶端 圖示會顯示在 Windows 桌面右下角的工作
列中。在某些架構中,圖示不會顯示出來。
Symantec Client Security 防毒用戶端 圖示會以完整的防護罩模式出現,而且在啟
動 「自動防護」時,會在 「啟動自動防護」旁邊出現一個勾號。
停用 「自動防護」時,Symantec Client Security 防毒用戶端 圖示則會被一個通
用的禁止符號 ( 一個紅色圓圈,內有一個對角斜線 ) 覆蓋。
疑似病毒活動
( 疑似由病毒執行的事件 ) 時,「自動防護」會
從工作列啟動與停用 「自動防護」
X 在 Windows 桌面的系統匣中,以滑鼠右鍵按下 Symantec Client Security 防
毒用戶端 圖示,然後按下 「啟動自動防護」。
從 Symantec Client Security 防毒用戶端 啟動或停用 「自動防護」
1 在 Symantec Client Security 防毒用戶端 的左窗格中,按下 「架構」。
2 在右窗格中,按下 「自動防護」。
3 勾選或取消勾選 「啟動自動防護」。
4 按下 「確定」。
目前的 「自動防護」狀態會動態更新到勾選框的右側。
暫停和延緩掃描
「暫停」功能可讓您在掃描作業的任一階段停止掃描,並在之後繼續進行。您可以
暫停您起始的任何掃描。您的網路防毒管理員可決定您是否可以暫停管理員排定的
掃描。
對於您的網路防毒管理員所起始的排程掃描,您也可以延遲掃描。如果您的管理員
已啟動 「延緩」功能,則您可以將管理員排定的掃描延緩到設定的間隔時間之後。
繼續進行掃描時,便會從頭開始掃描。
如果您只是要暫時停止,之後要繼續進行掃描,則可暫停掃描。如果您不想中斷掃
描,請使用 「延緩」功能,將掃描延遲到較長的一段時間之後繼續進行,例如,
在您做簡報做到一半時。
暫停或延緩掃描
使用下列步驟,暫停您起始的掃描,或是延緩管理員排定的掃描。如果無法使用
「暫停掃描」按鈕,表示您的網路防毒管理員已停用 「暫停」功能。
附註:當您選擇暫停掃描時,如果 Symantec Client Security 防毒用戶端 防毒用戶
端正在掃描壓縮檔,則可能需要幾分鐘後才會回應。
Symantec Client Security 防毒用戶端基礎篇
暫停和延緩掃描
31
開始掃描
暫停掃描
無論掃描是由您本人
起始或由管理員所排
定,顯示在 「掃描」
對話方塊中的按鈕都
一樣。
暫停掃描
1 執行掃描時,請在 「掃描電腦」對話方塊中,按下 「暫停」圖示。
停止掃描
若是您起始的掃描,掃描會停在目前的階段,而 「掃描」對話方塊也會一直
開著,直到您重新啟動掃描為止。
32
Symantec Client Security 防毒用戶端基礎篇
暫停和延緩掃描
如果是管理員排定的掃描,便會出現 「排程掃描暫停」對話方塊。
2 在 「排程掃描暫停」對話方塊中,按下 「暫停」。
管理員排定的掃描會停在目前的階段,而 「掃描」對話方塊也會一直開著,
直到您重新啟動掃描為止。
3 在 「掃描」對話方塊中,按下 「開始」圖示,繼續進行掃描。
延遲管理員排定的掃描
1 執行管理員排定的掃描時,請在 「掃描」對話方塊中按下 「暫停掃描」。
2 在 「排程掃描暫停」對話方塊中,按下 「延緩 1 小時」或 「延緩 3 小時」。
您的管理員會指定您可以延遲掃描的時間週期。到達所設定的時間週期時,便
會從頭開始掃描。在停用此功能之前,您的管理員會指定您可以延遲排程掃描
的次數。
更新病毒防護
Symantec Client Security 防毒用戶端 防毒用戶端是依賴最新的資訊以偵測與移除
病毒。而發生病毒問題的最常見原因之一就是在完成安裝後並未更新病毒定義檔。
病毒定義檔包含關於所有新發現病毒的相關資訊。
賽門鐵克每週透過 LiveUpdate 和每天透過公佈在 Symantec Security Response
( 賽門鐵克安全機制應變中心 ) 網站上的 Intelligent Updater 檔案,提供更新的病
毒定義檔。( 出現新的高風險性病毒威脅時,也會公佈更新 )。請務必養成每週至
少更新一次病毒定義檔的習慣。自動執行排程 LiveUpdate 是讓您不要忘記更新的
最簡易方法。如果有新的病毒威脅報告出現,請務必立即進行更新。
透過 LiveUpdate,Symantec Client Security 防毒用戶端 防毒用戶端會自動連線
到特定的賽門鐵克 Internet 網站,並決定病毒定義是否需要更新。如果需要,它
會下載適當的檔案,並將其安裝到適當位置。LiveUpdate 還會檢查與下載可用的
Symantec Client Security 防毒用戶端 防毒用戶端修正程式。一般而言,您無須設
定 LiveUpdate 的每項細節。唯一需要的是 Internet 連線。
附註:您的管理員已經指定病毒定義檔可能會過期的最大天數。超過最大天數之
後,若偵測到 Internet 連線,Symantec Client Security 防毒用戶端 防毒用戶端便
會自動執行 LiveUpdate。
Symantec Client Security 防毒用戶端基礎篇
更新病毒防護
33
使用 LiveUpdate 排程病毒防護更新
根據預設值,LiveUpdate 排定在每個星期五晚上八點自動執行。執行排程更新
時,您的電腦必須在開機狀態,並連線到 Internet。
使用 LiveUpdate 排程病毒防護更新
您可以根據個人需求變更 LiveUpdate 的頻率和次數。
附註:在集中管理的網路中,您的系統管理員可能會負責散佈最新的病毒定義檔給
各工作站。此時,您不須執行任何動作。
34
Symantec Client Security 防毒用戶端基礎篇
更新病毒防護
啟動排程 LiveUpdate
1 在 Symantec Client Security 防毒用戶端 的 「檔案」功能表上,按下 「排程
更新」。
2 在 「排定病毒定義檔更新」對話方塊中,勾選 「啟動已排程的自動更新」。
3 按下 「確定」。
4 在 「排定病毒定義檔更新」對話方塊中,按下 「確定」。
設定 LiveUpdate 排程選項
1 在 「排定病毒定義檔更新」對話方塊中,按下 「排程」。
2 在 「病毒定義檔更新排程」對話方塊中,指定您要執行 LiveUpdate 的頻率、
日期和時間。
3 按下 「確定」。
設定進階 LiveUpdate 排程選項
1 在 「病毒定義檔更新排程」對話方塊中按下 「進階」。
2 在 「進階排程選項」對話方塊中,執行下列動作之一:
Q 若要設定 Symantec Client Security 防毒用戶端 防毒用戶端在稍晚時執行
遺漏的已排程 LiveUpdate 事件,可勾選 「在排定時間後的」,並設定天
數。
Q 若要設定 Symantec Client Security 防毒用戶端 防毒用戶端在指定的時間
範圍內 ( 而非所設定的時間 ) 執行已排程的 LiveUpdate 事件,可勾選所
要使用的隨機方法類型,並設定分鐘、星期幾、或日期。
3 按下 「確定」。
利用 LiveUpdate 立即更新病毒防護
報告有新的病毒出現時,切勿等到下一次排程更新,應該立即更新病毒防護。
利用 LiveUpdate 立即更新病毒防護
1 在 Symantec Client Security 防毒用戶端 的左窗格中,按下 Symantec
AntiVirus。
Symantec Client Security 防毒用戶端基礎篇
更新病毒防護
35
2 在右窗格中,按下 LiveUpdate。
3 必要時,在左窗格中按下 「架構」來自訂 LiveUpdate 的 Internet 連線。
您可以變更您的 Internet 服務供應商連線,或是電腦透過 Proxy 伺服器連線
到 Internet 的方式。
如需詳細資訊,請使用 LiveUpdate 的線上說明。
4 按「下一步」開始自動更新。
不透過 LiveUpdate 進行更新
賽門鐵克提供稱為 Intelligent Updater 的特殊程式,可以作為 LiveUpdate 的替代
程式。您可以從 Symantec Security Response ( 賽門鐵克安全機制應變中心 ) 網站
下載更新程式。
請參閱第 37 頁的 「存取 Symantec Security Response ( 賽門鐵克安全機制應變中
心 ) 網站」。
不透過 LiveUpdate 進行更新
1 將 Intelligent Updater ( 智慧更新程式 ) 下載到電腦上的任何資料夾。
2 從 「我的電腦」或 「Windows 檔案總管」視窗,找出並連按兩下 Intelligent
Updater 程式。
36
Symantec Client Security 防毒用戶端基礎篇
如需詳細資訊
3 遵循所有更新程式顯示的提示進行。
Intelligent Updater 程式會在您的電腦上搜尋 Symantec Client Security 防毒
用戶端,然後在適當的資料夾內自動安裝新的病毒定義檔。
4 掃描您的磁碟以偵測新種病毒。
如需詳細資訊
若您需要 Symantec Client Security 防毒用戶端 防毒用戶端的詳細資訊,可以存取
線上說明。此外,您也可以從賽門鐵克的網站取得病毒的相關資訊。
存取線上說明
Symantec Client Security 防毒用戶端 防毒用戶端線上說明列有一般資訊與逐步程
序,可協助您保護電腦不受病毒侵襲。
附註:您的管理員可能已經決定不安裝說明檔。
使用 Symantec Client Security 防毒用戶端 取得說明
X 在 Symantec Client Security 防毒用戶端 中,執行下列其中一個動作:
Q 按下 「說明」功能表內的 「說明主題」。
Q 在右窗格中,按下 「內容」。
此處只顯示螢幕上您可以執行動作的上下文關聯說明。
Symantec Client Security 防毒用戶端基礎篇
如需詳細資訊
存取 Symantec Security Response ( 賽門鐵克安全機制應變中心 ) 網站
如果您連接到 Internet,可以拜訪賽門鐵克安全機制應變中心網站,以檢視下列項
目:
Q 包含關於所有已知病毒資訊的 「病毒百科全書」
Q 關於惡作劇病毒的資訊
Q 關於一般病毒與病毒威脅的白皮書
Q 關於衍生型威脅的一般和詳細資訊
存取賽門鐵克安全機制應變中心網站
X 在您的 Internet 瀏覽器中,鍵入下列網址:
www.symantec.com.tw/region/tw/avcenter
37
38
Symantec Client Security 防毒用戶端基礎篇
如需詳細資訊
Chapter
保護您的電腦不受病毒侵襲
本章包含以下主題:
Q 關於 Symantec Client Security 防毒政策
Q 關於自動防護
Q 掃描病毒
Q 解析掃描結果
Q 排除不進行掃描的檔案
4
關於 Symantec Client Security 防毒政策
Symantec Client Security 預先設定的防毒政策適用於大部分的使用者。但是您可
以依照個人需求變更設定。您也可以個別自訂 「自動防護」、手動、排程、開機和
自訂掃描的政策設定。
防毒政策會決定:
Q 要掃描的內容
Q 偵測到病毒時要執行什麼動作
要掃描的內容
Symantec Client Security 「自動防護」預設會掃描所有檔案類型。手動、排程、
開機及自訂掃描預設也會檢視所有檔案類型。
「自動防護」包括 SmartScan,它會掃描含有 「程式副檔名清單」中之副檔名的
所有檔案。無論這些所有執行檔及 Microsoft Office 文件的副檔名是否列在 「程式
副檔名清單」中,SmartScan 也會掃描它們。
請參閱第 42 頁的 「修改自動防護與使用 SmartScan」。
40
保護您的電腦不受病毒侵襲
關於 Symantec Client Security 防毒政策
您可以選擇根據副檔名或檔案類型 ( 文件與程式 ) 來掃描檔案,不過病毒防護能力
會降低。
您也可以選擇不要掃描特定檔案。例如,如果有您知道並未感染病毒的檔案在掃描
過程中觸發病毒警示,則可將該檔案從後續的掃描中排除,以防出現更多的警告。
依照檔案類型或副檔名掃描
Symantec Client Security 可以依照檔案類型或副檔名掃描您的電腦。
選取要掃描的檔案類型
1 在 Symantec Client Security 的左窗格中,選取您要變更的掃描。
2 按下 「選取的」,然後按下 「類型」。
3 選取下列一個或多個檔案類型:
Q 如果您選取手動掃描,按下 「選項」。
Q 如果您選取開機、自訂或排程掃描,按下要變更的掃描名稱,然後按下
「編輯」。
這些變更只會套用到您所選取的特定掃描。
Q 如果您選取 「自動掃描」,跳至步驟 2。
Q 文件檔:包括 Word 與 Excel 文件,以及與這些文件相關的範本檔。
Q 程式檔:包括動態連結程式庫 (.dll)、批次檔 (.bat)、通訊檔 (.com)、執行
檔 (.exe) 與其它程式檔。
4 若是手動掃描,如果您想要在後續所有手動掃描永久使用這些動作,按下
「儲存設定」。
5 按下 「確定」。
偵測到病毒時要執行什麼動作
Symantec Client Security 防毒用戶端 會以相關動作與備份作業來因應處理受到感
染的檔案。根據預設,當 「自動防護」或掃描作業偵測到病毒時,Symantec
Client Security 防毒用戶端 會嘗試清除受感染檔案的病毒。如果 Symantec Client
Security 防毒用戶端 無法清除檔案裡的病毒,便會進行備份作業以記錄病毒清除
失敗,並將受感染的檔案移到 「隔離所」,使病毒無法擴散,同時讓您無法再存取
該檔案。
根據您的防毒政策,您可以變更這些設定,以便在偵測到病毒時將受感染的檔案刪
除或不予處理 ( 僅加以記錄 )。在 「自動防護」中,您也可以選擇拒絕存取。此外,
您可以針對各種掃描類型,分別為巨集型和非巨集型病毒設定不同的處理作業。
關於自動防護
「自動防護」是防範病毒攻擊的最佳選擇。每當您存取、複製、儲存、移動或開啟
檔案時,「自動防護」都會掃描檔案以確保並未感染病毒。
「自動防護」包括可掃描副檔名群組,包含可執行的程式碼和所有的 .exe 與 .doc
檔的 SmartScan。當病毒變更檔案的副檔名時,SmartScan 可決定該檔案的類
型。例如,即使病毒將 .doc 檔的副檔名變更為其它不同於 SmartScan 原本架構掃
描的副檔名,SmartScan 還是會掃描該檔案。
若要彌補 「自動防護」的不足,Symantec Client Security 防毒用戶端 會在安裝
時,偵測您是否使用支援的群組軟體電子郵件用戶端,並新增對電子郵件的 「自
動防護」。它會針對下列電子郵件用戶端提供防護:
Q Lotus Notes 4.5x、4.6、5.0 和 6.0
Q Microsoft Exchange 5.0 與 5.5、Microsoft Outlook 97、
Symantec Client Security 防毒用戶端 也包括藉由監視所有使用 POP3 或 SMTP 通
訊協定的流量,掃描其它 Internet 電子郵件程式的 「自動防護」。您可以架構
Symantec Client Security 使用 「Bloodhound 病毒偵測」,在內送訊息中掃描威
脅,以及在外寄訊息中掃描已知的啟發式病毒。掃描外寄電子郵件有助於防止威脅
的散播,例如病蟲可以利用電子郵件用戶端,透過網路來自我複製與散佈。
針對 Lotus Notes 與 Microsoft Exchange 電子郵件的掃描,Symantec Client
Security 防毒用戶端 只掃描與電子郵件相關的附件。若是使用 POP3 或 SMTP 通
訊協定的 Internet 電子郵件訊息掃描,Symantec Client Security 會掃描訊息內文
與附加的任何附件。
保護您的電腦不受病毒侵襲
關於自動防護
Microsoft Outlook 98 ( 僅限 MAPI,並非 Internet)、Microsoft Outlook 2000
和 Microsoft Outlook 2002
41
當受支援的電子郵件用戶端啟動 「自動防護」,而且您開啟一封有附件的訊息時,
會立刻將附件下載到電腦並進行掃描。在連線速度慢時,下載具有大型附件的訊息
會影響電子郵件的效能。如果您經常收到大型附件,您可能會想要停用這項功能。
在某些情況下,必須暫時停用 「自動防護」,例如在安裝新軟體時。
請參閱第 30 頁的 「啟動與停用自動防護」。
電子郵件掃描不支援以下的電子郵件用戶端:
Q IMAP 用戶端
Q AOL 用戶端
Q 使用 Secure Sockets Layer (SSL) 的 POP3
Q 網頁型電子郵件,例如 Hotmail 及 Yah o o !
42
保護您的電腦不受病毒侵襲
掃描病毒
附註:電子郵件的 「自動防護」只適用於支援的電子郵件用戶端。它不會保護電
子郵件伺服器。
修改自動防護與使用 SmartScan
「自動防護」預設為掃描所有檔案。掃描所有檔案或使用 SmartScan 可提供最大
的病毒防護效果。在預設的情形下,會啟動 SmartScan。
Symantec Client Security 防毒用戶端 若只掃描選定副檔名的檔案,其速度會較
快,例如 .exe、.com、.dll、.doc 和 .xls。雖然此種方法的防護效果相對較低,卻
仍不失為有效的掃描動作,因為病毒只會感染某些特定的檔案類型。預設的副檔名
清單代表此類檔案較易受到感染。
修改 「自動防護」與使用 SmartScan
1 在 Symantec Client Security 防毒用戶端 的左窗格中,按下 「架構」。
2 在右窗格中,按下 「檔案系統自動防護」。
3 在 「檔案類型」群組方塊中,執行下列其中一個動作:
Q 按下 「所有類型」,以後 Symantec Client Security 防毒用戶端 防毒用戶
端便會掃描所有檔案。
Q 按下 「選取的」,命令 Symantec Client Security 防毒用戶端 防毒用戶端
只掃描符合副檔名清單的檔案,再按下 「副檔名」,變更預設的副檔名清
單。
Q 確保已在 Symantec Client Security 防毒用戶端 中勾選 SmartScan,以
便使用此功能掃描。
4 按下 「確定」以儲存您的設定。
掃描病毒
除了 「自動防護」這種功能最強大的防毒機制外,Symantec Client Security 防毒
用戶端 還提供數種不同類型的掃描作業以增加更強大的防護功效。掃描類型包括:
Q 手動掃描:隨時掃描檔案、資料夾、磁碟機或整個電腦。
Q 排程掃描:按照指定頻率自動執行。
Q 開機掃描:每當開啟電腦及載入 Windows 時即執行。
Q 自訂掃描:隨時掃描指定的檔案集。
只要固定執行 「自動防護」,通常針對所有檔案進行每週一次的排程掃描即已具備
足夠防護效果。如果您的電腦經常受到病毒入侵,可以考慮增加開機掃描或每日進
行排程掃描。另外,最好是養成磁片首次使用時即加以掃描的習慣,尤其是此類磁
片曾經流通使用時。
關於掃描壓縮檔與編碼的檔案
Symantec Client Security 防毒用戶端 可掃描壓縮檔和編碼的檔案,例如 .zip 檔。
您的管理員最多可以指定掃描壓縮檔中 10 層深的壓縮檔。請與管理員聯繫,以決
定所支援的壓縮檔掃描類型。
如果啟動 「自動防護」,便會掃描從壓縮檔移除的任何檔案,以保護電腦。
起始手動掃描
您可以隨時手動掃描病毒與其它威脅,例如廣告軟體與窺視程式。可以選取磁片上
的單一檔案,或甚至整個電腦。
起始手動掃描
您可以從 「我的電腦」或 「Windows 檔案總管」視窗,或是 Symantec Client
Security 防毒用戶端 防毒用戶端主視窗起始掃描。
保護您的電腦不受病毒侵襲
掃描病毒
43
從 Windows 起始手動掃描
X 在 「我的電腦」或 「Windows 檔案總管」視窗內,用滑鼠右鍵按下要掃描的
檔案、資料夾或磁碟,然後按下 「掃描病毒」。
附註:此項功能無法在 64 位元作業系統上使用。
在 Symantec Client Security 防毒用戶端 中起始手動掃描
1 在 Symantec Client Security 防毒用戶端 左窗格中,展開 「掃描」。
2 在左窗格中選取下列動作之一:
Q 掃描磁片
此選項僅適用於有配備軟碟機的電腦。
44
保護您的電腦不受病毒侵襲
掃描病毒
Q 掃描電腦
3 在右窗格中執行下列動作:
Q 連按兩下要開啟或關閉的磁碟機或資料夾。
Q 勾選或取消勾選您想要掃描的項目。
符號的意義如下:
未選取檔案、磁碟機或資料夾。如果該項目是磁碟機或資料夾,其中的
資料夾或檔案亦未被選取。
已選取個別檔案或資料夾。
已選取個別資料夾或磁碟機。該資料夾內的所有項目亦會被選取。
未選取個別資料夾或磁碟機,但資料夾或磁碟機內的一或多個項目已被
選取。
4 按下 「選項」,將已掃描的項目與偵測到病毒時的處理方式變更為預設值。
預設選項會掃描所有檔案、清除受感染檔案的病毒、以及在病毒無法移除時隔
離受感染的檔案。通常只需要變更衍生型威脅與記憶體內之威脅掃描的設定。
您必須在 「掃描選項」對話方塊中同時啟動這些選項。
如果只要將修改過的設定套用到目前進行的掃描,按下 「確定」。若希望未來
所有掃描動作均採用新的設定,按下 「儲存設定」。
5 按下 「掃描」。
Symantec Client Security 防毒用戶端 就會開始掃描並報告結果。
建立排程掃描
保護您的電腦不受病毒侵襲
掃描病毒
排程掃描是威脅防護的一項重要元件。請至少每週排定一次掃描作業,以確保您的
電腦沒有病毒與廣告軟體與窺視程式等其它威脅存在。
附註:如果您的網路防毒管理員已經為您建立排程掃描,便會出現在 「檢視」資
料夾的 「排程掃描」區域中,而不是在 「排程掃描」資料夾中。「排程掃描」資
料夾只會顯示您已經排程的掃描。
建立已排程的掃描
1 在 Symantec Client Security 防毒用戶端 左窗格中,按下 「排程掃描」。
2 在右窗格中,按下 「新增排程掃描」。
3 輸入掃描的名稱和說明。
例如,將掃描作業稱為 Friday at 4。
4 按「下一步」。
5 設定掃描的頻率。
45
6 按「下一步」。
7 勾選樹狀目錄控制中的方塊以指定要掃描的位置。
您可以勾選任何東西,從整個電腦到單一檔案。
請參閱第 43 頁的 「起始手動掃描」。
46
保護您的電腦不受病毒侵襲
掃描病毒
架構開機掃描
8 按下 「選項」,將已掃描的項目與偵測到病毒時的處理方式變更為預設值。
預設選項會掃描所有檔案、清除受感染檔案的病毒、以及在病毒無法移除時隔
離受感染的檔案。通常只需要變更衍生型威脅與記憶體內之威脅掃描的設定。
您必須在 「掃描選項」對話方塊中同時啟動這些選項。
如果只要將修改過的設定套用到目前進行的掃描,按下 「確定」。若希望未來
所有掃描動作均採用新的設定,按下 「儲存設定」。
9 按下 「儲存」。
進行排程掃描時,您的電腦必須開啟,而且必須載入 「Symantec Client
Security 防毒用戶端服務」。(根據預設,「Symantec Client Security 防毒用
戶端服務」會在您開啟電腦時載入 )。
新的掃描會新增到 「排程掃描」資料夾的清單中。
某些使用者會在排程掃描外加上開機掃描以補不足。通常開機掃描只著重在重要、
高風險的資料夾,例如 Windows 資料夾和儲存 Microsoft Word 與 Excel 範本的資
料夾。
附註:若您建立的開機掃描不只一個,則所有掃描動作會依照當初您建立的順序依
次執行。
架構開機掃描
1 在 Symantec Client Security 防毒用戶端 左窗格中,按下 「開機掃描」。
2 在右窗格中,按下 「 新增開機掃描」。
3 輸入掃描的名稱和說明。
4 按「下一步」。
5 勾選樹狀目錄控制中的方塊以指定要掃描的位置。
您可以勾選任何東西,從整個電腦到單一檔案。
請參閱第 43 頁的 「起始手動掃描」。
6 按下 「選項」,將已掃描的項目與偵測到病毒時的處理方式變更為預設值。
預設選項會掃描所有檔案、清除受感染檔案的病毒、以及在病毒無法移除時隔
離受感染的檔案。通常只需要變更衍生型威脅與記憶體內之威脅掃描的設定。
您必須在 「掃描選項」對話方塊中同時啟動這些選項。
如果只要將修改過的設定套用到目前進行的掃描,按下 「確定」。若希望未來
所有掃描動作均採用新的設定,按下 「儲存設定」。
7 按下 「儲存」。
掃描作業會在您開啟電腦及載入 Windows 時即執行。
架構自訂掃描
保護您的電腦不受病毒侵襲
解析掃描結果
如果要定期掃描相同的檔案或資料夾,您可以專門只針對這些項目建立自訂掃描。
不論何時,您都可以快速確認指定的檔案與資料夾並未受到病毒及其它威脅感染。
架構自訂掃描
您可以建立自訂掃描,並隨時手動執行。
建立自訂掃描
1 在 Symantec Client Security 防毒用戶端 的左窗格中,按下 「自訂掃描」。
2 在右窗格中,按下 「新增自訂掃描」。
3 輸入掃描的名稱和說明。
4 按「下一步」。
5 勾選樹狀目錄控制中的方塊以指定要掃描的位置。
您可以勾選任何東西,從整個電腦到單一檔案。
請參閱第 43 頁的 「起始手動掃描」。
6 按下 「選項」,將已掃描的項目與偵測到病毒時的處理方式變更為預設值。
預設選項會掃描所有檔案、清除受感染檔案的病毒、以及在病毒無法移除時隔
離受感染的檔案。通常只需要變更衍生型威脅與記憶體內之威脅掃描的設定。
您必須在 「掃描選項」對話方塊中同時啟動這些選項。
如果只要將修改過的設定套用到目前進行的掃描,按下 「確定」。若希望未來
所有掃描動作均採用新的設定,按下 「儲存設定」。
47
7 按下 「儲存」。
執行自訂掃描
1 在 Symantec Client Security 防毒用戶端 的左窗格中,展開 「自訂掃描」。
2 連按兩下已存檔的自訂掃描。
解析掃描結果
每當執行手動、排程、開機或自訂掃描時,Symantec Client Security 防毒用戶端
會顯示 「掃描電腦」對話方塊來報告進度。您可以暫停、重新啟動或停止掃描作
48
保護您的電腦不受病毒侵襲
排除不進行掃描的檔案
業。當掃描作業完成時,結果即會顯現在清單方塊中。若未偵測到任何病毒,清單
方塊將呈空白,且狀態為 「已完成」。
如果進行掃描時偵測到病毒,對話方塊會列出受感染檔案的名稱、病毒名稱和所採
取的行動。根據預設,每當偵測到病毒時,系統還會發出警示。
請參閱第 51 頁的 「對受感染的檔案採取的動作」。
附註:在集中管理的網路中,管理員起始的掃描作業可能不會出現在 「掃描電腦」
對話方塊中。同樣地,您的管理員可能會選擇遇到病毒時不要顯示警示。
排除不進行掃描的檔案
在一些罕見的情況下,有些未帶病毒的檔案會被誤判為已受到感染。可能的原因在
於特定的病毒定義檔設計是用來擷取所有可能的變種病毒。因為病毒定義檔一定會
很廣泛,所以有時候 Symantec Client Security 防毒用戶端 會將未感染病毒的檔案
誤判為已受到感染。
如果 Symantec Client Security 防毒用戶端 繼續將未感染病毒的檔案誤判為已受到
感染,您可將該檔案從掃描項目中排除。所謂排除項目是指您不希望或不需要進行
掃描的項目。
保護您的電腦不受病毒侵襲
排除不進行掃描的檔案
如果資料夾中包含可能被偵測為威脅的軟體,例如追蹤軟體,且您公司的安全性政
策允許您執行該軟體,您也可以排除該資料夾。
請參閱第 19 頁的 「關於其它威脅類別」。
針對以下每一種掃描類型分別設定排除項目:「自動防護」、手動、排程、開機或
自訂。不過,其間的設定程序都完全相同。
警告:請務必小心處理排除項目。將某一檔案排除在掃描作業之外時,如果該檔案
未來遭受感染,系統亦不會對其採取任何動作。而這可能會對您的電腦安全造成潛
在的危險。
排除某檔案進行掃描
1 在 Symantec Client Security 防毒用戶端 中,執行下列其中一個動作:
Q 對於檔案系統的 「自動防護」,請在左窗格中按下 「架構」,然後在右窗
格中按下 「自動防護」。
Q 對於電子郵件附件的 「自動防護」,請在左窗格中按下 「架構」,然後在
右窗格中按下 「Lotus Notes 自動防護」或 「Microsoft Exchange 自動
防護」。
Q 至於其它各類型的掃描作業,則請在指定掃描類型的窗格中按下 「選
項」。
2 勾選 「排除選取的檔案及資料夾」。
49
3 按下 「排除」以指定要排除的檔案,再按下 「確定」。
4 若要啟動預先掃描的排除項目,請勾選 「在掃描前檢查要排除的檔案」。
不同的情況會決定此選項影響掃描效能的方式。例如:
Q 如果您複製排除清單中的大型資料夾,並已啟動 「在掃描前檢查要排除
的檔案」,其複製過程將較短,因為該資料夾的內容已排除在掃描作業
之外。
Q 如果您要複製不屬於排除清單中的大型資料夾,停用 「在掃描前檢查要
排除的檔案」可改善效能。
5 按下 「副檔名」。
6 指定要排除的檔案類型。
您可以使用 ? 萬用字元來指定任何字元。例如,XL? 將會排除 .xls、.xlt、.xlw
及 .xla 等類型的檔案。
7 按下 「檔案 / 資料夾」。
8 指定要排除的內容。
9 按下 「確定」。
50
保護您的電腦不受病毒侵襲
排除不進行掃描的檔案
Chapter
如果發現病毒或其它威脅時 要採取什麼行動
本章包含以下主題:
Q 對受感染的檔案採取的動作
Q 管理隔離所
Q 處理衍生型威脅類別中的威脅
5
對受感染的檔案採取的動作
Symantec Client Security 防毒用戶端 對於 「自動防護」和各類掃描作業所設的
預設選項,是偵測到受感染檔案即加以清除,但若無法清除病毒即將檔案移入
「隔離所」。
如果受感染的檔案已被修復,您不必採取其它動作來防護您的電腦。
一旦完成掃描,您可以從 「掃描電腦」對話方塊立即處理受感染的檔案。例如,
您可能會決定將已清除病毒的檔案刪除,因為您想要以原始檔案取代該檔案。
若要稍後處理受感染的檔案,您也可以在 「威脅記錄」或 「隔離所」中進行。
請參閱第 53 頁的 「重新掃描隔離所內的檔案」。
附註:在集中管理的網路中,管理員起始的掃描作業可能不會出現在 「掃描電腦」
對話方塊中。同樣地,您的管理員可能會選擇遇到病毒時不要顯示警示。
52
如果發現病毒或其它威脅時要採取什麼行動
管理隔離所
處理受感染的檔案
1 執行下列其中一個動作:
Q 一旦掃描完成,在 「掃描電腦」對話方塊中,選取您所要的檔案。
Q 在 Symantec Client Security 防毒用戶端 左窗格中,展開 「記錄」,按下
2 在檔案上按下滑鼠右鍵,再選取下列其中一個項目:
Q 復原:如果可以,請改採前一個回應動作
Q 清除:移除檔案中的病毒
Q 永久刪除:刪除受到感染的檔案
Q 移到隔離所:將受到感染的檔案置入 「隔離所」內
Q 屬性:顯示關於病毒的資訊
根據您預設的病毒偵測行動,有些選項可能會無法執行。
「威脅記錄」,接著在右窗格中,選取您所要的檔案。
管理隔離所
有時候 Symantec Client Security 防毒用戶端 會偵測到目前其病毒定義無法消滅的
未知病毒,或者您認為某個檔案已經受到感染,但 Norton AntiVirus 卻未在該檔
案內偵測到任何病毒。「隔離所」可將電腦上受感染的檔案安全地予以隔離。已隔
離的病毒即無法隨意散佈。
檔案被置入 「隔離所」的方式有兩種:
Q Symantec Client Security 防毒用戶端 根據其設定,將進行 「自動防護」或掃
描作業時所偵測到的受感染項目移至 「隔離所」。
Q 您可以手動選取某一個檔案,並將其加入至 「隔離所」。
Symantec Client Security 防毒用戶端 對於 「自動防護」和各類掃描作業所設的
預設選項,是偵測到受感染檔案即加以清除,但若無法清除病毒即將檔案移入
「隔離所」。
附註:Symantec Client Security 不會將其它威脅 ( 例如窺視程式與廣告軟體 ) 置
入至 「隔離所」中。
手動將檔案加入至隔離所
1 在 Symantec Client Security 防毒用戶端 左窗格中,按下 「檢視」。
2 在右窗格中,按下 「隔離所」。
3 在工具列上,按下 「將檔案新增至隔離所」。
4 尋找檔案,並按下 「新增」。
5 按下 「關閉」。
重新掃描隔離所內的檔案
如果有檔案被移入 「隔離所」,請即更新您的病毒定義檔。根據管理員架構 「隔
離所」的方式,在更新病毒定義檔之後,便會自動掃描、清除和還原 「隔離所」
中的檔案,或者出現 「修復精靈」,讓您重新掃描 「隔離所」中的檔案。
如果重新掃描 「隔離所」中的檔案之後,仍無法移除病毒,請將受感染的檔案傳
送給 Symantec Security Response ( 賽門鐵克安全機制應變中心 ) 進行分析。他們
會開發出新的病毒定義檔以偵測及清除該病毒,而且會以電子郵件方式送交此檔案
給您。
請參閱第 56 頁的 「傳送可能感染病毒的檔案給 Symantec Security Response ( 賽
門鐵克安全機制應變中心 ) 進行分析」。
如果發現病毒或其它威脅時要採取什麼行動
管理隔離所
53
使用 「修復精靈」重新掃描 「隔離所」中的檔案
1 如果出現 「修復精靈」,按下 「是」。
54
如果發現病毒或其它威脅時要採取什麼行動
管理隔離所
2 按「下一步」,然後按照螢幕上的指示,重新掃描 「隔離所」中的檔案。
手動重新掃描檔案
您可以手動重新掃描 「隔離所」中的檔案。
手動重新掃描 「隔離所」中的檔案
1 更新病毒定義檔。
請參閱第 33 頁的 「更新病毒防護」。
2 在 Symantec Client Security 防毒用戶端 左窗格中,按下 「檢視」。
3 在右窗格中,按下 「隔離所」。
4 從 「隔離所」清單內選出該檔案。
5 執行下列其中一個動作:
Q 在檔案上按下滑鼠右鍵,再按 「清除」。
Q 在工具列的右窗格中,按下 「清除」。
6 按下 「開始清除」。
系統即會以新的定義檔再次掃描該檔案,並將其放到原來的位置。
何時修復的檔案無法放回原來的位置
有時候,乾淨的檔案並沒有可供還原的位置。例如,受感染的附件可能是從電子郵
件中移除,而並被送至 「隔離所」。在這種特殊的情況下,已清除病毒的檔案將會
被置入 「修復項目」。您必須釋放該檔案並指定一個位置。
從修復項目資料夾釋放完成除毒的檔案
1 在 Symantec Client Security 防毒用戶端 左窗格中,按下 「檢視」。
2 在右窗格中,按下 「修復項目」。
清除備份項目
如果發現病毒或其它威脅時要採取什麼行動
管理隔離所
3 在檔案上按下滑鼠右鍵,再按 「還原」。
4 指定已除毒檔案的位置。
Symantec Client Security 防毒用戶端 會根據其設定,在嘗試修復前先備份中毒的
檔案,作為資料安全防護屏障。受感染的項目成功清除病毒後,您應該從 「備份
項目」手動刪除該檔案,因為其備份仍然會受到感染。您也可以設定自動刪除檔案
的時間週期。
請參閱第 56 頁的 「自動清除隔離所、備份項目和修復項目中的檔案」。
附註:Symantec Client Security 防毒用戶端 不會備份其它的威脅,例如窺視程式
與廣告軟體。
手動清除備份項目
1 在 Symantec Client Security 防毒用戶端 左窗格中,按下 「檢視」。
2 在右窗格中,按下 「備份項目」。
3 在 「備份項目」清單中選取一個或多個檔案。
4 執行下列其中一個動作:
Q 在檔案上按下滑鼠右鍵,再按 「永久刪除」。
Q 在工具列的右窗格中,按下 「刪除」。
5 在 「因應措施」對話方塊中,按下 「 開始刪除」。
6 按下 「關閉」。
55
從隔離所刪除檔案
您可以從 「隔離所」手動刪除不再需要的檔案。您也可以設定自動刪除檔案的時
間週期。
請參閱第 56 頁的 「自動清除隔離所、備份項目和修復項目中的檔案」。
附註:您的管理員可以指定該項目可保留在 「隔離所」中最大天數。在時間限制
之後,便會自動從 「隔離所」中刪除該項目。
從 「隔離所」手動刪除檔案
1 在 Symantec Client Security 防毒用戶端 左窗格中,按下 「檢視」。
2 在右窗格中,按下 「隔離所」。
56
如果發現病毒或其它威脅時要採取什麼行動
管理隔離所
3 在 「隔離項目」清單中選取一個或多個檔案。
4 在檔案上按下滑鼠右鍵,再按 「永久刪除」。
5 在 「因應措施」對話方塊中,按下 「 開始刪除」。
6 按下 「關閉」。
自動清除隔離所、備份項目和修復項目中的檔案
您可以設定 Symantec Client Security 防毒用戶端 在指定的時間間隔之後,自動刪
除 「隔離所」、「備份項目」和 「修復項目」中的項目。這可防止您在建立這些檔
案之後,忘記將它們從這些區域中手動移除。
自動清除檔案
1 在 Symantec Client Security 防毒用戶端 左窗格中,按下 「檢視」。
2 在右窗格中,選取下列動作之一:
Q 隔離所
Q 備份項目
Q 修復項目
3 按下 「清除選項」。
4 在 「清除選項」對話方塊中,勾選 「啟動自動清除檔案」。
5 在 「選取清除檔案的時間」文字方塊中,鍵入數字或按下箭頭來選取數字。
6 選取時間間隔。
7 按下 「確定」。
8 按下 「關閉」。
傳送可能感染病毒的檔案給 Symantec Security Response ( 賽門鐵克 安全機制應變中心 ) 進行分析
有時候,Symantec Client Security 防毒用戶端 可能無法清除檔案中的病毒。或
者,您懷疑某一個檔案已受到感染但卻無法偵測到。「賽門鐵克安全機制應變中
心」會分析您的檔案來確認它是否受到感染。如果在您所傳送的檔案中發現新種病
毒,「賽門鐵克安全機制應變中心」會建立特殊的更新病毒定義並傳送給您,用以
偵測並消滅此種新病毒。您必須有 Internet 連線來傳送樣本以及電子郵件位址來
接收回覆。
附註:在集中管理的網路中,傳送檔案給 Symantec Security Response ( 賽門鐵克安
全機制應變中心 ) 通常是由 「賽門鐵克中央隔離所」的防毒管理員負責處理。在此
情況下,Symantec Client Security 防毒用戶端 的版本將無法使用 「提交至賽門鐵克
安全機制應變中心」選項。另外,如果管理員將未管理的用戶端設成不允許傳送到
「賽門鐵克安全機制應變中心」,「提交至賽門鐵克安全機制應變中心」選項亦不會
顯現。
從 「隔離所」將檔案傳送到賽門鐵克安全機制應變中心
1 在 Symantec Client Security 防毒用戶端 左窗格中,按下 「檢視」。
2 在右窗格中,按下 「隔離所」。
3 從隔離項目清單中選取檔案。
4 在工具列的右窗格中,按下 「提交至賽門鐵克安全機制應變中心」。
5 遵照精靈中的指示,蒐集必要資訊並傳送檔案以供分析。
分析結果會以電子郵件通知您,如果情況許可,還會附上最新的病毒定義。
處理衍生型威脅類別中的威脅
如果發現病毒或其它威脅時要採取什麼行動
處理衍生型威脅類別中的威脅
57
在 Symantec Client Security 防毒用戶端 掃描特定的威脅類型之前,您必須啟動衍
生型威脅偵測。
一旦掃描完成,您可以從 「掃描電腦」對話方塊或從 「威脅記錄」中回應其它的
威脅。
處理衍生型威脅類別中的威脅
1 執行下列其中一個動作:
Q 一旦掃描完成,在 「掃描電腦」對話方塊中,連按兩下您所要的檔案。
Q 在 Symantec Client Security 防毒用戶端 左窗格中,展開 「記錄」,按下
「威脅記錄」,接著在右窗格中,連按兩下您所要的檔案。
2 在 Symantec Security Response ( 賽門鐵克安全機制應變中心 ) 網站上讀取關
於威脅的資訊,然後採取建議的動作。
請參閱第 20 頁的圖 2-1,「賽門鐵克安全機制應變中心的衍生型威脅說明」。
58
如果發現病毒或其它威脅時要採取什麼行動
處理衍生型威脅類別中的威脅
Section
2
Symantec Client Security 防火牆
用戶端
Q 介紹 Symantec Client Security 防火牆用戶端
Q Symantec Client Security 防火牆用戶端基礎篇
Q 使用網路偵測與區域
Q 防範入侵
Q 防護網頁瀏覽階段作業
Q 監視 Symantec Client Security 防火牆用戶端
60
Chapter
6
介紹 Symantec Client Security 防火牆用戶端
本章包含以下主題:
Q Symantec Client Security 防火牆用戶端的新增功能
Q 關於 Symantec Client Security 防火牆用戶端
Q Symantec Client Security 防火牆用戶端與 Symantec Client Security
Q Symantec Client Security 防火牆用戶端功能
62
介紹 Symantec Client Security 防火牆用戶端
Symantec Client Security 防火牆用戶端的新增功能
Symantec Client Security 防火牆用戶端的新增功能
Symantec Client Security 防火牆用戶端現在包含以下的功能:
設定值管理員 讓您匯入與匯出政策檔,提供備份與還原功能。
請參閱第 75 頁的 「匯出及匯入政策檔」。
網路偵測 讓您依照用來連接到 Internet 的網路存取點,執行特定的規則組
與區域。
請參閱第 83 頁的 「使用網路偵測」。
安全通訊埠 特洛伊木馬程式規則完整地定義安全通訊埠,因此分配給這些通
訊埠的流量,包含入埠與離埠,將不會觸發防火牆規則資料庫的
檢查。
請參閱第 111 頁的 「使用安全通訊埠」。
隱私權控管 攔截電子郵件與即時訊息中的私人資訊 ( 增強版 )。
請參閱第 119 頁的 「關於防護您的隱私權」。
廣告攔截 可讓您針對特定的網站與 HTML 字串來調整設定 ( 增強版 )。
請參閱第 129 頁的 「使用進階網站內容設定」。
日誌檢視器 協助您查看 Symantec Client Security 防火牆用戶端所採取的所
有動作,以保護您的電腦 ( 改進版 )。
請參閱第 139 頁的 「使用日誌檢視器」。
介紹 Symantec Client Security 防火牆用戶端
關於 Symantec Client Security 防火牆用戶端
關於 Symantec Client Security 防火牆用戶端
Symantec Client Security 防火牆用戶端會防止電腦受到駭客入侵、保護您的隱私
權,以及除非必要的網路流量來源。
駭客無法透過您公司的
防火牆窺探您的電腦
Internet
Symantec Client
Symantec Client
Security 防火牆用戶
端會監視來自
Internet 的存取嘗試
Security 防火牆用戶端
能允許或攔截您建立的
通訊
63
防火牆
用戶端電腦
Symantec Client Security 防火牆用戶端會在您的電腦與 Internet 之間設下一道護
欄。防火牆也會防止未經授權的使用者存取 Internet 上連接的個人電腦和網路。
當您連接 Internet 時,Symantec Client Security 防火牆用戶端會防止未經授權的
使用者存取您的電腦、偵測可能的駭客攻擊、保護您的個人資訊,以及免除非必要
的網路流量來源。
64
介紹 Symantec Client Security 防火牆用戶端
Symantec Client Security 防火牆用戶端與 Symantec Client Security
Symantec Client Security 防火牆用戶端與 Symantec Client Security
Symantec Client Security 防火牆用戶端 是 Symantec Client Security 的其中一個
元件。在用戶端層級,Symantec Client Security 提供下列形式的防護措施:
Q 病毒防護
Q 內容過濾
Q 防火牆
Q 入侵偵測
上述形式的防護會利用識別與解除混合型病毒,來維護用戶端層級的網路安全。混
合型病毒會使用多種方法進行攻擊,包括病蟲、電子郵件、應用軟體弱點,以及控
制系統的網路共用。Code Red 及 Nimda 即為混合型病毒的例子。
Symantec Client Security 也會防範下列病毒類型:
Q 檔案型、開機型及巨集型病毒
Q 遠端控制特洛伊木馬程式
Q 大量轉寄電子郵件型病毒,例如 Love Letter 及 Melissa
Q 動態網路型病毒
如需詳細資訊,請參閱 Symantec Security Response ( 賽門鐵克安全機制應變中心 )
網站的參考區:
www.symantec.com.tw/region/tw/avcenter
Symantec Client Security 防火牆用戶端功能
Symantec Client Security 防火牆用戶端包含數個有助於維護電腦安全的安全性工
具。Internet 安全性是一個需要瞭解的複雜主題,因此 Symantec Client Security
防火牆用戶端現在包含一個 「警示小幫手」,協助您了解安全性問題、建議解決問
題的方式,以及告知您如何預防未來可能發生的安全性問題。
表 6-1 列出 Symantec Client Security 防火牆用戶端提供的各項功能。
表 6-1 Symantec Client Security 防火牆用戶端功能
功能 說明
狀態檢查 追蹤關於目前連線的資訊,如 IP 來源和目的位址、通訊埠、應
用程式等等。確定入埠流量對離埠流量而言是正當的回覆,並確
保規則資料庫的單純化。
請參閱第 106 頁的 「關於狀態檢查」。
介紹 Symantec Client Security 防火牆用戶端
Symantec Client Security 防火牆用戶端功能
表 6-1 Symantec Client Security 防火牆用戶端功能
功能 說明
Internet 狀態 提供您電腦的網路活動快照,讓您可以用來識別正在進行的攻擊
行動,並檢視程式設定影響防護的方式。
請參閱第 135 頁的「關於監視 Symantec Client Security 防火牆
用戶端」。
用戶端防火牆 防護您的電腦免於 Internet 駭客攻擊及未經授權的入侵。讓您的
電腦在 Internet 上虛擬隱形。
保護遠端及漫遊使用者免於駭客的攻擊,並且防止這些系統遭受
駭客入侵,以免駭客從公司網路的後門進行存取。
請參閱第 94 頁的 「Symantec Client Security 防火牆用戶端防
止網路受到攻擊的方式」。
入侵偵測 偵測並攔截外部使用者惡意攻擊您的電腦。
請參閱第 94 頁的 「Symantec Client Security 防火牆用戶端防
止網路受到攻擊的方式」。
隱私權控管 提供您多種控制層級,以便控制使用者、網路瀏覽器、即時傳訊
程式與電子郵件用戶端可以在 Internet 上傳送的各種資訊。
請參閱第 119 頁的 「關於防護您的隱私權」。
65
廣告攔截 排除橫幅廣告和其它載入較慢或有入侵性的內容,以加快您在網
頁上的漫遊速度。Symantec Client Security 防火牆用戶端現在
也會攔截利用 Macromedia Flash 所製作的廣告,並防止網站開
啟在網頁上下方彈出的廣告視窗。
請參閱第 126 頁的 「攔截廣告」。
網路偵測 讓您依照用來連接到 Internet 的網路存取點,執行特定的規則組
與區域。
請參閱第 83 頁的 「使用網路偵測」。
安全通訊埠 特洛伊木馬程式規則完整地定義安全通訊埠,因此分配給這些通
訊埠的流量,包含入埠與離埠,將不會觸發防火牆規則資料庫的
檢查。使用隨機通訊埠的程式不會嘗試使用安全的通訊埠。
請參閱第 111 頁的 「使用安全通訊埠」。
設定值管理員 讓您匯入與匯出政策檔,提供備份與還原功能。
請參閱第 75 頁的 「匯出及匯入政策檔」。
66
介紹 Symantec Client Security 防火牆用戶端
Symantec Client Security 防火牆用戶端功能
表 6-1 Symantec Client Security 防火牆用戶端功能
功能 說明
VPN 支援 讓 Symantec Client Security 防火牆用戶端與下列的虛擬私人網
路 (VPN) 搭配使用:
Q Check Point
Q Nortel Contivity
Q Microsoft
Q IPass
Q Fiberlink
大部分的 VPN 在 VPN 用戶端作用時,您在區域網路上看不到
Internet 或其它電腦。您僅能透過您所連接的 VPN 伺服器,查
看可用的連線。在加密的連線上,不支援 「廣告攔截」和 「隱
私權控管」。
Chapter
Symantec Client Security
防火牆用戶端基礎篇
本章包含以下主題:
Q 存取 Symantec Client Security 防火牆用戶端
Q 使用 Symantec Client Security 防火牆用戶端
Q 自訂 Symantec Client Security 防火牆用戶端
Q 匯出及匯入政策檔
7
Q 暫時停用 Symantec Client Security 防火牆用戶端
Q 透過 LiveUpdate 隨時保持最新狀態
Q 如需詳細資訊
存取 Symantec Client Security 防火牆用戶端
在安裝完畢後,Symantec Client Security 防火牆用戶端會自動防護被安裝的電
腦。您無須啟動要防護的程式。
存取 Symantec Client Security 防火牆用戶端
X 執行下列其中一個動作:
Q 在 Windows 系統匣中,連按兩下 Symantec Client Firewall 圖示。
68
Symantec Client Security 防火牆用戶端基礎篇
存取 Symantec Client Security 防火牆用戶端
Q 在 Windows 工作列上,按下 「開始」 > 「程式集」 > Symantec Client
Security > Symantec Client Firewall。
顯示 Symantec Client Security 防火牆用戶端系統匣功能表
Symantec Client Security 防火牆用戶端會將圖示新增至 Windows 系統匣。根據
預設,Symantec Client Security 防火牆用戶端系統匣圖示會出現在您電腦螢幕的
右下角。按下此圖示可開啟包含常用之 Symantec Client Security 防火牆用戶端工
具的功能表。
顯示 Symantec Client Security 防火牆用戶端系統匣功能表
X 在圖示上按下滑鼠右鍵。
Symantec Client Security 防火牆用戶端基礎篇
使用 Symantec Client Security 防火牆用戶端
附註:Symantec Client Security 防火牆用戶端的 「選項」視窗可讓您覆寫預設值
和隱藏 Symantec Client Security 防火牆用戶端的系統匣圖示。此外,這個視窗包
含不顯示 「選項」、「日誌檢視器」和 「統計值」功能表選項的可架構設定。
在系統匣功能表上,您可以選擇:
Q 顯示 Symantec Client Security 防火牆用戶端主視窗。
Q 攔截所有流量並允許規則所允許所有流量。
Q 顯示 「選項」視窗。
Q 顯示 「日誌檢視器」。
Q 顯示 「統計值」視窗。
Q 顯示關於 Symantec Client Security 防火牆用戶端的背景資訊,例如版本編號。
Q 顯示 「說明」。
Q 啟動與停用 Symantec Client Security 防火牆用戶端。
使用 Symantec Client Security 防火牆用戶端
69
Symantec Client Security 防火牆用戶端會在背景作業。依據您的使用者層級,只
有在程式警示您關於新的網路連線及可能的問題時,您才會與程式進行互動,或者
您可以完整存取使用者介面的功能。您可以控制您會接收到的警示數目,以及程式
如何解決潛在的安全性問題。
Symantec Client Security 防火牆用戶端使用者層級
您的使用者層級會決定您可以使用的功能。使用者層級係由系統管理員所定義。
「管理員」使用者層級可以執行表 7-1 中所列的所有作業。其中也列出了 「一般」
及 「受限」使用者層級的權限能力。
表 7-1 Symantec Client Security 防火牆用戶端使用者存取層級
作業 一般使用
啟動或停用防火牆。
啟動或停用 「隱私權控管」。
啟動或停用 「入侵偵測」。
啟動或停用 「自動攔截」。
啟動或停用 「安全通訊埠」。
者層級
限制使用
者層級
70
Symantec Client Security 防火牆用戶端基礎篇
使用 Symantec Client Security 防火牆用戶端
表 7-1 Symantec Client Security 防火牆用戶端使用者存取層級
作業 一般使用
者層級
使用 「設定值管理員」。
新增與移除 「私人資訊攔截」的資料。
新增、修改或刪除解除鎖定的規則。
修改解除鎖定的規則優先順序。
從 「現在被自動攔截所攔截的電腦」視窗中移除電腦。
從 「現在被自動攔截所攔截的電腦」中將電腦新增至 「限制」
區域。
將電腦新增至 「限制」及 「信任」區域,或是從 「限制」及
「信任」區域移除電腦。
排除特徵不受 「入侵偵測」監視。
排除 IP 位址不受自動攔截攔截。
執行 「應用程式掃描」。
存取 「進階防火牆選項」。
移除 Symantec Client Security 防火牆用戶端。
啟動或停用 「網路偵測程式」。
啟動或停用 「自動程式控管」。
限制使用
者層級
修改 Symantec Client Security 防火牆用戶端設定。
修改 「隱私權控管」設定。
修改 「廣告攔截」設定。
變更 「報告等級」。
檢視 「事件日誌」。
修改 「事件日誌」。
檢視 「統計值」。
攔截進出您電腦的流量。
重設統計值。
清除 「入侵偵測」狀態。
執行 LiveUpdate。
Symantec Client Security 防火牆用戶端基礎篇
使用 Symantec Client Security 防火牆用戶端
表 7-1 Symantec Client Security 防火牆用戶端使用者存取層級
71
作業 一般使用
者層級
存取說明檔。
變更 Symantec Client Security 防火牆用戶端防護功能的設定
Symantec Client Security 防火牆用戶端的預設值會提供一個安全、自動且有效的
方式來防護您的電腦。如果您想要變更或自訂您的防護,您可以從 「狀態與設定」
視窗中,存取所有的 Symantec Client Security 防火牆用戶端工具。
變更 Symantec Client Security 防火牆用戶端防護功能的設定
1 在主視窗中,按下 「狀態與設定」。
2 連按兩下您想要自訂的功能。
3 架構功能。
4 當您完成變更時,按下 「確定」。
回應 Symantec Client Security 防火牆用戶端的警示
Symantec Client Security 防火牆用戶端會監視進出您電腦的通訊活動,讓您知道
何時發生危及安全性的活動。
Symantec Client Security 防火牆用戶端顯示下列警示類型:
Q 安全性
Q ActiveX
限制使用
者層級
Q 隱私權控管
Q Cookie
Q 入侵偵測
Q Internet 通訊協定
Q Java
Q 聽取
Q 啟動程式
Q 模組指紋 (Module finger printing)
Q 服務監測
Q 網路偵測
Q DNS
72
Symantec Client Security 防火牆用戶端基礎篇
使用 Symantec Client Security 防火牆用戶端
Q 特洛伊木馬程式
當警示出現時,請在您決定採取行動之前先閱讀它,並判斷警示類型及威脅等級。
一旦您了解危險,您就可以做選擇。詳細考慮您要做的選擇。當警示啟動時,您的
電腦不會受到攻擊。
Symantec Client Security 防火牆用戶端會藉由選取建議的動作 ( 如果有的話 ),協
助您決定適當的動作。Symantec Client Security 防火牆用戶端無法對所有的警示
提出建議的動作。
並非每個 「安全性警示」都表示嘗試攻擊您電腦的行為。在 Internet 上,有許多
無害的事件會導致 「安全性警示」。部分警示可讓您選取不要再看見這些警示。
使用警示小幫手
每一個 Symantec Client Security 防火牆用戶端警示都包含一個連至 「警示小幫
手」的連結。「警示小幫手」包含下列關於每一個警示的自訂資訊。
Q 警示的類型
Q 觸發此警示的通訊
Q 其它資訊
Q 您應該進行的動作
Q 如何減少您接收的警示數目
使用 「警示小幫手」
1 在任何警示視窗中,按下 「警示小幫手」連結。
2 在 「警示小幫手」視窗中,檢視關於這個警示的資訊。
3 若要回應這個警示,請關閉 「警示小幫手」。
以 「中斷連線」來停止 Internet 通訊
Symantec Client Security 防火牆用戶端包含 「中斷連線」按鈕,可讓您立即停止
您的電腦與其它電腦之間的通訊。在您電腦遭受攻擊時、特洛伊木馬程式在未經您
的許可之下傳送個人資訊時,或是您不慎讓不信任的人士存取電腦上的檔案時,這
可以協助您限制任何的破壞。
啟動這個選項時,Symantec Client Security 防火牆用戶端會停止所有進出您電腦
的通訊。對外部世界來說,看起來像是您的電腦與 Internet 的連線完全中斷。
如果您想要攔截進出您電腦的所有流量,「中斷連線」會比您只使用 Internet 軟體
來中斷連線更有效。大多數 Internet 程式可以在不需要使用者輸入的情況下自動
連線,所以惡意程式可能會在您離開電腦時重新連線。
Symantec Client Security 防火牆用戶端基礎篇
自訂 Symantec Client Security 防火牆用戶端
附註:當您提出安全性問題時,「中斷連線」可用來做為暫時的考量。如果您重新
啟動電腦,Symantec Client Security 防火牆用戶端會自動允許所有進出的通訊。
以 「中斷連線」來停止 Internet 通訊
1 在主視窗的上方,按下 「中斷連線」。
2 使用 Symantec Client Security 防火牆用戶端工具來說明安全性問題。
3 當您已經修復問題時,請按下 「允許連線」。
自訂 Symantec Client Security 防火牆用戶端
預設的 Symantec Client Security 防火牆用戶端設定會為大多數使用者提供適當的
防護措施。如果您需要進行變更,請使用 「選項」功能表來存取 Symantec Client
Security 防火牆用戶端選項。這些選項可讓您控制更多的進階設定。
附註:如果您使用的是 Windows 2000/XP,而且您沒有 「本機系統管理員」的存
取權限,則您無法變更 Symantec Client Security 防火牆用戶端選項。表 7-1 提供
關於使用者層級允許之變更的其它資訊。
73
關於一般選項
自訂 Symantec Client Security 防火牆用戶端
1 在主視窗的上方,按下 「選項」。
2 選取您要變更選項的標籤。
「一般」選項可讓您在 Symantec Client Security 防火牆用戶端執行時,控制及選
取您想要顯示的可見元件。表 7-2 說明 「一般」選項。
表 7-2 一般選項
群組 說明
啟動 Symantec
Client Security 防火
牆用戶端
每當 Windows 啟動時,選取您要手動或自動執行 Symantec Client
Security 防火牆用戶端。
74
Symantec Client Security 防火牆用戶端基礎篇
自訂 Symantec Client Security 防火牆用戶端
表 7-2 一般選項
群組 說明
系統匣圖示設定值 在您存取程式設定的 Windows 工作列上,顯示 Symantec Client
關於防火牆選項
「防火牆」選項可讓您啟動進階的防護功能,並自訂您電腦用來檢視網頁的通訊
埠。大多數的人不需要對這些設定進行任何變更。表 7-3 說明 「防火牆」選項。
表 7-3 防火牆選項
群組 說明
Security 防火牆用戶端圖示。
您也可以將連結加入至以下的 Symantec Client Security 防火牆用
戶端工具:
Q 選項
Q 日誌檢視器
Q 統計值
檢查程式連線至
Internet 時使用的外
部模組的存取設定值
一個程式啟動另一個
程式時,檢查兩個程
式的 Internet 存取設
定值。
HTTP 通訊埠清單 指定針對 Java 和 ActiveX 攔截、程序檔攔截、機密資訊和 Cookie 等
攔截 IGMP 啟動及停用您電腦使用 Internet Group Membership Protocol
隱藏攔截的通訊埠 選取 Symantec Client Security 防火牆用戶端是否要回應關閉未使
如何處理分段的 IP
封包:
當程式使用外部軟體元件連接至 Internet 時,檢查每一個元件的防
火牆規則。這可以確保特洛伊木馬程式以及其它惡意程式無法附加
到安全的程式上而躲避偵測。
使用 「程式啟動監控」,以確保特洛伊木馬程式以及其它惡意程式在
您不知情的狀況下,無法啟動及操作安全的程式。如果有啟動 「程
式啟動監控」,每當有無法辨識的程式啟動其它程式時,您將會收到
警示。然後,您可以允許或攔截無法辨識之程式的 Internet 存取。
過濾的通訊埠清單。如果清單是空的,將不過濾 HTTP 上的私人資
訊。如果攜帶私人資訊的通訊埠未列在此處,則不透過此通訊埠過
濾私人資訊的流量。若要讓這些設定生效,您必須重新開機。
(IGMP) 的能力。IGMP 通常用來傳送多媒體檔案至多點傳播群組。
用之通訊埠的掃描。隱藏的通訊埠不會回應掃描。
選取 Symantec Client Security 防火牆用戶端要攔截已分成多個片
段的所有 IP 封包,或是只出現成為攻擊一部分的封包。
這個設定只會影響 Windows 98 電腦。
Windows 2000/XP 電腦會自動重組破碎的封包。
關於安全通訊埠選項
「安全通訊埠」選項可讓您啟動及停用 「安全通訊埠」技術,這個技術會保護以特
洛伊木馬程式規則攔截的通訊埠,讓任何應用程式都無法使用這些通訊埠。您也可
以將其它通訊埠新增至清單中。
請參閱第 111 頁的 「使用安全通訊埠」。
關於設定值管理員
「設定值管理員」可讓您備份 ( 匯出 ) 及還原 ( 匯入 ) Symantec Client Security 防
火牆用戶端設定值檔案。
請參閱第 75 頁的 「匯出及匯入政策檔」。
匯出及匯入政策檔
Symantec Client Security 防火牆用戶端可讓您匯出所有設定值,這是一項您可以
用來備份防火牆架構的功能。Symantec Client Security 防火牆用戶端也可以讓您
匯入所有的設定值,這是一項您可以用來還原防火牆架構的功能。您也可以使用匯
出及匯入功能,將已知的架構儲存至政策檔中,並且將它安裝在數台電腦上。匯出
及匯入使用 XML 檔。
Symantec Client Security 防火牆用戶端基礎篇
匯出及匯入政策檔
75
76
Symantec Client Security 防火牆用戶端基礎篇
匯出及匯入政策檔
匯出或匯入政策檔
1 在主視窗的上方,按下 「選項」。
2 在 Symantec Client Firewall 「選項」視窗的 「設定值管理員」標籤上,選取
下列項目之一:
Q 匯出設定值
Q 匯入設定值
3 在檔案選取對話方塊中,瀏覽至所要的目錄。
4 執行下列其中一個動作:
Q 如果您要匯出,在 「檔案名稱」方塊中,輸入要儲存此設定的檔案名稱,
然後按下 「儲存」。
Q 如果您要匯入,選取目標檔案,然後按下 「開啟」。
5 在 Symantec Client Firewall 的 「選項」視窗中,按下 「確定」。
如果您要匯出政策檔,在按下 「確定」之前,不要在其它標籤上架構設定,
否則其它標籤上的設定將不會被匯出。
Symantec Client Security 防火牆用戶端基礎篇
暫時停用 Symantec Client Security 防火牆用戶端
暫時停用 Symantec Client Security 防火牆用戶端
有時候您會想要暫時停用 Symantec Client Security 防火牆用戶端或是它的其中一
項功能。例如,您可能想要檢視線上廣告或是查看 Symantec Client Security 防火
牆用戶端是否正確地防止網頁出現。
暫時停用 Symantec Client Security 防火牆用戶端及所選取的功能
停用 Symantec Client Security 防火牆用戶端也會停用所有個別的功能。您也可以
停用個別的安全性功能。例如,您可能想要查看用戶端防火牆是否正確地防止程式
操作。
暫時停用 Symantec Client Security 防火牆用戶端
1 在主視窗中,按下 「狀態與設定」。
2 按下 「安全性」。
3 在畫面的右側,按下 「關閉」。
暫時停用防護功能
1 在主視窗中,按下 「狀態與設定」。
2 選取您要停用的功能。
3 在畫面的右側,按下 「關閉」。
77
透過 LiveUpdate 隨時保持最新狀態
賽門鐵克的產品需要擁有最新的資訊,才能保護您的電腦免受最新的病毒侵入。這
些最新的資訊皆是透過賽門鐵克的 LiveUpdate 技術傳播。LiveUpdate 利用
Internet 連線,為您的電腦取得程式更新與防護更新。
附註:LiveUpdate 會更新您電腦上的所有賽門鐵克產品。Symantec Client Security
防火牆用戶端的 LiveUpdate 只更新 「入侵偵測」特徵及特洛伊木馬規則。
關於程式更新
所謂程式更新,指的是對已安裝好的產品做小幅度的改善。與產品升級不同,後者
指的是將整套產品更換成較新的版本。具有自動安裝來取代現有軟體碼的程式更新
檔稱為修正程式。修正程式的建立通常是用來擴充作業系統或硬體的相容性、調整
效能問題,或是修正錯誤。
LiveUpdate 使得程式更新的取得與安裝程序全部自動化。它會從 Internet 網站中
搜尋並取得檔案並加以安裝,然後刪除您電腦上遺留的檔案。
78
Symantec Client Security 防火牆用戶端基礎篇
透過 LiveUpdate 隨時保持最新狀態
關於防護更新
防護更新是從賽門鐵克訂閱後取得的檔案,可利用最新的防威脅技術,讓您的賽門
鐵克產品保持在最新狀態。您收到的防護更新取決於您使用的產品。
更新的時機
當您安裝好產品之後,請儘快執行 LiveUpdate。一旦您知道您的檔案為最新狀態
後,請定期執行 LiveUpdate 以取得更新。例如,若要讓您的病毒防護保持在最新
狀態,您應該一星期使用一次 LiveUpdate,或是在發現新病毒時使用。至於程式
更新部分,賽門鐵克會視需要來發行。
要求更新警示
若要確保您的防護更新是最新的,您可以要求在高層級病毒爆發,或是發生其它
Internet 安全性威脅時,接收電子郵件警示。電子郵件警示會說明這個威脅、提供
偵測與移除的指示,並加入讓您電腦保持在安全狀態的建議。在您接受其中任一種
警示之後,您應該立即執行 LiveUpdate。
要求更新警示
1 請至以下網站:
securityresponse.symantec.com/avcenter
2 在 Symantec Security Response ( 賽門鐵克安全機制應變中心 ) 網頁上,捲動
至頁面的下方,然後按下 Sign up Symantec Security alerts。
3 在安全性警示訂閱的網頁上,填寫訂閱表格。
4 按下 Send me Symantec Security Alerts。
關於在內部網路執行 LiveUpdate
如果您在公司防火牆後連線至網路的電腦上執行 LiveUpdate,您的網路管理員可
能要在網路上設定內部的 LiveUpdate 伺服器。LiveUpdate 會自動尋找這個位置。
如果您連線至內部的 LiveUpdate 伺服器時發生問題,請與您的網路管理員聯絡。
從賽門鐵克網站取得更新
當可取得新的更新時,賽門鐵克會在其網站上公佈更新。如果您無法執行
LiveUpdate,您可以從賽門鐵克網站取得新的更新。
附註:您的訂閱必須為最新狀態,才能從賽門鐵克網站取得新的防護更新。
從賽門鐵克網站取得更新
1 請至以下網站:
www.symantec.com.tw/region/tw/avcenter
2 按照連結來取得你所需要的更新類型。
使用 LiveUpdate 取得更新
LiveUpdate 會檢查安裝在您電腦上所有賽門鐵克產品的更新。
使用 LiveUpdate 取得更新
1 請在主視窗的上方,按下 LiveUpdate。
2 在 LiveUpdate 視窗中,按 「下一步」來搜尋更新。
3 如果有更新,按 「下一步」開始下載並安裝。
4 安裝完成後,請按下 「完成」。
附註:某些程式更新可能會需要您在安裝後重新開機。
Symantec Client Security 防火牆用戶端基礎篇
透過 LiveUpdate 隨時保持最新狀態
79
將 LiveUpdate 設定為互動模式或簡易模式
LiveUpdate 可以在 「互動模式」或 「簡易模式」下執行。在 「互動模式」 ( 預設
值 ) 下,LiveUpdate 會下載您由 LiveUpdate 技術所支援之賽門鐵克產品可用的更
新清單。然後,您可以選取您要安裝的產品更新。在 「簡易模式」下,
LiveUpdate 會自動為您的賽門鐵克產品安裝所有可用的更新。
將 LiveUpdate 設定為 「互動模式」或 「簡易模式」
1 請在主視窗的上方,按下 LiveUpdate。
2 在 LiveUpdate 歡迎畫面上,按下 「設定」。
3 在「LiveUpdate 設定」對話方塊的 「一般」標籤上,選取下列其中一項:
Q 互動模式
Q 快速模式
4 如果您選取 「快速模式」,請選取下列任一個或兩個選項:
Q 當 LiveUpdate 啟動時,自動開始階段作業
Q 階段作業結束時自動離開
5 若要在 「加強錯誤支援」方塊中,啟動錯誤檢查,請按下 「啟動加強錯誤
支援」。
6 按下 「確定」。
80
Symantec Client Security 防火牆用戶端基礎篇
如需詳細資訊
關閉快速模式
一旦您已設定以 「簡易模式」執行 LiveUpdate,您可以不再從 LiveUpate 直接存
取「LiveUpdate 設定」對話方塊。您必須使用 Symantec LiveUpdate 控制台。
關閉 「快速模式」
1 在 Windows 工作列上,按下 「開始」 > 「設定」 > 「控制台」。
2 在 「控制台」視窗中,連按兩下 Symantec LiveUpdate。
3 在「LiveUpdate 設定」對話方塊的 「一般」標籤上,按下 「互動模式」。
4 按下 「確定」。
如需詳細資訊
Symantec Client Security 防火牆用戶端會提供線上說明、PDF 格式的用戶端指
南,以及連至賽門鐵克網站上的 「知識庫」連結。
存取說明
在 Symantec Client Security 防火牆用戶端中,永遠可以取得說明。「說明」按鈕
或詳細資訊的連結會提供您要完成之工作的特定資訊。「說明」功能表會為所有產
品功能及您可以完成的工作,提供全面性的指南。
存取 「說明」
1 請在主視窗的上方,按下 「說明和支援」。
2 在主 「說明」功能表上,按下 「Symantec Client Firewall 說明」。
3 在 「說明」視窗的左窗格中,選取下列任一個標籤:
Q 內容:依主題顯示 「說明」
Q 索引:依關鍵字的字母順序列出說明主題
Q 搜尋:開啟搜尋欄位,讓您可以在此輸入單字或片語
存取視窗及對話方塊說明
視窗及對話方塊說明會提供關於 Symantec Client Security 防火牆用戶端程式的資
訊。這個 「說明」類型是前後文相關的,也就是說,它會提供您目前所使用之對
話方塊或視窗的說明。
存取視窗或對話方塊說明
X 如果有的話,按下 「更多資訊」連結。
關於檢視 Readme 檔及版本注意事項
Readme 檔包含關於安裝及相容性問題的資訊。「版本注意事項」包含關於
「Symantec Client Security
訊。它們會被安裝在您硬碟中,與 Symantec Client Security 防火牆用戶端產品檔
案相同的位置。
用戶端指南
存取用戶端指南 PDF
在 Symantec Client Security 光碟中有提供 PDF 格式的 「用戶端指南」。
存取用戶端指南 PDF
您必須在您的電腦中安裝 Adobe Acrobat Reader,才能讀取 PDF。一旦您已經安
裝 Adobe Acrobat Reader,就可以從光碟中讀取 PDF。
安裝 Adobe Acrobat Reader
1 將 Symantec Client Security 光碟放入光碟機中。
2 按下 「瀏覽光碟」。
3 連按兩下 Acrobat 資料夾。
4 瀏覽並連按兩下 Ar60CHT.exe。
5 按照畫面上的指示,選取 Adobe Acrobat Reader 的資料夾,並完成安裝。
Symantec Client Security 防火牆用戶端基礎篇
如需詳細資訊
」印刷後發生產品變更的技術秘訣與資
81
從光碟讀取用戶端指南 PDF
1 將 Symantec Client Security 光碟放入光碟機中。
2 按下 「瀏覽光碟」。
3 連按兩下 Docs 資料夾。
4 連按兩下 scsclnt.pdf。
82
Symantec Client Security 防火牆用戶端基礎篇
如需詳細資訊
從 Symantec Client Security 防火牆用戶端主視窗存取賽門鐵克網站
賽門鐵克網站會提供關於 Symantec Client Security 防火牆用戶端多方面的資訊。
存取賽門鐵克網站方式有許多種。
從 Symantec Client Security 防火牆用戶端主視窗存取賽門鐵克網站
1 請在主視窗的上方,按下 「 說明和支援」。
2 選取下列其中一項:
Q 賽門鐵克服務與支援:帶領您至賽門鐵克網站的 「技術支援」頁面,在
這裡您可以搜尋特定問題的解決方案、更新您的病毒防護以及讀取關於防
毒技術的最新資訊
Q Symantec Response Center ( 賽門鐵克安全機制應變中心 ):帶領您至
「賽門鐵克安全機制應變中心」網站的首頁,這裡會列出最新的病毒威脅
及安全性建議
您可以透過您的 Internet 瀏覽器存取以下的賽門鐵克網站:
www.symantec.com.tw
Chapter
使用網路偵測與區域
本章包含以下主題:
Q 使用網路偵測
Q 將電腦新增至信任與限制區域
使用網路偵測
「位置」可讓您針對 Symantec Client Security 防火牆用戶端建立的不同網路連
線,架構規則與區域。「位置」的目的是允許一部電腦連接至不同的網路,並且針
對不同的網路自動套用適用的規則與 「區域」。
8
例如,當用戶端使用遠端無線連線連接至網路時,您可以有您要 Symantec Client
Security 防火牆用戶端強制執行的一組特定規則與 「區域」,而當用戶端使用區域
Ethernet 連線連接網路時,您可以有另一組您想要 Symantec Client Security 防火
牆用戶端強制執行的規則與 「區域」。
圖 8-1 說明筆記型電腦使用無線連線連接至 Internet、透過 Internet 使用 VPN 連
線連接至家庭辦公室,以及連接至辦公室網路的概念。
84
使用網路偵測與區域
使用網路偵測
圖 8-1 從不同 「位置」連接的筆記型電腦
當筆記型電腦從這三個 「位置」連接時,會產生不同的網路流量,而且當它從這
三個 「位置」連接時,它會連接至不同的預設閘道器。例如,家庭使用者的 VPN
流量會藉著透過 VPN 供應商提供的通訊埠傳送,並連接至 ISP 2 的預設閘道器。
漫遊使用者的無線流量使用 SSID 驗證透過其它的通訊埠傳送,並連接至 ISP 1 的
預設閘道器。辦公室使用者的 Ethernet 流量則透過下部組織作業系統,例如
Windows 或 Netware,使用的通訊埠傳送,並連接至內部的預設閘道器。
如果您在預設的拒絕條件下執行 Symantec Client Security 防火牆用戶端規則,當
如果規則不允許時,流量會被攔截,您可以架構允許來自這三個 「位置」之網路
流量的三種不同規則資料庫。一個政策檔案可以使用多達 64 個 「位置」的不同資
訊加以架構。
安裝後,Symantec Client Security 防火牆用戶端會使用以下四個 「位置」架構:
Q 辦公室
Q 家用
Q 外出
Q 預設
規則可以與一個、一些或所有的 「位置」相關。「區域」只與特定的 「位置」相
關。當您架構規則與 「區域」時,您必須為規則與 「區域」選取 「位置」。當
「網路偵測」停用時,會使用 「預設位置」。
啟動與停用網路偵測
您不需要使用 「網路偵測」。當 「網路偵測」停用時,會使用與 「預設位置」相
關的規則與 「區域」。「網路偵測」的觸發機制為 「網路偵測程式」。圖 8-2 顯示
您啟動與停用 「網路偵測程式」的位置。
圖 8-2 「位置」標籤
啟動與停用 「網路
偵測」
使用網路偵測與區域
使用網路偵測
85
目前使用中的
「位置」
「位置」與相關網路
連線的數目
「位置」標籤 ( 「網路偵測程式」視窗 ) 也會顯示目前使用中的 「位置」與相關網
路連線的數目。當 「預設位置」啟動時,相關網路連線的數目永遠為 0,因為網
路規格無法與 「預設位置」關聯。
啟動或停用 「網路偵測」
1 在主視窗中,按下 「狀態與設定」。
2 連按兩下 「用戶端防火牆」。
3 在 Symantec Client Firewall 視窗的 「位置」標籤上,執行下列其中一項:
86
使用網路偵測與區域
使用網路偵測
選取要執行的位置
Q 若要啟動 「網路偵測」,請勾選 「開啟網路偵測程式」。
Q 若要停用 「網路偵測」,請取消勾選 「開啟網路偵測程式」。
「位置」視窗
當您第一次使用 Symantec Client Security 防火牆用戶端連接到與 「位置」不相
關的網路,並且啟動 「網路偵測」時,防火牆會提示您選取與網路連線資訊相關
的 「位置」。表 8-1 列出 Symantec Client Security 防火牆用戶端可能用來關聯選
定 「位置」的網路連線資訊。
表 8-1 網路連線資訊
屬性 說明
閘道器 MAC ID 預設閘道器的 「媒體存取控制」 (MAC) 位址
閘道器 IP 位址 預設閘道器的 IP 位址
子網路位址 用戶端電腦的 IP 位址與子網路遮罩
網域 網路網域名稱 ( 如果有的話 )
SSID
無線網路服務集識別碼 (SSID)
撥接號碼 遠端存取使用的電話號碼
撥接項目說明 遠端存取點的說明
介面說明 介面的說明
介面類型 網路介面的類型
介面指標 介面的指標
選取執行的 「位置」
1 連接至 「網路偵測」停用的網路。
例如,顯示網頁。
2 在主視窗中,按下 「狀態與設定」。
3 連按兩下 「用戶端防火牆」。
4 在 Symantec Client Firewall 視窗的 「位置」標籤上,勾選 「開啟網路偵測
程式」。
5 執行某些網路活動。
使用網路偵測與區域
使用網路偵測
例如,重新整理網頁。
6 在 「網路偵測程式」視窗的 「您要使用哪個位置?」之下,選取與網路連線
相關的 「位置」。
7 按下 「確定」。
87
清除網路連線資訊
每一次您將網路連線資訊與 「位置」關聯時,「位置」會記住此資訊。您可以將過
多的網路連線數目與單一 「位置」關聯,但是這會使 「網路偵測」的目的失效。
例如,您可以將無線、VPN 和辦公室連線的資訊與單一 「位置」關聯。Symantec
Client Security 防火牆用戶端可讓您清除這些關聯。
清除網路連線資訊
1 在主視窗中,按下 「狀態與設定」。
2 連按兩下 「用戶端防火牆」。
3 在 Symantec Client Firewall 視窗的 「位置」標籤上,選取要清除的 「位
4 按下 「清除」。
置」。
88
使用網路偵測與區域
使用網路偵測
新增位置
Symantec Client Security 防火牆用戶端可讓您新增 「位置」。當防火牆偵測到新
的連線,並且以 「網路偵測程式」視窗提示您時,您可以新增 「位置」,而且您
也可以從 「位置」標籤新增 「位置」。在這兩種情況下,精靈會依步驟帶您完成
程序。
當您新增 「位置」時,與 「預設位置」相關的所有規則、「區域」與設定會自動
套用到新增的 「位置」。
新增 「位置」
1 在主視窗中,按下 「狀態與設定」。
2 連按兩下 「用戶端防火牆」。
3 在 Symantec Client Firewall 視窗的 「位置」標籤上,按下 「新增」。
4 在 「設定程式控管」視窗中,選取下列其中一項:
Q 是:當防火牆偵測到符合已知程式的流量時,自動將新的程式規則新增至
「位置」。未知的程式會出現提示。
Q 否:當防火牆偵測到不符合規則的流量時,提示您決定是否將新的程式規
則新增至 「位置」。
5 按「下一步」。
6 在 「儲存位置」視窗中,輸入 「位置」。
7 按「下一步」。
8 在 「摘要」視窗中,按下 「完成」。
關於自訂位置設定
當您建立網路 「區域」與防火牆規則時,您會將這些 「區域」及 「規則」與 「位
置」關聯。
在 Symantec Client Firewall 視窗中的下列標籤可讓您將 「區域」及規則與 「位
置」關聯:
Q 網路
Q 程式
Q 進階
刪除位置
Symantec Client Security 防火牆用戶端可讓您刪除新增的 「位置」。您無法刪除
以 Symantec Client Firewall Administrator 新增的任何 「位置」。當防火牆偵測
到新的連線,並且以 「網路偵測程式」視窗提示您時,您可以新增 「位置」,而
且您也可以從 「位置」標籤新增 「位置」。在這兩種情況下,精靈會依步驟帶您
完成程序。
刪除 「位置」
1 在主視窗中,按下 「狀態與設定」。
2 連按兩下 「用戶端防火牆」。
3 在 Symantec Client Firewall 視窗的 「位置」標籤上,選取要刪除的 「位
置」。
4 按下 「刪除」。
5 在確認提示中,按下 「是」。
將電腦新增至信任與限制區域
Symantec Client Security 防火牆用戶端可讓您將網路上與 Internet 上的電腦組織
至 IP 位址定義的兩個 「區域」中:信任和限制。每個 「區域」都可能包含一個或
多個 IP 位址項目,而且每個項目可以指定單一的 IP 位址、使用起始與結束 IP 位
址的 IP 位址範圍,或是 IP 位址與子網路遮罩。圖 8-3 顯示 「網路」標籤。
使用網路偵測與區域
將電腦新增至信任與限制區域
89
90
使用網路偵測與區域
將電腦新增至信任與限制區域
圖 8-3 「網路」標籤
置於 「信任」區域的電腦不受 Symantec Client Security 防火牆用戶端的管制。
這些電腦對您電腦的存取權限和沒有安裝 Symantec Client Security 防火牆用戶端
時一樣多。您的區域網路上要共用檔案和印表機的電腦僅能使用 「信任」區域。
如果 「信任」區域中的電腦受到攻擊,而且攻擊者已控制它,它會對您的電腦帶
來風險。
防火牆會攔截來自 「限制」區域中列出之 IP 位址的所有流量。如果此位址是預設
閘道器,防火牆就不會攔截進出 「限制」區域中之 IP 位址的流量。用戶端依然可
以存取 Internet。
此外,「區域」只是 「位置」的屬性。您無法建立一個 「區域」,並且使它成為多
個 「位置」的屬性。您必須手動將 「區域」新增至其它的 「位置」。但是,與
「預設位置」相關的所有 「區域」都會自動與所有以 「位置」精靈建立的新 「位
置」關聯。
對於 IP 位址落在 「信任」區域的網站,規則、「入侵偵測」監視、Web 內容、隱
私權控管和廣告攔截的設定會被忽略。
將電腦新增至 「信任」或 「限制」區域
1 在主視窗中,按下 「狀態與設定」。
使用網路偵測與區域
將電腦新增至信任與限制區域
2 連按兩下 「用戶端防火牆」。
3 在 Symantec Client Firewall 視窗的 「網路」標籤上,「設定」下拉式清單,
選取要新增 「區域」的 「位置」。
4 在 「信任」或 「限制」標籤上,按下 「新增」。
91
5 在 「網路」對話方塊中,選取下列其中一項:
Q 個別:識別電腦的單一 32 位元號碼
Q 使用範圍:IP 位址所包含的範圍,從起始的 IP 位址到結束的 IP 位址
Q 使用網路位址:透過輸入一個 IP 位址與子網路遮罩所建立之 IP 位址所包
含的範圍
6 在文字方塊中,輸入您要新增至 「信任」或 「限制」區域中之電腦的 IP 位
址。
7 按下 「確定」。
8 在 「網路」標籤上,按下 「確定」。
92
使用網路偵測與區域
將電腦新增至信任與限制區域
防範入侵
本章包含以下主題:
Q 關於防範入侵
Q Symantec Client Security 防火牆用戶端防止網路受到攻擊的方式
Q 自訂防火牆防護
Q 自訂防火牆規則
Q 使用安全通訊埠
Q 自訂入侵偵測
Chapter
9
關於防範入侵
網路攻擊行動利用電腦傳輸資訊的方法進行。Symantec Client Security 防火牆用
戶端可以監視進出您電腦的資訊,並攔截攻擊行為來保護您的電腦。
資訊會以封包的形式在 Internet 上流通。每個封包都有一個表頭,其中包含傳送
端電腦的相關資訊、設定的接收端、封包中資訊的處理方式,以及應該接收封包的
通訊埠。
通訊埠是一種通道,用來將來自 Internet 上的資訊流分為數個路徑,讓個別程式
進行處理。Internet 程式在電腦上執行時,會監聽一個或多個通訊埠,並接受傳送
到這些通訊埠的資訊。
網路攻擊的設計即是利用特定 Internet 程式的弱點。攻擊者會使用工具,將包含
惡意程式碼的封包傳送到特定通訊埠。如果容易遭受這類攻擊的程式正在監聽該通
訊埠,程式碼便會讓攻擊者存取、停用,甚至控制電腦。用來進行攻擊的程式碼可
能包含在一個或多個封包中。
94
防範入侵
Symantec Client Security 防火牆用戶端防止網路受到攻擊的方式
Symantec Client Security 防火牆用戶端防止網路受 到攻擊的方式
Symantec Client Security 防火牆用戶端包含兩種防護您的電腦遠離入侵攻擊、惡
意網頁內容以及特洛伊木馬程式的工具:
Q Symantec Client Security 防火牆用戶端:會監視所有 Internet 上的通訊,並
建立一個可以攔截或限制嘗試檢視您電腦上資訊的防護。
Q 入侵偵測:分析所有進出電腦的資訊,是否有典型的攻擊資料特徵。
Symantec Client Security 防火牆用戶端監視通訊的方式
當 Symantec Client Security 防火牆用戶端啟動時,它會監視您電腦和 Internet 上
其它電腦之間的通訊。它也會保護您的電腦免於表 9-1 所列的常見安全性問題。
表 9-1 常見安全性問題
問題 防護
不當連線行為 警告您其它電腦嘗試進行連線,並警告您電腦上的
程式嘗試連線到其它電腦。
特洛伊木馬程式 當您的電腦發現冒充有用程式的破壞性程式時通知
您。
惡意網站內容的安全性及隱私權侵犯 監視所有 Java Applet 及 ActiveX 控制項,並讓您選
取要執行或攔截程式
通訊埠掃描 隱藏電腦上未使用的通訊埠,並偵測通訊埠掃描
入侵 偵測並攔截外部使用者攻擊您電腦的惡意流量與行為
您可以使用 「安全性等級」滑動軸,控制防護的等級。您也可以控制 Symantec
Client Security 防火牆用戶端如何回應不當連線行為、特洛伊木馬程式及惡意的網
站內容。
請參閱第 96 頁的 「自訂防火牆防護」。
入侵偵測分析流量的方式
「入侵偵測」會掃描每個進出您電腦的封包是否有攻擊特徵、用以識別攻擊者嘗試
利用作業系統或程式之已知弱點的資訊排列方式。
表 9-2 列舉 Symantec Client Security 防火牆用戶端監視的攻擊範例。
表 9-2 監視的攻擊行為
攻擊 說明
防範入侵
Symantec Client Security 防火牆用戶端防止網路受到攻擊的方式
95
Bonk
RDS_Shell
WinN uke
針對 Microsoft TCP/IP 堆疊的攻擊,會癱瘓受到攻擊的電腦
利用 「Microsoft 資料存取元件」所屬 「遠端資料服務」元
件的方法,可讓遠端攻擊者使用系統權限執行指令
可使用 NetBIOS,將較舊的 Windows 95/98/NT 電腦加以癱
瘓的方式
攻擊可能涉及多個封包,因此 「入侵偵測」會使用下列兩種方法來檢查封包。它
會個別掃描每個封包,尋找攻擊的典型特徵。它也會將封包視為資訊流進行監視,
讓它辨識涉及多個封包的攻擊行為。
如果資訊屬於已知的攻擊行為,則 「入侵偵測」會自動捨棄封包,並負責傳送資
料的電腦連線。這會保護您的電腦不受任何方式的影響。
您可以修改 「入侵資訊」回應攻擊的方式,只要排除攻擊特徵不受監視,然後啟
動或停用可自動攔截受攻擊電腦所有通訊的 「自動攔截」功能。排除某些網路行
為不受攔截後,即使您的電腦遭受攻擊,您仍可以繼續進行工作。
在保護您的電腦不受攻擊的同時,Symantec Client Security 防火牆用戶端也會監
視您的電腦傳送給其它電腦的所有資訊。這會確保您的電腦不會用來攻擊其他使用
者,或者遭受殭屍程式利用。
殭屍
程式是一種可以暗地安裝在電腦上,然後經由遠
端執行的方式對其它電腦進行集體攻擊的程式。如果 Symantec Client Security 防
火牆用戶端偵測出您的電腦正在傳送典型的攻擊資訊,便會立刻攔截連線,並警告
您可能會發生的問題。
若要減少您接收的警告數量,Symantec Client Security 防火牆用戶端可以只監視
您電腦使用的通訊埠是否有攻擊行為。如果攻擊者嘗試經由未使用的通訊埠,或防
火牆所攔截的通訊埠連線至您的電腦,Symantec Client Security 防火牆用戶端將
不會通知您,因為其中沒有入侵的危險。
Symantec Client Security 防火牆用戶端不會掃描您在 「信任」區域中的電腦是否
有入侵行為。不過,「入侵偵測」不會監視您傳送至 「信任」電腦上的資訊,是否
有殭屍程式及其它遠端控制攻擊的跡象。
「入侵偵測」會根據列有大量攻擊特徵的清單來偵測並攔截可疑的網路活動。定期
執行 LiveUpdate 可確保您的攻擊特徵清單維持最新狀態。
請參閱第 77 頁的 「透過 LiveUpdate 隨時保持最新狀態」。
96
防範入侵
自訂防火牆防護
自訂防火牆防護
預設的防火牆設定會提供您適當的防護措施。如果預設的防護措施不盡完善,您可
以使用 「安全性等級」滑動軸來自訂防火牆。滑動軸可讓您選取某些預先設定的
安全性設定。您也可以變更個別的安全性設定以自訂防火牆。
變更安全性等級滑動軸
「安全性等級」滑動軸可讓您選取 「低」、「中」或 「高」的安全性設定。當您變
更滑動軸位置時,防護等級就會隨著變更。變更 「安全性等級」滑動軸不會影響
「入侵偵測」所提供的防護。
變更 「安全性等級」滑動軸
1 在主視窗中,按下 「狀態與設定」。
2 連按兩下 「用戶端防火牆」。
3 在 Symantec Client Firewall 視窗的 「個人防火牆」標籤上,將滑動軸移動至
您要的 「安全性等級」。您可以選擇:
高 防火牆會攔截所有項目,直到您允許為止。如果您已經執行 「程
中 ( 建議 ) 防火牆會攔截所有項目,直到您允許為止。如果您已經執行 「程
低 防火牆會攔截特洛伊木馬程式嘗試連接的連線。
4 按下 「確定」。
變更個別的安全性設定
如果預設的 「安全性等級」選項不符合您的需求,您可以變更 Symantec Client
Security 防火牆用戶端、Java 及 ActiveX 防護等級的設定。變更個別設定會變更
「安全性等級」,但是不會變更該等級中的其它安全性設定。
防範入侵
自訂防火牆防護
式掃描」,您應該不會經常被 「程式控管」警示中斷您的工作。
每次 ActiveX 控制項或 Java Applet 出現時,您便會收到警示訊
息。未使用的通訊埠不會回應連線,而且將之隱藏起來。
式掃描」,您應該不會經常被 「程式控管」警示中斷您的工作。
ActiveX 控制項及 Java Applet 執行時,不會出現警告訊息。未使
用的通訊埠不會回應連線,而且將之隱藏起來。
ActiveX 控制項及 Java Applet 執行時,不會出現警告訊息。
未使用的通訊埠不會回應連線,而且將之隱藏起來。
97
變更個別的安全性設定
1 在主視窗中,按下 「狀態與設定」。
2 連按兩下 「用戶端防火牆」。
3 在 Symantec Client Security 視窗的 「個人防火牆」標籤上,按下 「自訂
等級」。
98
防範入侵
自訂防火牆防護
4 在 「自訂安全性設定」視窗中,執行下列一項或多項:
Q 在 「用戶端防火牆」下拉式清單中,選取一個等級。您可以選擇:
高 攔截所有您未特別允許的通訊作業。您必須為每個要求 Internet 存
取的程式建立防火牆規則。
中 除非被特洛伊木馬程式規則攔截,允許所有 Internet 通訊。
無允許所有 Internet 通訊。
Q 在「Java applet 安全性」或 「ActiveX 控制項安全性」下拉式清單中,
選取一個等級。您可以選擇:
高 阻止瀏覽器透過 Internet 執行任何 Java Applet 或 ActiveX 控制項。
這是最安全,也最不方便的選項。使用此設定可能會使某些網站無法
正常執行。
中遭遇 Java Applet 和 ActiveX 控制項時便會出現提示。這樣您就可以
暫時或永久的允許或攔截所遇到的每個 Java Applet 及 ActiveX 控制
項。每次 Java Applet 及 ActiveX 控制項出現時,逐一回應可能有點
麻煩,不過這可讓您決定要執行哪些項目。
無 不論何時遭遇 Java Applet 與 ActiveX 控制項都要執行。
Q 若要在每次未知程式存取 Internet 時能夠通知您,請勾選 「啟動存取控
制警示」。
Q 若要在每次遠端電腦嘗試連接沒有程式使用的通訊埠時能夠通知您,請勾
選「存取未使用的通訊埠時發出警示」。
5 按下 「確定」。
6 在 「個人防火牆」標籤上,按下 「確定」。
將安全性設定重設為預設值
設定自訂安全性等級會停用 「安全性等級」滑動軸。若要使用滑動軸選取預先設
定的安全性等級,您必須重設安全性等級。
將安全性設定重設為預設值
1 在主視窗中,按下 「狀態與設定」。
2 連按兩下 「用戶端防火牆」。
3 在 Symantec Client Security 視窗的 「個人防火牆」標籤上,按下 「預設等
級」。
這會將您的安全性等級重設為 「中」。使用 「安全性等級」滑動軸選取其它
任一個預先設定的安全性等級。
自訂防火牆規則
防火牆規則會控制 Symantec Client Security 防火牆用戶端如何保護您的電腦不受
惡意的連入流量、程式及特洛伊木馬程式侵襲,並停止惡意的連出流量。防火牆會
自動使用這些規則檢查所有進出您電腦的流量。規則分為以下三個類別:
Q 一般:使用會影響所有程式的封包過濾控制防護
Q 程式:允許或攔截程式存取 Internet
Q 特洛伊木馬程式:防止惡意的程式
若要自訂防火牆規則和使用大部分的防火牆功能,您必須被指派為 「管理員」的
使用者層級。
請參閱第 69 頁的 「Symantec Client Security 防火牆用戶端使用者層級」。
建立新的防火牆規則
Symantec Client Security 防火牆用戶端含有 「程式控管」,會在您使用 Internet
時,為已知的程式自動建立防火牆規則。您也可以手動建立與修改規則。所有規則
都與一個或多個 「位置」相關。
使用 「程式控管」建立防火牆規則有下列四種方式:
防範入侵
自訂防火牆規則
99
啟動 「自動程式控管」在使用者首次執行已知的程式時,自動架構存取。這個選項是設定防
火牆規則最簡單的方式。您可以為每個 「位置」啟動或停用這個選
項。
使用 「程式掃描」 一次找出並架構所有 Internet 型程式的存取。您可以將規則新增至
您指定的 「位置」。
回應警示 當已知程式第一次嘗試存取 Internet 時,如果 「自動程式控管」關
閉,以及當未知的程式嘗試存取 Internet 時,警告使用者。然後使
用者可以允許或攔截程式的 Internet 存取。您可以將規則只新增至
目前的 「位置」。
手動新增 「一般」、
「程式」和 「特洛伊
木馬程式」規則
讓使用者嚴密地管理可以存取 Internet 的程式及服務清單。您可以
將規則新增至一個或多個 「位置」。
啟動自動程式控管
當 「自動程式控管」啟動時,Symantec Client Security 防火牆用戶端會在第一次
執行程式時,自動架構 Internet 的存取設定。「自動程式控管」只為賽門鐵克已識
別為安全的程式版本架構 Internet 存取。
100
防範入侵
自訂防火牆規則
如果有未知的程式或已知程式的未知版本嘗試存取 Internet,Symantec Client
Security 防火牆用戶端會警告使用者。然後使用者可以允許或攔截程式的 Internet
存取。
請參閱第 77 頁的 「透過 LiveUpdate 隨時保持最新狀態」。
賽門鐵克會定期更新可辨識的程式清單。您應該定期執行 LiveUpdate,才能確保
您的清單是最新的。
啟動 「自動程式控管」
1 在主視窗中,按下 「狀態與設定」。
2 連按兩下 「用戶端防火牆」。
3 在 Symantec Client Firewall 視窗的 「程式控管」標籤上,「設定」下拉式清
單中,選取啟動 「自動程式控管」的 「位置」。
4 勾選 「啟動自動程式控管」。
5 按下 「確定」。
Loading...