Symantec Endpoint Protection Symantec Network Access Control service manual
Symantec™ Endpoint
Protection 及 Symantec
Network Access Control 用戶
端指南
Symantec Endpoint Protection 與 Symantec Network
Access Control 用戶端指南
本書所述軟體係按授權許可協議提供,使用時必須遵照授權許可協議條文。
文件版本 11.00.00.00.00
版權聲明
Copyright © 2007 Symantec Corporation. 版權 © 2007 賽門鐵克公司。All rights reserved.
版權所有。Symantec、Symantec 標誌、LiveUpdate、Sygate、Symantec AntiVirus、
Bloodhound、Confidence Online、Digital Immune System 及 Norton 均為賽門鐵克或其附
屬公司在美國及其他國家的商標或註冊商標。其他名稱可能為其個別所有者的商標。
本文件中所述產品的散佈受到授權許可協議的規範,限制其使用、複製、散佈及解譯/逆向工
程。未事先獲得賽門鐵克公司及其授權者 (如果有) 的書面授權,本產品的任何部份均不得以
任何方式、任何形式複製。
本文件完全依「現狀」提供,不做任何所有明示或暗示的條件、聲明及保證,其中包含在任
何特定用途之適售性與適用性的暗示保證、任何特定用途或不侵害他人權益,除了此棄權聲
明認定的不合法部分以外。賽門鐵克公司對與提供之效能相關的意外或必然損害,或這份說
明文件的使用,不負任何責任。本說明文件所包含的資訊若有變更,恕不另行通知。
根據 FAR 12.212 定義,本授權軟體和文件系「商業電腦軟體」,並受 FAR 第 52.227-19 節
「商業電腦軟體限制權利」和 DFARS 第 227.7202 節「商業電腦軟體或商業電腦軟體文件權
利」中的適用法規,以及所有後續法規中定義的限制權利的管轄。美國政府僅可根據此協議
條款對授權許可的軟體和文件進行任何使用、變更、複製發行、履行、顯示或披露。
Symantec Corporation
20330 Stevens Creek Blvd.
Cupertino, CA 95014
http://www.symantec.com/region/tw
部分 1 簡介
第 1 章 Symantec 用戶端簡介
關於用戶端 .................................................................................. 11
關於受管用戶端和非受管用戶端 ................................................. 12
關於通知區域圖示 ................................................................... 12
保持電腦最新防護功能的方式 .......................................................... 13
關於賽門鐵克安全機制應變中心的角色 ........................................ 14
受管用戶端更新防護功能的方式 ................................................. 14
非受管用戶端上的防護如何進行更新 ........................................... 15
關於安全性政策 ............................................................................ 15
更新安全性政策 ...................................................................... 15
其他詳細資訊的位置 ...................................................................... 15
存取線上說明 ......................................................................... 16
存取賽門鐵克安全機制應變中心網站 ........................................... 16
目錄
第 2 章 回應用戶端
關於用戶端互動 ............................................................................ 17
處理受感染的檔案 ......................................................................... 18
關於病毒造成的損壞 ................................................................ 19
關於通知與警示 ............................................................................ 19
回應應用程式相關的通知 .......................................................... 19
回應安全性警示 ...................................................................... 22
回應網路存取控制通知 ............................................................. 22
第 3 章 管理用戶端
關於 LiveUpdate ........................................................................... 23
在排程間隔執行 LiveUpdate ............................................................ 24
手動執行 LiveUpdate ..................................................................... 24
測試您電腦的安全 ......................................................................... 24
關於位置 ..................................................................................... 25
變更位置 ..................................................................................... 25
關於竄改防護 ............................................................................... 26
啟用、停用與架構竄改防護 ............................................................. 27
目錄4
部分 2 Symantec Endpoint Protection
第 4 章 介紹 Symantec Endpoint Protection
關於 Symantec Endpoint Protection ................................................. 31
Symantec Endpoint Protection 保護您電腦的方式 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
關於防毒和防間諜軟體防護 ....................................................... 32
關於網路威脅防護 ................................................................... 32
關於主動型威脅防護 ................................................................ 33
第 5 章 Symantec Endpoint Protection 用戶端基礎
關於病毒與安全風險 ...................................................................... 35
用戶端如何回應病毒和安全風險 ....................................................... 38
啟用與停用防護元件 ...................................................................... 39
啟用與停用防毒和防間諜軟體防護 .............................................. 39
啟用與停用網路威脅防護 .......................................................... 41
啟用或停用主動型威脅防護 ....................................................... 41
用戶端與 Windows 資訊安全中心搭配使用 ......................................... 42
暫停和延緩掃描 ............................................................................ 43
第 6 章 管理防毒和防間諜軟體防護
關於防毒和防間諜軟體防護 ............................................................. 45
關於掃描檔案 ......................................................................... 46
Symantec Endpoint Protection 用戶端偵測到病毒或安全風險
時 .................................................................................. 48
關於自動防護 ............................................................................... 49
關於自動防護與安全風險 .......................................................... 49
關於自動防護與電子郵件掃描 .................................................... 49
停用加密電子郵件連線的「自動防護」處理 .................................. 51
檢視自動防護掃描統計 ............................................................. 51
檢視風險清單 ......................................................................... 52
架構「自動防護」判斷檔案類型 ................................................. 52
停用與啟用自動防護安全風險掃描及攔截 ..................................... 53
架構網路掃描選項 ................................................................... 53
進行防毒和防間諜軟體掃描 ............................................................. 55
Symantec Endpoint Protection 用戶端如何偵測病毒和安全風
險 .................................................................................. 55
關於定義檔 ............................................................................ 56
關於掃描壓縮檔 ...................................................................... 57
起始隨選掃描 ......................................................................... 57
架構防毒和防間諜軟體掃描 ............................................................. 57
建立排程掃描 ......................................................................... 58
建立隨選掃描和開機掃描 .......................................................... 60
編輯與刪除開機掃描、使用者定義的掃描與排程掃描 ...................... 62
解譯掃描結果 ............................................................................... 63
關於與掃描結果或「自動防護」結果的互動 .................................. 63
將防毒和防間諜軟體掃描的資訊傳送至賽門鐵克安全機制應變中
心 ........................................................................................ 65
架構對病毒與安全風險執行的動作 .................................................... 65
對病毒指派第二個動作的秘訣 .................................................... 68
對安全風險指派第二個動作的秘訣 .............................................. 69
關於風險影響等級 ................................................................... 69
架構病毒與安全風險的通知 ............................................................. 70
針對防毒和防間諜軟體掃描架構集中式例外 ........................................ 72
關於隔離所 .................................................................................. 74
關於隔離所中受感染的檔案 ....................................................... 74
關於處理隔離所中受感染的檔案 ................................................. 75
關於處理受到安全風險感染的檔案 .............................................. 75
管理隔離所 .................................................................................. 75
在隔離所中檢視檔案及檔案的細節 .............................................. 76
重新掃描隔離所內的檔案是否有病毒 ........................................... 76
當修復的檔案無法放回原來的位置 .............................................. 77
清除備份項目 ......................................................................... 77
從隔離所刪除檔案 ................................................................... 77
自動從隔離所刪除檔案 ............................................................. 78
將可能感染病毒的檔案傳送至賽門鐵克安全機制應變中心進行分
析 .................................................................................. 78
5目錄
第 7 章 管理主動型威脅防護
關於主動型威脅防護 ...................................................................... 81
關於主動型威脅掃描 ................................................................ 82
關於主動型威脅掃描的例外 ....................................................... 82
關於主動型威脅掃描偵測 .......................................................... 83
關於處理誤報 ......................................................................... 83
架構主動型威脅掃描的執行頻率 ....................................................... 84
管理主動型威脅偵測 ...................................................................... 84
指定主動型威脅掃描偵測的程序類型 ........................................... 85
指定偵測特洛伊木馬程式、病蟲和按鍵記錄器的動作和靈敏度等
級 .................................................................................. 86
設定偵測到商用應用程式時採取的動作 ........................................ 87
架構主動型威脅掃描偵測的通知 ....................................................... 87
將主動型威脅掃描相關資訊傳送至賽門鐵克安全機制應變中心 ................ 88
架構主動型威脅掃描的集中式例外 .................................................... 88
目錄6
第 8 章 管理網路威脅防護
關於網路威脅防護 ......................................................................... 91
用戶端防止受到網路攻擊的方式 ................................................. 92
檢視網路活動 ......................................................................... 94
架構防火牆 .................................................................................. 96
關於防火牆規則 ...................................................................... 96
新增規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
變更規則的順序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
啟用與停用規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
匯出和匯入規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
編輯和刪除規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
啟用流量設定和隱藏網頁瀏覽設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
啟用智慧型流量過濾 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
攔截流量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
架構入侵預防 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
架構入侵預防通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
攔截攻擊電腦 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
架構應用程式限定設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
移除應用程式的限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
共用檔案及資料夾 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
部分 3 Symantec Network Access Control
第 9 章 Symantec Network Access Control 基礎
關於 Symantec Network Access Control .......................................... 113
Symantec Network Access Control 的運作方式 .. . . . . . . . . . . . . . . . . . . . . . . . . . 113
關於更新主機完整性政策 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
執行主機完整性檢查 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
矯正電腦 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
檢視 Symantec Network Access 日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
關於強制執行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
架構用戶端進行 802.1x 驗證 .......................................................... 116
重新驗證電腦 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
部分 4 監控與記錄
第 10 章 使用和管理日誌
關於日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
檢視日誌及日誌詳細資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
過濾日誌檢視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
索引
7目錄
管理日誌大小 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
架構防毒和防間諜軟體防護日誌項目和主動型威脅防護日誌項目
的保留時間 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
架構網路威脅防護日誌及用戶端管理日誌的大小 . . . . . . . . . . . . . . . . . . . . . . . . . . 131
架構網路威脅防護日誌項目和用戶端管理日誌項目的保留時
間 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
關於刪除防毒和防間諜軟體系統日誌的內容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
刪除網路威脅防護日誌及用戶端管理日誌的內容 . . . . . . . . . . . . . . . . . . . . . . . . . . 132
從風險日誌和威脅日誌隔離風險及威脅 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
使用網路威脅防護日誌及用戶端管理日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
重新整理網路威脅防護日誌及用戶端管理日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
啟用封包日誌 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
停止主動回應 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
回溯檢查記錄事件的來源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
在 Symantec Network Access Control 使用用戶端管理日誌 ........... 135
匯出日誌資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
目錄8
簡介
■ Symantec 用戶端簡介
■ 回應用戶端
■ 管理用戶端
部分
1
10
Symantec 用戶端簡介
本章包含以下主題:
■ 關於用戶端
■ 保持電腦最新防護功能的方式
■ 關於安全性政策
■ 其他詳細資訊的位置
關於用戶端
1
賽門鐵克提供兩種端點安全產品,可搭配使用或單獨使用:Symantec Endpoint
Protection 和 Symantec Network Access Control。您或您的管理員已在您的電腦
上安裝一種或兩種 Symantec 用戶端軟體產品。如果是您的管理員安裝用戶端,則
由您的管理員決定用戶端上啟用的產品。
附註:如果您或您的管理員在您的電腦上安裝其中一個產品,產品名稱會出現在標
題列。當兩種防護都啟用時,Symantec Endpoint Protection 會出現在標題列。
Symantec Endpoint Protection 保護您的電腦不受網際網路威脅和安全風險的入
侵。它可以執行下列動作:
■ 掃描您電腦上的病毒、已知威脅和安全風險。
■ 監控通訊埠上的已知攻擊特徵。
■ 監控您電腦上程式的可疑行為。
請參閱第 31 頁的「關於 Symantec Endpoint Protection」。
Symantec Network Access Control 可確定您電腦的安全設定符合網路政策。安全
設定可以包括軟體、軟體架構設定、特徵檔案、修正程式或其他元素。
請參閱第 113 頁的「關於 Symantec Network Access Control」。
Symantec 用戶端簡介
12
關於用戶端
關於受管用戶端和非受管用戶端
Symantec 產品的管理員能夠將用戶端安裝成非受管用戶端或受管理員管理的用戶
端。非受管用戶端表示管理員無法控制 Symantec 用戶端中的設定和動作。在非受
管用戶端中,您可以控制用戶端的全部設定和動作。
在受管理環境中,管理員會從 Symantec Endpoint Protection Manager 遠端監控、
架構和更新用戶端。這個管理伺服器可供管理員決定您控制用戶端設定和動作的控
制數量。用戶端會檢查管理伺服器,以判斷是否有新的政策資訊或更新可供使用。
在受管理環境中,您可能無法檢視或存取每一個用戶端元件。用戶端中可見的元件
和可用的動作,視管理員授予電腦的存取權限程度而定。用戶端設定和設定值的可
用性會定期變更。例如,如果管理員更新控制用戶端防護的政策,則設定可能會變
更。
在全部的環境中,用戶端都會提示資訊和問題。您必須回應這些提示。
請參閱第 17 頁的「關於用戶端互動」。
關於通知區域圖示
用戶端在您桌面右下角有一個通知區域圖示。對這個圖示按下滑鼠右鍵,可顯示常
用命令。
附註:在受管用戶端上,如果您的管理員已架構它為不能使用,則此圖示不會顯
示。
表 1-1 描述通知區域圖示可用的命令。
表 1-1
通知區域圖示命令
敘述選項
開啟主視窗開啟 Symantec Endpoint
Protection
開啟 Symantec Network
Access Control
更新政策
從伺服器擷取最新安全性政策
附註:此命令僅限受管用戶端使用。
重新驗證
重新驗證用戶端電腦。
附註:此命令僅限當您的管理員架構用戶端為內建的 802.1x
請求者時使用。
保持電腦最新防護功能的方式
敘述選項
13Symantec 用戶端簡介
停用 Symantec Endpoint
Protection
請參閱第 119 頁的「重新驗證電腦」。
關閉全部的用戶端防護。
在您停用用戶端後,命令文字會從「停用」變更為「啟用」。
您可以選取此命令開啟全部的用戶端防護。
隱藏及顯示通知區域圖示
如有需要您可以隱藏通知區域圖示。例如,當您在 Windows 工作列上需要更多空
間時,可以將它隱藏。
附註:在受管用戶端上,如果您的管理員限制使用此功能,您便無法隱藏通知區域
圖示。
隱藏通知區域圖示
在主視窗的側邊看板中,按下「變更設定」。
1
在「變更設定」頁面,「用戶端管理」旁,按下「架構設定」。
2
在「用戶端管理設定」對話方塊中「一般」標籤上的「顯示選項」下,選取您
3
要變更的位置。
取消勾選「在通知區域中顯示 Symantec Endpoint Protection 圖示」。
4
按下「確定」。
5
顯示通知區域圖示
在主視窗的側邊看板中,按下「變更設定」。
1
在「變更設定」頁面,「用戶端管理」旁,按下「架構設定」。
2
在「用戶端管理設定」對話方塊的「顯示選項」下,選取您要變更的位置。
3
勾選「在通知區域中顯示 Symantec Endpoint Protection 圖示」。
4
按下「確定」。
5
保持電腦最新防護功能的方式
賽門鐵克公司的工程師會不斷追蹤各種電腦病毒的活動,藉以發現新的病毒。他們
也會追蹤混合型威脅、安全風險 (如間諜軟體) 以及可藉由電腦連接 Internet 時攻擊
的其他漏洞。在識別出風險之後,他們便會撰寫特徵 (即關於風險的資訊),然後將
它儲存在定義檔中。此定義檔包含偵測、刪除和修復風險攻擊所需的資訊。當
Symantec 用戶端簡介
14
保持電腦最新防護功能的方式
Symantec Endpoint Protection 掃描病毒和安全風險時,便會搜尋這些類型的特
徵。
用戶端必須保持最新的其他項目還包括允許和限制的程序清單以及攻擊特徵。程序
清單可協助「主動型威脅防護」識別可疑的程式行為,即使用戶端並未識別出特定
的威脅。攻擊特徵則可提供「入侵防護系統」保護電腦不受入侵所需的資訊。
除了定義檔、程序清單和攻擊特徵,用戶端還必須不定期更新元件。這些元件包括
「防毒和防間諜軟體防護」引擎、「主動型威脅防護」引擎以及「網路威脅防護」
防火牆。更新則可能有次要缺點修復或產品加強功能。
賽門鐵克會持續不斷提供更新。賽門鐵克安全機制應變中心每天都會更新定義。每
星期或在出現新的毀滅性病毒威脅時,都會以 LiveUpdate 提供新的定義。
附註:您的管理員可能會控制用戶端的定義更新頻率。
請參閱第 23 頁的「關於 LiveUpdate」。
關於賽門鐵克安全機制應變中心的角色
Symantec Endpoint Protection 背後的力量就是賽門鐵克安全機制應變中心。「賽
門鐵克安全機制應變中心」研究專家會分解各種病毒和安全風險樣本,查明其專有
的特徵與行為。他們會使用此資訊開發賽門鐵克產品用以偵測、排除和修復病毒與
安全風險所造成影響的定義。
由於新種病毒散播的速度相當快速,賽門鐵克安全機制應變中心已開發出自動化的
軟體分析工具。若您能將受感染的檔案從電腦傳送給賽門鐵克安全機制應變中心,
將能大幅縮短發現病毒、進行分析和開發出解毒方法的時間。
「賽門鐵克安全機制應變中心」的研究專家也會研究與開發防護電腦的技術,讓電
腦不受如間諜軟體、廣告軟體及駭客工具等安全風險的入侵。
「賽門鐵克安全機制應變中心」所維護的百科全書提供詳盡的病毒和安全風險資
訊。必要時,他們會提供關於移除風險的資訊。百科全書位於賽門鐵克安全機制應
變中心網站,網址如下:
http://www.symantec.com/zh/tw/enterprise/security_response/index.jsp
受管用戶端更新防護功能的方式
您的管理員會決定更新您病毒和安全風險定義的方式。您不需要做任何事,便可以
收到新的定義。
您的管理員可以設定 Symantec Endpoint Protection 中的 LiveUpdate 功能,以確
保您的病毒和安全風險防護保持在最新的狀態。LiveUpdate 會連接儲存更新的電
腦,判斷您的用戶端是否需要更新,然後下載和安裝適當的檔案。儲存更新的電腦
可能是公司內部的 Symantec Endpoint Protection Manager 伺服器。或者,也可
能是透過 Internet 存取的 Symantec LiveUpdate 伺服器。
請參閱第 23 頁的「關於 LiveUpdate」。
非受管用戶端上的防護如何進行更新
管理員不會更新非受管用戶端上的防護。您可以使用 LiveUpdate 更新軟體和定義
檔。如果您的非受管用戶端使用預設 LiveUpdate 設定,它會透過網際網路從
Symantec 伺服器每週檢查一次更新。
您可以變更 LiveUpdate 檢查更新的頻率。如果您知道有病毒或其他安全風險爆發
時,還可以手動執行 LiveUpdate。
請參閱第 23 頁的「關於 LiveUpdate」。
關於安全性政策
安全性政策是一組安全性設定,由受管用戶端的管理員架構和部署於用戶端中。安
全性政策會決定用戶端設定,包括您可檢視和存取的選項。
受管用戶端會連線至管理伺服器,並自動接收最新的安全性政策。如果您無法進行
網路存取,管理員會指示您手動更新安全性政策。
請參閱第 15 頁的「更新安全性政策」。
關於安全性政策
15Symantec 用戶端簡介
更新安全性政策
控制用戶端防護的設定儲存於電腦中的一個政策檔案中。此安全性政策檔案通常會
自動更新。但是,您的管理員可能會在特定情況下指示您手動更新安全性政策。
附註:您可以檢視系統日誌,確認作業已成功更新政策。
請參閱第 128 頁的「檢視日誌及日誌詳細資料」。
更新安全性政策
在 Windows 通知區域中,用滑鼠右鍵按下用戶端圖示。
1
在快顯功能表中,按下「更新政策」。
2
其他詳細資訊的位置
若您需要詳細資訊,可以存取線上說明。您可以從賽門鐵克安全機制應變中心網站
取得有關病毒及安全風險的其他資訊,網站 URL 是:
Symantec 用戶端簡介
16
其他詳細資訊的位置
http://www.symantec.com/zh/tw/enterprise/security_response/index.jsp
存取線上說明
用戶端線上說明系統提供一般資訊與程序,協助您保護電腦不受病毒和安全風險的
侵襲。
附註:您的管理員可能已經決定不安裝說明檔。
存取線上說明
在主視窗中,執行下列其中一項:
◆
■ 按下「說明及支援」,然後按下「說明主題」。
■ 在任何個別的對話方塊中,按下「說明」。
只有在您可以執行動作的螢幕上才有上下文關聯說明。
■ 在任何視窗中,按 F1。如果該視窗有上下文關聯說明,則會出現上下文關
聯說明。如果沒有上下文關聯說明,則會出現完整的說明系統。
存取賽門鐵克安全機制應變中心網站
如果您可以連線網際網路,您即可造訪賽門鐵克安全機制應變中心網站檢視下列項
目:
■ 包含關於所有已知病毒資訊的「病毒百科全書」
■ 關於惡作劇病毒的資訊
■ 關於一般病毒與病毒威脅的白皮書
■ 關於安全風險的一般資訊及詳細資訊
若要存取賽門鐵克安全機制應變中心網站,請使用下列 URL:
■ 在您的網際網路瀏覽器中,鍵入下列網址:
http://www.symantec.com/zh/tw/enterprise/security_response/index.jsp
回應用戶端
本章包含以下主題:
■ 關於用戶端互動
■ 處理受感染的檔案
■ 關於通知與警示
關於用戶端互動
用戶端會在背景執行,防護您的電腦,使您安全無虞,不受惡意活動的威脅。有時
候,用戶端必須通知您偵測到的活動,或者提示您提供回應。如果用戶端上已啟用
Symantec Endpoint Protection,您可能會有下列類型的用戶端互動:
2
病毒或安全風險偵測
應用程式相關通知
安全性警示
如果「自動防護」或掃描偵測出病毒或安全風險,
「Symantec Endpoint Protection 偵測結果」對話方
塊便會出現,其中顯示關於感染的詳細資訊。對話方
塊也會顯示 Symantec Endpoint Protection 處理風
險時採取的動作。除了檢視活動和關閉對話方塊之
外,您通常不需要採取其他任何動作。然而,若有必
要,您也可以採取進一步的行動。
請參閱第 18 頁的「處理受感染的檔案」。
當電腦上的程式嘗試存取網路時,Symantec
Endpoint Protection 會提示您允許或拒絕存取。
請參閱第 19 頁的「回應應用程式相關的通知」。
Symantec Endpoint Protection 會通知您已攔截程
式,或已偵測危害您電腦的攻擊。
請參閱第 22 頁的「回應安全性警示」。
回應用戶端
18
處理受感染的檔案
如果用戶端上已啟用 Symantec Network Access Control,您可能會看見「網路存
取控制」訊息。如果安全性設定未符合管理員架構的標準,就會顯示這個訊息。
請參閱第 22 頁的「回應網路存取控制通知」。
處理受感染的檔案
「自動防護」預設會持續在您的電腦上執行。若是非受管用戶端,當您啟動電腦
時,就會執行自動產生的快速掃描。若是受管用戶端,您的管理員通常會架構每週
至少執行一次完整掃描。「自動防護」在偵測到風險時,會顯示結果對話方塊。掃
描執行時,會出現掃描對話方塊,顯示掃描結果。若是受管用戶端,您的管理員可
能會關閉這些類型的通知。
如果您收到這類通知,可能需要對受感染的檔案採取動作。
「自動防護」和所有掃描類型的預設選項是,偵測到時,將受感染檔案中的病毒清
除。如果用戶端無法清除檔案,就會記錄這個失敗,並將受感染的檔案移到「隔離
所」。本機「隔離所」是一個特殊的位置,保留給受感染的檔案及相關系統副作用
使用。若是安全風險,用戶端會隔離受感染的檔案,並移除或修復其副作用。用戶
端無法修復檔案時,會將該偵測記錄下來。
附註: 病毒只要放到「隔離所」,便不會擴散。當用戶端將檔案移到「隔離所」,
您便無法存取該檔案。
Symantec Endpoint Protection 修復受病毒感染的檔後,您不必採取其他動作來防
護您的電腦。如果用戶端隔離了受安全風險感染的檔案,接著加以移除並修復,則
您不必採取其他動作。
您可能不需要對檔案採取動作,但可能會想要對檔案執行其他動作。例如,您可能
會決定將已清除病毒的檔案刪除,因為您想要以原始檔案取代該檔案。
您可以利用通知,立即對檔案採取動作。您也可以使用日誌檢視或「隔離所」,稍
後對檔案執行動作。
請參閱第 63 頁的「解譯掃描結果」。
請參閱第 132 頁的「從風險日誌和威脅日誌隔離風險及威脅」。
請參閱第 74 頁的「關於隔離所」。
處理受感染的檔案
執行下列其中一項動作:
1
■ 一旦掃描完成,在掃描進度對話方塊中,選取您所要的檔案。
■ 在「掃描結果」對話方塊中,選取您要的檔案。
■ 在用戶端的側邊看板中,按下「檢視日誌」,再按「防毒和防間諜軟體防
在檔案上按下滑鼠右鍵,再選取下列其中一個選項:
2
■ 還原採取的動作:還原採取的動作。
■ 清除:移除檔案中的病毒。
■ 永久刪除:刪除受感染的檔案和所有的副作用。對於安全風險,請審慎使
■ 移到「隔離所」:將受到感染的檔案置入「隔離所」內。若是安全風險,
■ 匯出:將「隔離所」的內容匯出為逗號分隔 (*.csv) 檔案或 Access 資料庫
■ 屬性:顯示有關病毒或安全風險的資訊。
某些情況下,用戶端可能無法執行您選取的動作。
關於病毒造成的損壞
關於通知與警示
19回應用戶端
護」旁邊的「檢視日誌」。在日誌檢視中選取您要的檔案。
用此動作。某些情況下,如果刪除安全風險,可能會造成應用程式無法運
作。
用戶端也會嘗試移除或修復其副作用。
(*.mdb) 檔案。
如果 Symantec Endpoint Protection 在發生感染時馬上發現,用戶端清除受感染的
檔案後,該檔案可能就可以完全正常使用。但是,在某些情況下,Symantec
Endpoint Protection 可能會清除已遭病毒破壞的受感染檔案。例如,Symantec
Endpoint Protection 可能發現損壞文件檔案的病毒,Symantec Endpoint Protection
會移除病毒,但無法修復受感染檔案的內部損壞。
關於通知與警示
您可能會在電腦上看見幾種不同類型的通知。這些通知通常會說明狀況,並且指出
用戶端嘗試解決問題的方法。
您可能會看見下列幾種通知類型:
■ 應用程式相關通知
■ 安全性警示
回應應用程式相關的通知
您可能會看見一個通知詢問您是否要允許應用程式或服務執行。
此類型的通知顯示原因有:
■ 應用程式要求存取您的網路連線。
回應用戶端
20
關於通知與警示
■ 存取您網路連線的應用程式已升級。
■ 用戶端使用「快速切換使用者」切換使用者。
■ 您的管理員升級了用戶端軟體。
您可能會看見下列訊息,通知您有應用程式或服務嘗試存取您的電腦:
Internet Explorer (IEXPLORE.EXE) 正嘗試
使用遠端通訊埠 80 (HTTP - 全球資訊網) 來連線至 www.symantec.com。
您是否要允許這項程式存取網路?
回應嘗試存取網路的應用程式
在訊息方塊中,按下「詳細資料」。
1
您可檢視有關連線和應用程式的更多資訊,這些資訊包括檔案名稱、版本號碼
及路徑。
如果您要在下次此應用程式嘗試存取您的網路連線時記住您的選擇,按下「記
2
住我的答案,請勿再針對這項應用程式詢問我」。
執行下列其中一項工作:
3
■ 若要允許應用程式存取網路連線,請按下「是」。
只有在您可以辨識應用程式並確定要讓它存取網路連線時,才按下「是」。
如果您不確定是否要允許應用程式存取網路連線,請詢問您的管理員。
■ 若要阻止應用程式存取網路連線,請按下「否」。
表 2-1 顯示您可以如何回應詢問您是否要允許或攔截應用程式的通知。
表 2-1
如果按下
應用程式許可通知
用戶端...如果您勾選「記住我的答案...」核
取方塊?
允許應用程式並不再詢問。是是
允許應用程式,並且每次都詢問。否是
攔截應用程式並不再詢問。是否
攔截應用程式,並且每次都詢問。否否
您可以在「執行中的應用程式」欄位或「應用程式」清單中變更應用程式動作。
請參閱第 107 頁的「架構應用程式限定設定」。
變更應用程式通知
有時候,您可能會看見一條訊息,指出應用程式已變更。
關於通知與警示
"Telnet 程式自從上次開啟後已變更,
這可能是因為您最近曾經進行更新。
您是否要允許存取網路?"
列於下列訊息中的應用程式嘗試存取您的網路連線。雖然用戶端辨識出應用程式的
名稱,但是自從上次用戶端遭遇過這個應用程式之後,這個程式已有過變更。很可
能是最近產品進行了升級。每個新產品版本會使用與舊版本不同的檔案指紋檔案。
用戶端偵測到檔案指紋檔案已變更。
快速切換使用者通知
如果您使用 Windows Vista/XP,您會看見下列其中一個通知:
"Symantec Endpoint Protection 無法顯示
使用者介面。如果您使用的是「Windows XP 快速使用者切換」,
請確定所有其他使用者都已登出 Windows 後,嘗試登出 Windows 再登入。
如果您使用的是「終端機服務」,則不支援使用者介面。"
或
"Symantec Endpoint Protection 並未執行但將會啟動。
然而,Symantec Endpoint Protection 無法顯示使用者介面。
如果您使用的是「Windows XP 快速使用者切換」,
請確定所有其他使用者都已登出 Windows 後,嘗試登出 Windows 再登入。
如果您使用的是「終端機服務」,則不支援使用者介面。"
21回應用戶端
快速切換使用者是一種 Windows 功能,讓您不需登出電腦就可以快速切換使用者。
多位使用者可以同時共用一台電腦,並且在來回切換時不需要關閉執行的程式。如
果您使用「快速切換使用者」切換使用者,會出現下列其中一個視窗。
若要回應快速切換使用者訊息,請按照對話方塊中的指示操作。
自動更新通知
如果用戶端軟體已自動更新,您會看見下列通知:
Symantec Endpoint Protection 偵測到 Symantec Endpoint Protection Manager
已有更新版本。
是否要立即下載?
回應自動更新通知
執行下列其中一項動作:
1
■ 若要立刻下載軟體,請按下「立即下載」。
回應用戶端
22
關於通知與警示
回應安全性警示
■ 若要在指定時間後被提醒,請按下「稍後提醒我」。
如果更新軟體的安裝程序開始後顯示一則訊息,請按下「確定」。
2
安全性警示會在通知區域圖示上方顯示一個通知。您只需要按下「確定」表示您已
讀取訊息。通知顯示的原因如下:
攔截應用程式訊息
入侵
根據管理員設定的規則,您電腦啟動的應用程式遭到攔截。例如,您會看見下列訊
息:
應用程式 Internet Explorer 已被攔截,
檔案名稱為 IEXPLORE.EXE。
這些通知表示您的用戶端已攔截您指定為不信任的流量。如果用戶端被架構為攔截
全部流量,這些通知會經常出現。如果您的用戶端被架構為允許全部流量,這些通
知將不會出現。
您的電腦受到攻擊,警示通知您這個情況,或提供處理方法的指示。例如,您會看
見下列訊息:
攔截 IP 位址 192.168.0.3 的流量,
從 10/10/2006 15:37:58 到 10/10/2006 15:47:58。
已記錄「通訊埠掃描」攻擊。
您的管理員可能已停用用戶端電腦上的入侵預防通知。若要檢視您用戶端偵測到的
攻擊類型,您可以讓用戶端顯示入侵預防通知。
請參閱第 106 頁的「架構入侵預防通知」。
回應網路存取控制通知
如果 Symantec Network Access Control 用戶端未符合安全性政策,則可能無法存
取網路。在此狀況下,您可以會看見訊息,說明由於「主機完整性」檢查失敗,因
此 Symantec Enforcer 攔截您的流量。網路管理員可能在此訊息中加入文字,說明
可以採取的矯正動作。
回應網路存取控制通知
按照訊息方塊中顯示的建議程序進行。
1
在訊息方塊中,按下「確定」。
2
在關閉訊息方塊之後,開啟用戶端,檢視其中是否顯示任何關於還原網路存取的建
議程序。
管理用戶端
本章包含以下主題:
■ 關於 LiveUpdate
■ 在排程間隔執行 LiveUpdate
■ 手動執行 LiveUpdate
■ 測試您電腦的安全
■ 關於位置
■ 變更位置
3
■ 關於竄改防護
■ 啟用、停用與架構竄改防護
關於 LiveUpdate
LiveUpdate 可使用網際網路連線在電腦上進行程式和防護更新。
所謂程式更新,指的是對已安裝好的產品做小幅度的修改。與產品升級不同,後者
指的是將整套產品更換成較新的版本。程式更新的建立通常是用來擴充作業系統或
硬體的相容性、調整效能問題,或是修正程式錯誤。至於程式更新部分,賽門鐵克
會視需要來發行。
附註:某些程式更新可能會需要您在安裝後重新開機。
LiveUpdate 會自動進行更新擷取和安裝。它會從 Internet 網站中搜尋取得檔案並
加以安裝,然後刪除您電腦上遺留的檔案。
防護更新檔利用最新防護技術使賽門鐵克產品保持在最新狀態。您收到的防護更新
視您安裝在電腦上的產品而定。
管理用戶端
24
在排程間隔執行 LiveUpdate
依預設,LiveUpdate 會在排程間隔自動執行。根據您的安全性設定,您可以手動執
行 LiveUpdate。可能也可以停用 LiveUpdate 或變更 LiveUpdate 排程。
在排程間隔執行 LiveUpdate
您可以建立排程,以便 LiveUpdate 在排程間隔自動執行。
在排程間隔執行 LiveUpdate
在用戶端的側邊看板中,按下「變更設定」>「用戶端管理」>「架構設定」。
1
在「用戶端管理設定」對話方塊中,按下「排程更新」。
2
在「排程更新」標籤上,勾選「啟用自動更新」。
3
在「頻率」群組方塊中,選取每日、每週或每月執行更新。
4
在「當」群組方塊中,選取在哪一天、哪一週或每天什麼時間執行更新。
5
若要指定如何處理錯過的更新,請按下「進階」。
6
在「進階排程選項」對話方塊中,選取 LiveUpdate 重試已遺漏更新的選項。
7
若需這些選項的詳細資訊,請按下「說明」。
按下「確定」。
8
按下「確定」。
9
手動執行 LiveUpdate
您可以使用 LiveUpdate 更新軟體和定義檔。LiveUpdate 會從 Symantec 網站擷取
新的定義檔,然後置換舊的定義檔。賽門鐵克的產品需要擁有最新的資訊,才能保
護您的電腦免受最新的病毒侵入。這些最新的資訊皆是透過賽門鐵克的 LiveUpdate
技術傳播。
使用 LiveUpdate 取得更新
在用戶端的側邊看板中,按下 LiveUpdate。
◆
LiveUpdate 會連線至 Symantec 伺服器,並檢查可用的更新,然後自動下載和
安裝這些更新。
測試您電腦的安全
您可以使用掃描的方式,測試您電腦不受威脅和病毒入侵的能力。此步驟的掃描對
確定您電腦不受入侵是非常重要的。結果可幫助您在用戶端上設定各選項以保護您
的電腦不受攻擊。
關於位置
關於位置
測試您電腦的安全
在用戶端的側邊看板中,按下「狀態」。
1
在「網路威脅防護」旁,按下「選項」>「檢視網路活動」。
2
按下「工具」>「測試網路安全」。
3
在賽門鐵克安全檢查網站,執行下列一項:
4
■ 若要檢查線上威脅,請按下「安全掃描」。
■ 若要檢查病毒,請按下「病毒偵測」。
在「使用者授權合約」對話方塊中,按下「我同意」,然後再按「下一步」。
5
如果您在步驟 4 按下了「病毒偵測」,請按下「我同意」,然後再按「下一
步」。
在任何時候,如果您想要停止掃描,請按下「停止」。
當掃描完成時,關閉對話方塊。
6
位置會參考根據您的網路環境所制定的安全性政策。例如,如果您從家裡使用筆記
型電腦連線至辦公室網路,管理員可以設定一個名為家用 (Home) 的位置。如果您
是在辦公室使用筆記型電腦,則可以使用一個名為辦公室 (Office) 的位置。其他位
置可能包括 VPN、分公司辦公室或旅館。
因為您的安全需求和使用需求可能會因不同網路環境而有所不同,因此用戶端可以
在這些位置間切換。例如,當您的筆記型電腦連線至辦公室網路時,用戶端可以使
用一組較嚴格的政策 (由管理員架構)。但當連線至家用網路時,用戶端則可以使用
一組能讓您存取較多架構選項的政策。管理員會依此原則規劃和架構您的用戶端,
以便用戶端能自動為您消除這些差異。
25管理用戶端
變更位置
附註:在受管環境中,只有在管理員提供了必要的權限時,您才能變更位置。
若有必要,您可以變更位置。例如,您可能需要切換至某個位置,以便同事能夠存
取您電腦上的檔案。根據您的安全性政策和電腦的使用中網路而定,會提供一份可
用位置的清單。
管理用戶端
26
關於竄改防護
關於竄改防護
附註:根據可用的安全性政策,您不一定能存取超過一個以上的位置。您可能會發
現按下某個位置時,並沒有變更該位置。這表示您的網路架構不適合該位置。例
如,只有在偵測到辦公室區域網路 (LAN) 時,才能夠使用稱為「辦公室」的位置。
如果您目前不在相關的網路上,就無法變更該位置。
變更位置
在用戶端的側邊看板中,按下「變更設定」。
1
在「變更設定」頁的「用戶端管理」旁,按下「架構設定」。
2
在「一般」標籤的「位置選項」下方,選取您要變更至的位置。
3
按下「確定」。
4
「竄改防護」提供 Symantec 應用程式的即時防護。它可以阻擋惡意軟體 (如病蟲、
特洛伊木馬程式、病毒及安全風險) 的攻擊。
您可以設定「竄改防護」採取下列動作:
■ 攔截竄改嘗試並記錄事件
■ 記錄竄改事件但不干擾竄改事件
除非您的管理員變更預設設定,否則會同時為受管用戶端和非受管用戶端啟用「竄
改防護」。當「竄改防護」偵測到竄改嘗試時,預設會採取的動作是在「竄改防護
日誌」中記錄該事件。您可以架構「竄改防護」在偵測到竄改嘗試時,在您的電腦
上顯示通知。您可以自訂這個訊息。除非您啟用該功能,否則「竄改防護」不會通
知您有關竄改嘗試的事件。
如果您使用的是非受管用戶端,則可以變更您的「竄改防護」設定。如果您使用的
是受管用戶端,只要您的管理員允許,也可以變更這些設定。
初次使用 Symantec Endpoint Protection 時,若您每週監控一次日誌,最好保留預
設動作「僅記錄事件」。在沒有發現誤判,可以放心時,就可以將「竄改防護」設
定為「攔截並記錄事件」。
附註:如果您使用協力廠商的安全風險掃描程式來偵測並防禦不想要的廣告軟體和
間諜軟體,該掃描程式通常會影響賽門鐵克程序。如果您在執行協力廠商的安全風
險掃描程式的同時啟用「竄改防護」,「竄改防護」會產生大量的通知和日誌項
目。最佳的做法是讓「竄改防護」一直保持在啟用狀態,並在產生的事件數目過多
時,使用日誌過濾功能。
啟用、停用與架構竄改防護
您可以啟用或停用「竄改防護」。如果啟用「竄改防護」,您可以選擇當它偵測到
嘗試竄改賽門鐵克軟體的事件時,所要採取的動作。您也可以讓「竄改防護」顯示
訊息,通知您發生了竄改嘗試事件。如果您要自訂訊息,可以使用「竄改防護」會
填入適當資訊的預先定義變數。
如需預先定義變數的相關資訊,請按「竄改防護」標籤上的「說明」。
啟用或停用竄改防護
在主視窗的側邊看板中,按下「變更設定」。
1
在「用戶端管理」旁邊,按下「架構設定」。
2
在「竄改防護」標籤上,勾選或取消勾選「防護賽門鐵克安全軟體不受竄改或
3
關閉」。
按下「確定」。
4
架構竄改防護
在主視窗的側邊看板中,按下「變更設定」。
1
在「用戶端管理」旁邊,按下「架構設定」。
2
在「竄改防護」標籤的「應用程式嘗試竄改或關閉賽門鐵克安全軟體時要執行
3
的動作」清單方塊中,選取「攔截並記錄事件」或「僅記錄事件」。
如果您要在「竄改防護」偵測到可疑的行為時收到通知,請勾選「在偵測出竄
4
改時顯示通知訊息」。
如果您啟用這些通知訊息,就可以收到關於 Windows 程序以及賽門鐵克程序
的通知。
若要自訂所顯示的訊息,請在訊息欄位中輸入新的文字或刪除任何您想刪除的
5
文字。
按下「確定」。
6
啟用、停用與架構竄改防護
27管理用戶端
管理用戶端
28
啟用、停用與架構竄改防護
部分
Symantec Endpoint
Protection
■ 介紹 Symantec Endpoint Protection
■ Symantec Endpoint Protection 用戶端基礎
■ 管理防毒和防間諜軟體防護
2
■ 管理主動型威脅防護
■ 管理網路威脅防護
30
Loading...