上午接一朋友电话告知,公司所用诺顿扫描后,XP系统出现大量蓝屏。因我所在公司也使用Symantec防病毒产品,并订制的策略是每周五中午12点开始扫描。现在的状况是病毒库升级到5月17日版本后,扫描将会导致打过KB924270补丁的XP系统崩溃,其原因是诺顿将KB924270更新过的正常系统文件netapi32.dll和lsasrv.dll误报为Backdoor.Haxdoor后门病毒。
该文件在诺顿隔离后,系统重启将导致蓝屏并提示:STOP c000021a Unkown hard error。
中午的时候和Symantec广州办事处进行了联系和确认,并发过来一个临时解决方案,希望对扫描后系统出现问题的朋友提供帮助。
Backdoor.haxdoor临时解决方案(10:00)
SAV更新到5月17日的病毒定以后,会把
C:\windows\system32\netapi32.dll和 C:\windows\system32\lsasrv.dll
认为是backdoor.haxdoor, 并且把他们隔离掉。
会造成重起机器后无法进入系统,安全模式也无法进入,蓝屏。
目前的紧急对策:
从系统中心---右击服务器---所有任务---Symantec antivirus---病毒定义管理器---点击右上角的“配置”----出现对话框后店击“病毒定义文件”---然后选择之前的病毒定义。
使得服务器不要下发今天的病毒定义。
对于已经更新病毒定义的客户端,千万不要重新启动电脑。
关掉symantec antivirus 服务,如果netapi32.dll和lsasrc.dll文件存在,且修改日期不是今天,说明没有被完全隔离(应该是部分) ;从隔离区里面恢复这两个文件,或者从没有问题的电脑copy这两个文件到C:\windows\system32。
然后把C:\program files\common files\symantec shared\virusdefs\下把20070517这个文件夹删掉。
Symantec正在加急开发更新的病毒定义,新的病毒定义出来后,请马上更新到最新。
如果已经蓝屏,尝试以下方法,
1. 使用windows pe工具盘或者XP系统光盘进入系统.
2. 使用U盘copy正常环境下c:\windows\system32 下的netapi32.dll和lsasrv.dll文件替换故障机器system32下的这2个文件
3. 将故障机器上的C:\program files\common files\symantec shared\virusdefs\下把20070517这个文件夹删掉。
4. 重启电脑
5. 可能SAVCE会再次报警,但系统恢复正常
Symantec SRC (防病毒中心)
20070518
我们也可以使用XP系统光盘,启动时点击R进入控制台修复,并Copy该两个文件后重启:
copy x:\I386\netapi32.dl_ c:\windows\system32\netapi32.dll
copy x:\I386\lsasrv.dl_ c:\windows\system32\lsasrv.dll
刚收到最新的解决方法来源于Sysmantec:(14:18)
让客户到以下ftp 站点,下载68639 或者 更新的,解决了系统文件误报问题,并可以把隔离区里的系统文件恢复。
下载链接:
ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/symantec_antivirus_corp/rapidrelease/sequence/
到68639目录或更加新的目录下。
文件:symrapidreleasedefsx86.exe可用于服务器版本和客户端版本的可执行安装,
如果需要管理服务器往客户端分发,还需要把文件vd256247.xdb拷贝到管理中心的企业版本防病毒服务器防病毒安装目录下,
例如c:\program files\SAV (如果安装的是Symantec Antivirus Corporation Edition) 或c:\program files\symantec (如果安装的是Symantec Client Security)。
需要手工重新启动防病毒服务。
16:00——目前可已直接升级更新病毒库!!问题解决!
微软从四月份开始,在四大城市陆续展开“2007微软管理与安全日”活动,详细地活动安排可以登录微软网站查询(http://www.microsoft.com/china/events/securityday/default.aspx)。在本次活动中,关于安全方面有一个新的亮点,大家会发现一个新的名词——Forefront。
什么是Microsoft Forefront呢?它是Microsoft的什么产品呢?让我们一起来简单了解下吧。
信息系统的安全是让广大企业IT部门非常头疼的事情,从过去的盲目攻击(拒绝服务等),到现在有目的、有计划地实施攻击(网络钓鱼、社交工程、僵尸网络),都给我们带来了巨大的损失。其中,网络尤其以病毒最为头疼,就拿最近的熊猫烧香病毒来说,给企业带来的损失巨大。
让我们一起来看一组数据,截至2006年2月,Microsoft Windows XP SP2已分发2.77亿个副本,其中企业部署占61%;Microsoft Windows 2003 SP1已有470万份下载;推出不久的Windows Defender成为了Microsoft史上最频繁的下载,帮助保护2800多万名客户,以及Microsoft Windows恶意软件移除工具共执行28亿次,平均每月执行2.7亿次。从这一组数据看到,微软公司在不断的加强安全的管理和帮助客户实现安全可信计算。
可能很多人比较熟悉Microsoft Antigen安全产品,该系列产品包含:
Antigen for Exchange:保护企业Exchange 2003和Exchange 2000;
Antigen for Instant Massaging:保护Microsoft Live Communications Server 2005的安全;
Advanced Spam Manager:帮助Exchange服务器,防止垃圾邮件;
Antigen for SMTP Gateways:基于企业边缘网络的保护;
Antigen for SharePoint:保护Windows SharePoint Services 和 SharePoint Portal Server 2003安全。
如今Microsoft Forefront发布,将Antigen产品进行有效整合,我们可以从下图可以详细地看到发展过程。
相信从这个图大家就可以很清楚的认识到,Microsoft Forefront不单单是一个产品,它应该是一个安全产品系列,该系列包含了Microsoft Internet Security and Acceleration Server 2006(ISA Server 2006)、Microsoft Forefront Security for Exchange Server、Microsoft Forefront Security for SharePoint、Microsoft Forefront Security for Office Communication Server和Microsoft Forefront Client Security。该系列产品将企业从边缘网络、应用服务器到客户端安全管理全面整合,形成了一套Microsoft安全解决方案。
那么,在微软的整个安全体系架构中,Forefront处在什么位置呢?我们从下图可以清晰地看到。
在图中的蓝色区域就是Microsoft Forefront系列,其与企业现有的基础架构平台集成,一起形成微软完整的安全体系架构,用以保护客户端设备、服务器和核心应用系列和网络边缘。
我们也可以从以下示意图简单的看看Forefront系列产品在企业中部署架构。
在简单认识了Microsoft Forefront系列产品后,让我们来看看Forefront带给我们哪些惊喜的地方吧。
一、ISA Server 2006的新特性
1、针对应用程序发布的保护
ISA Server 2006增加了SharePoint站点的发布,简化了以往Exchange站点发布的复杂度,增加身份验证方式的支持;
2、支持SSO(Single Sign-On)
支持相同域名后缀的单点登录;
3、增强的安全访问
加强安全访问的限制,可以限制每个IP每分钟的最大TCP连接请求数,最大TCP并发连接数,最大TCP半开连接数以及每分钟的最大HTTP连接请求数和最大UDP并发连接数等;
4、增加分部网络的支持
二、多个防病毒引擎,提供有效保护
Forefront在整个系列产品中提供九大知名防病毒厂商的扫描引擎,这些引擎包含Microsoft Antivirus、Sophos、CA VET、CA InoculateIT、Norman、Kaspersky Lab、AhnLab、Authentium Command、Virus Buster,这九大防病毒扫描引擎均在Forefront for服务器和客户端安全产品中提供,其中Microsoft Antivirus、Sophos、CA VET、CA InoculateIT、Norman这五大引擎随产品提供。
可能有人会问,有这么多防病毒引擎有什么好处?让我们先来看一组数据,这是著名的防病毒软件检测实验室AV-Test.org对以上九大引擎通过五种五个引擎的组合与单一引擎,对全球82种病毒进行测试后得到的权威数据。
通过以上数据,我们清晰地看到Forefront多引擎扫描对病毒的防护能力远远高于单一防病毒引擎所起的防护作用。
除此之外,面对企业复杂的网络环境,多引擎扫描还可以解决单一引擎不能完成的工作:
1、引擎失效保护:防止因某个防病毒引擎失败,而丢失防护能力;
2、回退保护:该保护可以确保在引擎接受更新时若失败,可以回滚到上一个正常的版本,并激活,然后发出警告信息;
3、更新保护:在某个引擎正在更新时,其他工作引擎依然坚持扫描,确保正常保护;
4、获得最新病毒代码:让所受保护的客户端或服务器通过多个国际知名防病毒厂商的病毒代码扫描,从上可知,最多可达九个;
注:当服务器提供多个引擎扫描时,必然影响服务器性能,所以每次多引擎的组合,最多选择五个。
5、动态的性能调整:在Forefront中,我们可以选择Forefront服务器使用怎样的引擎组合,并能根据服务器的性能自由选择,例如,我们要保证较高的病毒防护性能,多引擎将自动进行性能调整,使用25%的可用引擎提供工作;并且多引擎在管理中,所使用的防病毒引擎均从可用引擎中动态分配。
通过不同的扫描组合,最大化减少威胁,为企业网络实现有效保护。
三、强大功能
Forefront除了提供强大的多引擎扫描以外,还针对蠕虫的移除、文件的筛选提供强有力的保护。
四、紧密结合、简单管理
Forefront系列产品很好的与企业基础平台架构集成,并配合相关服务器产品,如AD、WUSU、MOM、SQL等提供高效协同工作。
除此之外,Forefront结合AD组策略进行集中管理和集中分发,将生成的部署模板、设置的策略、软件分发等进行统一部署。
五、强大的警报和报告功能
Forefront控制台结合SQL Server 2005的Reporting Services和MOM 2005进行报表生成和事件收集;
六、应用服务器的策略定制
1、文件过滤
Forefront可以通过对文件名或者是文件类型进行文件过滤,即使用户修改文件后缀来欺骗也是不能成功的。
2、单独的过滤列表设置
Forefront可以对每一个过滤列表进行单独设置,提供良好的灵活操作。
3、压缩文档的扫描
Forefront可以对压缩文档进行扫描,不仅如此,加密后的压缩文档也将被扫描,扫描完成后,将重新打包并进行归档。若压缩包中有不法文件,将进行相应操作,并生成文本报告,告诉用户。
4、针对OU或安全组的策略设置
在Forefront中策略设置,可以方便、快捷的通过AD集成分别将策略部署在OU或者安全组中,若没有加入AD的计算机,还可以将策略文件保存本地,在客户端运用即可。
七、多种扫描方式
Forefront提供多种扫描方式,有自动扫描、手动扫描和后台扫描三种,可以根据不同的企业运用场景进行针对性设置。比如需要扫描SharePoint站点中某一个文件,可以在Forefront Security for SharePoint中启用手动扫描。
Forefront还是用内存来取代硬盘后台处理的方式对内容进行扫描,以此动态分配内存提高服务器效率,并消除为进行病毒扫描而将数据缓存进磁盘的繁重过程。
八、增强的群集支持
Forefront还支持A/P的群集部署,用以保证服务器的高可用性。
Microsoft Forefront即将发布,我们可以从中看到,Microsoft在企业安全方面有了长足的发展。该安全系列地发布,将为广大企业在安全防护方面提供良好、完善的安全体系架构,为企业的安全实施提供完备的解决方案,我们有理由相信,Forefront将为企业IT在安全防护方面更进一步,将协助企业构建稳定、高效、安全的网络环境,我们拭目以待!
感谢大盆,让跃跃领舞在ITECN上有了一落脚之地。
昨天就开通的Blog,今天才有勇气来发第一篇帖子,可见压力是相当的大啊,看看周围,个个是高手中的高手,小弟我初涉江湖,只得谨慎再谨慎。想了一晚上,总不能辜负大盆的一番好意吧,得,今天就露个脸吧,各位江湖大哥大姐,小弟这有礼了
我,跃跃领舞,读过几年书,目前在鹏城从事IT这个行当。苦啊,累啊,但做的还挺开心,人说得一知己足亦,我嘛干一带劲的工作爽亦。工作一年有余,兴趣加上一点雄心,让我掌握了一点知识和积累了一点经验,希望在ITECN中与大家一起交流和分享,若有错误之处,尽管批评,我一定虚心接受,尽快改正,当然,也请各位手下留情。
好了,不说了,怕待会有人说:比尔先生都演讲完了,你还在这里唠叨。最后一句,盗用一下盖茨演讲的最后一句话:让我们携手努力,共创ITECN未来的辉煌!让我们用这个平台,更好的分享技术的快乐吧!