防毒墙服务器ServerProtect
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
激活间谍软件检测重新启动spntsvc和引擎既能生效dce行为spnt58发现副类型为sysclean的病毒时将会加载dce执行通用清除spnt58把dce结果记录在txt文件中genericclean技术genericclean是dce中一项非常强大的功能使dce能够无需清除签名即可清除恶件的指定片段通过提供特殊参照清除功能而降低对损害清除签名的要求特殊参照清除功能可自劢决定幵清除指定恶件片段所参照的组件genericclean功能减少了支持负担为客户提供了一种无需清除签名的解决方案rootkit通用模块vsapdce使用rootkit通用模块来检测清除rootkitrootkit是种恶意程序另使用户使用explorertaskmanager等正常应用查看时无法发现该恶意程序加密rpc加密is和ns之间的通信以防止正常服务器收到未经验证的指令的攻击spnt58spnt55857ns之间的通信使用未加密渠道当所有ns均被升级到spnt58时以前的rpc渠道将被永久关闭每次重启之后is和ns都将交换密钥nskey加密iskey解密nskeyns解密iskey加密从spnt55857迁移支持从spnt558spnt57的迁移安装包括windowsserver和nwserverspnt58将升级所有spnt55857组件spnt58支持应用安装包远程升级到nsspnt58对ns升级支持无提示安装spnt58cmagent安装将升级以前的cmagentspnt58的部署三层架构管理控制台信息服务器和标准服务器关于信息服务器的提示信息服务器本身不具备防毒功能除非在同一台计算机上也安装了标准服务器信息服务器是管理控制台与其管理的标准服务器之间的主要通信枢纽中间件
• 更加频繁
– “哈佛大学以及哈佛医学院每7秒钟就会受到攻击。”
-- 首席信息官John Halamka
• 更具针对性
– “27%的受访者报告了针对性攻击”。-- 《2008年CSI
计算机犯罪&安全调查报告》
趋势科技 ServerProtect
ServerProtect 的优势
• 先进的扫描和响应功能 • 安装、管理和更显简单 • 基于任务的自动化 • 集中部署、管理和报告 • 久经验证的历史记录
» 137 (UDP)/ 138 (UDP)/ 139 (TCP) – 打开 3628端口 (TCP) – 打开1921端口(Netware 上针对 SPX/TCP)
• 装有标准服务器的 Windows 计算机中的防火墙设置
– 打开 5168端口(以便侦听信息服务器的 RPC over TCP/IP) – 打开 137-139端口(针对 RPC Over named pipe)
防毒墙服务器版ServerProtect 5.8
趋势科技——沈赟
内容概要
• 市场趋势和威胁格局 • 趋势科技 ServerProtect • SPNT 5.8 新功能概述 • SPNT 5.8 的部署 • SPNT 5.8 管理与设置
市场趋势和威胁格局
局势:动态数据中心
传统数据中心服务器
•全球有5000万台此类服务器,每年新增出货量800万 •攻击避开了外围安全方案:加密攻击、无线攻击、内部攻击
– Rootkit 是种恶意程序另使用户使用Explorer、Task Manager 等正常应用查看时无法发现该恶意程序
加密RPC
• 加密IS和NS之间的通信,以防止正常服 务器收到未经验证的指令的攻击
– SPNT 5.8 IS与 SPNT 5.58 / 5.7 NS之间的 通信使用未加密渠道
– 当所有NS均被升级到 SPNT 5.8时,以前的 RPC渠道将被永久关闭
• 添加新任务
任务向导
更新和部署
THANK YOU!
• SPNT 5.8将升级所有SPNT 5.58/5.7组件 • SPNT 5.8支持应用安装包远程升级到NS • SPNT 5.8对NS升级支持无提示安装 • SPNT 5.8 CMAgent安装将升级 以前的cmagent
SPNT 5.8 的部署
三层架构
• 管理控制台、信息服务器和标准服务器
MC
IS
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
NS
CMA
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
防恶件行为
• 支持间谍软件检测和修复
– 间谍软件结果导致扫描和日志 – 使用 ActiveAction,间谍软件将会获得通过 – 对于定制活动,间谍软件采用与正常病毒相同的活动设置
问题:威胁环境
• 利润更丰厚
– 1000亿美元:预计全球网络犯罪的盈利金额--
2008年《芝加哥论坛报》
• 更加复杂、恶劣和隐蔽,
– “2008年失窃的2.85亿条记录中有95%是由于娴 熟的网络攻击而造成的”
– “75%的情况下,违规情况在数星期或数月内都未 被发现。” -- 2009年《Verizon 违规报告》
• DisableSpywareDetection = 0 : 禁用间谍软件检测 • DisableSpywareDetection = 1 或不存在 :激活间谍软件检测
– 重新启动 spntsvc和引擎既能生效
DCE行为
• SPNT 5.8发现副类型为“sysclean” 的病毒时,将 会加载DCE执行通用清除
• 前所未有的轻松管理
– 现在提供压缩文件清理 – 采用Generic Clean技术清除Rootkit
• 支持从 SPNT 5.58 & SPNT 5.7的迁移
支持所有的Windows Server平台
Windows 2000 Standard Server with SP4 Windows 2000 Advance Server with SP4 Windows 2003 Standard Server with SP1 or SP2 (x32 & x64) Windows 2003 Enterprise Server with SP1 or SP2 (x32 & x64) Windows 2003 Storage Server with SP1 (x32 & x64) Windows 2003 Standard Server R2 or with SP2 (x32 & x64) Windows 2003 Enterprise Server R2 or with SP2 (x32 & x64) Windows 2003 Storage Server R2 or with SP2 (x32 & x64) Windows 2008 Standard Server (x32& x64) (without Hyper-V) Windows 2008 Enterprise Server (x32& x64) (without Hyper-V) Windows 2008 Storage Server (x32& x64) (without Hyper-V) Windows 2008 Datacenter Server (x32& x64) (without Hyper-V) Windows 2008 Web Server (x32& x64) (without Hyper-V) Windows 2008 Hyper-V(Standard/Enterprise/Storage/Datacenter) (x64) Windows 2008 Server core(Standard/Enterprise/Datacenter/Web)(x32&x64) VMWare ESX 3.5 VMWare ESXi VMWare Server 2 Netware Novell 6.5 Patch 7 or Patch 8(Open Enterprise Server 2)
关于信息服务器的提示
• 信息服务器本身不具备防毒功能,除非在同一台计算机 上也安装了标准服务器
• 信息服务器是管理控制台与其管理的标准服务器之间的 主要通信枢纽(中间件)。它通过允许管理员从远程站 点发送指令并接收信息简化了对标准服务器的控制。
• 一台信息服务器最多可以管理250台标准服务器。此数 字做参考,根据可用带宽,信息服务器可以管理更多标 准服务器
– Windows 2008 或者Windows2003 操作系统开启自带防火墙 – 标准服务器与信息服务器或者管理控制台之间有防火墙,需要在防火墙
上开启对应端口
• 装有管理控制台的计算机的防火墙设置
– 打开1000-1009 端口(TCP)
• 信息服务器的防火墙设置
– 打开 5005-5014 端口(TCP) – 打开 3000-3009 端口(UDP) – 打开 137-139端口(针对 RPC Over named pipe)
您
处
虚拟服务器
于
哪
• “2008年,x86服务器部署的工作荷载中,四分之一
个
部署在虚拟服务器上”(Gartner)
阶
• 风险与物理服务器相同,还增加了新的挑战、威胁
段
• 现有解决方案性能较低,或者暴露于风险之中
?
云计算
• “到2012年,SaaS将占硬件架构开支的40%” (Gartner) • 外围安全不提供任何保护 • 云安全服务提供商几乎不提供安全性
安装前的准备
• 检查是否插上网线
– 确保在安装前系统连接在网络中,机器必须插网线
• 检查系统服务是否正确开启
– Remote Procedure Call(RPC) – Remote Registry – Windows Installer
• 检查磁盘默认共享是否开启
网络准备
• 两种情况可能需要开启防火墙相应通信端口
• 首次注册时,IS和NS都将生成加密密钥
• 每次重启之后,IS和NS都将交换密钥
IS_KEY 解密 NS_KEY 加密
IS
加密 IS_KEY
解密 NS_KEY
NS
从SPNT 5.58/5.7迁移
• 支持从SPNT 5.58 & SPNT 5.7的迁移安装,包括 Windows Server和NW Server
• 通过提供特殊参照清除功能而降低对损害清除签名的要 求,特殊参照清除功能可自动决定并清除指定恶件片段 所参照的组件
• GenericClean功能减少了支持负担,为客户提供了一 种无需清除签名的解决方案
Rootkit通用模块
• VSAP/DCE使用Rootkit通用模块来检测/清除 Rootkit
• 支持压缩文件清除
– 清除在大型压缩文件包中发现的病毒,无需IT管理员付出额外精力
禁用间谍软件检测
• 如果关心页面池的大小和全面性能,则可以使用隐藏的 按键禁用间谍软件检测
– HKEY_LOCAL_MACHINE\\SOFTWARE\\TrendMicro\\Serv erProtect\\CurrentVersion\\ Engine\\
– GCT无法由设置禁用/激活,而是由DCE触发 – 64位环境中GCT不起作用 – GCT不支持NetWare – SPNT 5.8把DCE结果记录在Txt文件中
GenericClean技术
• GenericClean是DCE中一项非常强大的功能,使 DCE能够无需清除签名即可清除恶件的指定片段
• 在虚拟网域名称上,按鼠标右键,点选’安装新的SPNT(s)’
通过安装程序部署标准服务器
安装是否成功?
• 查看控制台
• 服务列表 • 标准服务器任务栏图标
此服务仅安装控管理中 心TMCM 代理才有
SPNT 5.8 管理与设置
扫描设定
通知
爆发阻止
任务添加和设定
• 部署组件、立即扫描、运行统计
» 137 (UDP)/ 138 (UDP)/ 139 (TCP) – 打开 9921端口(Netware 上针对 SPX/TCP)
安装过程
通过控制台部署标准服务器
• 在ServerProtect 网域中需要有一台已经安装完毕的标准 服务器来当做来源端
• 安装64 位平台标准服务器,在ServerProtect 网域中需 要有一台已经安装完毕的64 位标准服务器来当做来源端
SPNT 5.8 新功能概述
ServerProtect 5.8:新功能
• 支持更多的Windows Server & Netware 平台
– 现在涵盖Windows 2008和Netware 6.5 Patch 7
• 加强了对恶件和恶意活动的保护
– 改善了间谍软件的检测和修复 – 通过RCM改善Rootkit检测和清除 – 安全的内部沟通渠道防止中断
• 更加频繁
– “哈佛大学以及哈佛医学院每7秒钟就会受到攻击。”
-- 首席信息官John Halamka
• 更具针对性
– “27%的受访者报告了针对性攻击”。-- 《2008年CSI
计算机犯罪&安全调查报告》
趋势科技 ServerProtect
ServerProtect 的优势
• 先进的扫描和响应功能 • 安装、管理和更显简单 • 基于任务的自动化 • 集中部署、管理和报告 • 久经验证的历史记录
» 137 (UDP)/ 138 (UDP)/ 139 (TCP) – 打开 3628端口 (TCP) – 打开1921端口(Netware 上针对 SPX/TCP)
• 装有标准服务器的 Windows 计算机中的防火墙设置
– 打开 5168端口(以便侦听信息服务器的 RPC over TCP/IP) – 打开 137-139端口(针对 RPC Over named pipe)
防毒墙服务器版ServerProtect 5.8
趋势科技——沈赟
内容概要
• 市场趋势和威胁格局 • 趋势科技 ServerProtect • SPNT 5.8 新功能概述 • SPNT 5.8 的部署 • SPNT 5.8 管理与设置
市场趋势和威胁格局
局势:动态数据中心
传统数据中心服务器
•全球有5000万台此类服务器,每年新增出货量800万 •攻击避开了外围安全方案:加密攻击、无线攻击、内部攻击
– Rootkit 是种恶意程序另使用户使用Explorer、Task Manager 等正常应用查看时无法发现该恶意程序
加密RPC
• 加密IS和NS之间的通信,以防止正常服 务器收到未经验证的指令的攻击
– SPNT 5.8 IS与 SPNT 5.58 / 5.7 NS之间的 通信使用未加密渠道
– 当所有NS均被升级到 SPNT 5.8时,以前的 RPC渠道将被永久关闭
• 添加新任务
任务向导
更新和部署
THANK YOU!
• SPNT 5.8将升级所有SPNT 5.58/5.7组件 • SPNT 5.8支持应用安装包远程升级到NS • SPNT 5.8对NS升级支持无提示安装 • SPNT 5.8 CMAgent安装将升级 以前的cmagent
SPNT 5.8 的部署
三层架构
• 管理控制台、信息服务器和标准服务器
MC
IS
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
NS
CMA
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
防恶件行为
• 支持间谍软件检测和修复
– 间谍软件结果导致扫描和日志 – 使用 ActiveAction,间谍软件将会获得通过 – 对于定制活动,间谍软件采用与正常病毒相同的活动设置
问题:威胁环境
• 利润更丰厚
– 1000亿美元:预计全球网络犯罪的盈利金额--
2008年《芝加哥论坛报》
• 更加复杂、恶劣和隐蔽,
– “2008年失窃的2.85亿条记录中有95%是由于娴 熟的网络攻击而造成的”
– “75%的情况下,违规情况在数星期或数月内都未 被发现。” -- 2009年《Verizon 违规报告》
• DisableSpywareDetection = 0 : 禁用间谍软件检测 • DisableSpywareDetection = 1 或不存在 :激活间谍软件检测
– 重新启动 spntsvc和引擎既能生效
DCE行为
• SPNT 5.8发现副类型为“sysclean” 的病毒时,将 会加载DCE执行通用清除
• 前所未有的轻松管理
– 现在提供压缩文件清理 – 采用Generic Clean技术清除Rootkit
• 支持从 SPNT 5.58 & SPNT 5.7的迁移
支持所有的Windows Server平台
Windows 2000 Standard Server with SP4 Windows 2000 Advance Server with SP4 Windows 2003 Standard Server with SP1 or SP2 (x32 & x64) Windows 2003 Enterprise Server with SP1 or SP2 (x32 & x64) Windows 2003 Storage Server with SP1 (x32 & x64) Windows 2003 Standard Server R2 or with SP2 (x32 & x64) Windows 2003 Enterprise Server R2 or with SP2 (x32 & x64) Windows 2003 Storage Server R2 or with SP2 (x32 & x64) Windows 2008 Standard Server (x32& x64) (without Hyper-V) Windows 2008 Enterprise Server (x32& x64) (without Hyper-V) Windows 2008 Storage Server (x32& x64) (without Hyper-V) Windows 2008 Datacenter Server (x32& x64) (without Hyper-V) Windows 2008 Web Server (x32& x64) (without Hyper-V) Windows 2008 Hyper-V(Standard/Enterprise/Storage/Datacenter) (x64) Windows 2008 Server core(Standard/Enterprise/Datacenter/Web)(x32&x64) VMWare ESX 3.5 VMWare ESXi VMWare Server 2 Netware Novell 6.5 Patch 7 or Patch 8(Open Enterprise Server 2)
关于信息服务器的提示
• 信息服务器本身不具备防毒功能,除非在同一台计算机 上也安装了标准服务器
• 信息服务器是管理控制台与其管理的标准服务器之间的 主要通信枢纽(中间件)。它通过允许管理员从远程站 点发送指令并接收信息简化了对标准服务器的控制。
• 一台信息服务器最多可以管理250台标准服务器。此数 字做参考,根据可用带宽,信息服务器可以管理更多标 准服务器
– Windows 2008 或者Windows2003 操作系统开启自带防火墙 – 标准服务器与信息服务器或者管理控制台之间有防火墙,需要在防火墙
上开启对应端口
• 装有管理控制台的计算机的防火墙设置
– 打开1000-1009 端口(TCP)
• 信息服务器的防火墙设置
– 打开 5005-5014 端口(TCP) – 打开 3000-3009 端口(UDP) – 打开 137-139端口(针对 RPC Over named pipe)
您
处
虚拟服务器
于
哪
• “2008年,x86服务器部署的工作荷载中,四分之一
个
部署在虚拟服务器上”(Gartner)
阶
• 风险与物理服务器相同,还增加了新的挑战、威胁
段
• 现有解决方案性能较低,或者暴露于风险之中
?
云计算
• “到2012年,SaaS将占硬件架构开支的40%” (Gartner) • 外围安全不提供任何保护 • 云安全服务提供商几乎不提供安全性
安装前的准备
• 检查是否插上网线
– 确保在安装前系统连接在网络中,机器必须插网线
• 检查系统服务是否正确开启
– Remote Procedure Call(RPC) – Remote Registry – Windows Installer
• 检查磁盘默认共享是否开启
网络准备
• 两种情况可能需要开启防火墙相应通信端口
• 首次注册时,IS和NS都将生成加密密钥
• 每次重启之后,IS和NS都将交换密钥
IS_KEY 解密 NS_KEY 加密
IS
加密 IS_KEY
解密 NS_KEY
NS
从SPNT 5.58/5.7迁移
• 支持从SPNT 5.58 & SPNT 5.7的迁移安装,包括 Windows Server和NW Server
• 通过提供特殊参照清除功能而降低对损害清除签名的要 求,特殊参照清除功能可自动决定并清除指定恶件片段 所参照的组件
• GenericClean功能减少了支持负担,为客户提供了一 种无需清除签名的解决方案
Rootkit通用模块
• VSAP/DCE使用Rootkit通用模块来检测/清除 Rootkit
• 支持压缩文件清除
– 清除在大型压缩文件包中发现的病毒,无需IT管理员付出额外精力
禁用间谍软件检测
• 如果关心页面池的大小和全面性能,则可以使用隐藏的 按键禁用间谍软件检测
– HKEY_LOCAL_MACHINE\\SOFTWARE\\TrendMicro\\Serv erProtect\\CurrentVersion\\ Engine\\
– GCT无法由设置禁用/激活,而是由DCE触发 – 64位环境中GCT不起作用 – GCT不支持NetWare – SPNT 5.8把DCE结果记录在Txt文件中
GenericClean技术
• GenericClean是DCE中一项非常强大的功能,使 DCE能够无需清除签名即可清除恶件的指定片段
• 在虚拟网域名称上,按鼠标右键,点选’安装新的SPNT(s)’
通过安装程序部署标准服务器
安装是否成功?
• 查看控制台
• 服务列表 • 标准服务器任务栏图标
此服务仅安装控管理中 心TMCM 代理才有
SPNT 5.8 管理与设置
扫描设定
通知
爆发阻止
任务添加和设定
• 部署组件、立即扫描、运行统计
» 137 (UDP)/ 138 (UDP)/ 139 (TCP) – 打开 9921端口(Netware 上针对 SPX/TCP)
安装过程
通过控制台部署标准服务器
• 在ServerProtect 网域中需要有一台已经安装完毕的标准 服务器来当做来源端
• 安装64 位平台标准服务器,在ServerProtect 网域中需 要有一台已经安装完毕的64 位标准服务器来当做来源端
SPNT 5.8 新功能概述
ServerProtect 5.8:新功能
• 支持更多的Windows Server & Netware 平台
– 现在涵盖Windows 2008和Netware 6.5 Patch 7
• 加强了对恶件和恶意活动的保护
– 改善了间谍软件的检测和修复 – 通过RCM改善Rootkit检测和清除 – 安全的内部沟通渠道防止中断