Symantec Endpoint Protection 客户端和 Symantec Endpoint Protection Manager 的安全内容日期为 2009 年 12 月 31 日,即使使用最新定义也是如此
TECH98359
Last Updated January 27, 2010
Symantec 发布了一个修补程序,将为 Symantec Endpoint Protection 11 和 Symantec Endpoint Protection Small Business Edition 12 用户解决此问题。此修补程序可以通过公开的 LiveUpdate 或 LiveUpdate Administrator 2.2.2.x 获得,也可以直接从 Symantec FTP 服务器下载。此修补程序一次推出一个版本 - 增加新版本时,会在原位置进行更新。请查阅下面的图表,以确定您的特定版本当前是否已经修补。本文档将会在向修补程序添加新 Build 时即时更新。
注意:如果不希望 SEPM/SPC 自动更新,请查看下面标题为“阻止 LiveUpdate 更新 SEPM/SPC”的部分(位于“SEPM 和 SPC 解决方法和信息”部分下)。
修补程序安装说明:
-
注意: 默认情况下,在修补程序可用后,SEPM 服务器将在其首个 LiveUpdate 会话上下载并应用修补程序,并在应用修补程序后在其首个 LiveUpdate 会话上更新其内容目录,无需任何用户交互。
-
对于 LiveUpdate 用户:
- 下载并安装修补程序:
- 单击 SEPM 界面中的“管理”选项卡
- 单击“服务器”选项卡并从“查看服务器”列表中选择“本地站点”
- 单击“任务”窗格中的“下载 LiveUpdate 内容”
- 单击“下载 LiveUpdate 内容”窗口上的“下载”按钮
- LiveUpdate 完成后,SEPM 服务将重新启动,强制重新登录 SEPM 控制台
- 更新 SEPM 的内容目录:
- 单击 SEPM 界面中的“管理”选项卡
- 单击“服务器”选项卡并从“查看服务器”列表中选择“本地站点”
- 单击“任务”窗格中的“下载 LiveUpdate 内容”
- 单击“下载 LiveUpdate 内容”窗口上的“下载”按钮
- LiveUpdate 完成后,SEPM 将具有更新的内容目录,其中包括下载 2010 定义所必需的信息
- 更新 SEPM 的内容缓存:
- 单击 SEPM 界面中的“管理”选项卡
- 单击“服务器”选项卡并从“查看服务器”列表中选择“本地站点”
- 单击“任务”窗格中的“下载 LiveUpdate 内容”
- 单击“下载 LiveUpdate 内容”窗口上的“下载”按钮
- LiveUpdate 完成后,SEPM 将具有一组日期为 2010 的防病毒和反间谍软件定义
- 应用修补程序:
- 下载手动修补程序 SEPServerPatch-v1.11.exe
- 在每个受影响的 SEPM 服务器上直接执行修补程序
- 更新 SEPM 的内容目录:
- 单击 SEPM 界面中的“管理”选项卡
- 单击“服务器”选项卡并从“查看服务器”列表中选择“本地站点”
- 单击“任务”窗格中的“下载 LiveUpdate 内容”
- 单击“下载 LiveUpdate 内容”窗口上的“下载”按钮
- LiveUpdate 完成后,SEPM 将具有更新的内容目录,其中包括下载 2010 定义所必需的信息
- 更新 SEPM 的内容缓存:
- 单击 SEPM 界面中的“管理”选项卡
- 单击“服务器”选项卡并从“查看服务器”列表中选择“本地站点”
- 单击“任务”窗格中的“下载 LiveUpdate 内容”
- 单击“下载 LiveUpdate 内容”窗口上的“下载”按钮
- LiveUpdate 完成后,SEPM 将具有一组日期为 2010 的防病毒和反间谍软件定义
必须在环境中的每台 SEPM 服务器上按这些说明操作。
在不能连接到 LiveUpdate 以下载修补程序或已手动配置为不下载 SEPM 修补程序内容的任何 SEPM 服务器上使用以下说明。
对于未安装修补程序的 SEPM:
2010 年 1 月 1 日,安全响应中心由于此问题而更改了其多重每日定义 (MDD) 的正常发布过程。Symantec 每日对 Symantec Endpoint Protection (SEP) 客户端和 SEPM 发布一次日期为 2009 年 12 月 31 日的定义。自 2010 年 1 月 7 日晚间(太平洋时间)起,Symantec 对 SEP 客户端恢复了正常的 MDD 发布。对 SEPM 恢复 MDD 的时间表仍有待确定。
安全响应中心将继续对 SEPM 发布日期为 12/31/2009 rev. xxx(仅增加修订号)的 Symantec Endpoint Protection 安全内容。2009 年 12 月 31 日发布的最后一组经过认证的定义为 12/31/2009 rev. 041 版本。非受管 SEP 客户端和使用 LiveUpdate 作为安全内容来源的受管 SEP 客户端将显示正确的 2010 定义日期。
截至 2010 年 1 月 13 日(星期三),最新定义版本为:
- 病毒和间谍软件防护:Thursday, December 31, 2009 r126。其中所包括的内容与 Wednesday, January 13, 2010 r36 相同
- 主动威胁防护:Thursday, December 31, 2009 r20
- 网络威胁防护:Wednesday, December 30, 2009 r2"
注意:
虽然新安全内容更新将显示的日期为 12/31/2009,但它们将包含最新内容,认识到这一点很重要。
SEP 客户端解决方法和信息:
本部分包括针对 Symantec Endpoint Protection 客户端产品的信息。
-
客户端计算机将继续接收最新可用防护,无需任何用户干预。请注意以下例外情况:
- 使用智能更新程序 (IU) 分发的快速发布 (RR) 防病毒和反间谍软件定义以及使用 IU 分发或直接从内部或公开的 LiveUpdate (LU) 服务器下载的经过认证的定义将反映实际的发布日期。
- 在解决此问题之前,通过这些 IU 软件包之一更新的客户端将不再从 SEPM 更新,除非 LiveUpdate 内容策略被配置为强制客户端使用特定更新(有关更多详细信息,请参见本部分中后面的
- 在解决此问题之前,通过这些 IU 软件包之一更新的客户端将不再从 SEPM 更新,除非 LiveUpdate 内容策略被配置为强制客户端使用特定更新(有关更多详细信息,请参见本部分中后面的
- 如果客户端使用的 Symantec Network Access Control (SNAC) 主机完整性 (HI) 策略需要最低防病毒签名文件时间,则该客户端的 HI 检查可能会失败。
- 在永久性解决此问题之前,应修改 HI 策略以放宽最低防病毒签名文件时间要求(有关更多详细信息,请参见“SNAC 解决方法和信息”部分)。
- 单击 SEPM 控制台内的“策略”选项卡
- 从“查看策略”窗格选择 LiveUpdate
- 单击“LiveUpdate 设置”选项卡
- 对于每项 LiveUpdate 设置策略:
- 单击“LiveUpdate 设置”选项卡中的 LiveUpdate 设置策略
- 从“任务”窗格选择“编辑策略”
- 在 LiveUpdate 设置策略窗口中选择“服务器设置”选项卡
- 取消选中“使用默认管理服务器 (建议)”复选框
- 选中“使用 LiveUpdate 服务器”复选框
- 单击“确定”关闭 LiveUpdate 设置策略编辑器窗口
- 继续通过 LiveUpdate 更新客户端
- 当 SEPM 包含与向其报告的 SEP 客户端使用的 2010 定义修订匹配的 2010 缓存定义修订后,修改 LiveUpdate 内容策略,将客户端重新指向 SEPM 进行内容更新。
配置客户端以从 LiveUpdate 服务器下载内容:
可以配置受管 SEP 客户端,使其从内部或公开的 LiveUpdate 服务器下载安全内容更新。以此方式配置的客户端将显示正确的当前防病毒/反间谍软件定义日期和修订,但客户端将不能从 SEPM 下载和应用定义,直至解决此问题或将客户端的 LiveUpdate 内容策略配置为使用指定的定义修订为止。
注意
启用客户端 LiveUpdate 将导致外部网络流量增加,因为每个客户端都连接到 Internet 以下载病毒定义。
要更正 SEP 11.0.x 和 SEP 12.0 SBE 客户端上显示的定义日期,客户可以配置客户端,使其直接从 LiveUpdate 下载最新的“病毒和间谍软件防护”定义。这些定义的日期将为正确的 2010。
注意:
从 LiveUpdate 下载 2010 年 1 月的定义之后,应将客户端一直配置为从 LiveUpdate 下载内容,直至为 SEPM 安装针对此问题的修补程序为止。提供修补程序并且 Symantec 已更正此临时问题后,会在此 KB 文章中发布详细信息。
安装 SEPM 修补程序之后阻止 SEP 客户端接收完整定义而不是增量定义:
如果已将 SEP 客户端配置为仅从 SEPM 接收内容更新,则无需采取任何操作。安装 SEPM 修补程序后,SEP 客户端将继续从 SEPM 接收增量定义。
如果已将 SEP 客户端配置为通过 LiveUpdate 接收内容更新,则在重新配置客户端以通过 SEPM 接收内容更新前执行以下操作:
有关此过程的详细信息,请参阅 Preventing Symantec Endpoint Protection (SEP) Clients from receiving FULL Antivirus/Antispyware definition packages from a patched Symantec Endpoint Protection Manager (SEPM)(阻止 Symantec Endpoint Protection (SEP) 客户端从安装修补程序的 Symantec Endpoint Protection Manager (SEPM) 接收完整的防病毒/反间谍软件定义软件包) http://service1.symantec.com/support/ent-security.nsf/docid/2010010821395848.
SNAC 解决方法和信息:
本部分包括针对 Symantec Network Access Control 产品的信息。
-
有两种方法可以防止 SNAC 客户端由于定义过时而导致 HI 检查失败:
- 配置客户端,使其直接从 LiveUpdate 下载日期正确的定义。请参考 SEP 客户解决方法部分,解决方法编号 2(有关更多详细信息,请参见“SEP 客户端解决方法和信息”部分后面的“配置客户端以从 LiveUpdate 服务器下载内容”)
- 增加客户端的主机完整性策略中的“天数”设置(请参见本部分中后面的“修改客户端的 SNAC HI 策略”)。由于此时尚不能确定修补程序的时间表,因此建议的天数为 30 天。
- 在 SEPM 上,依次单击“策略”、“主机完整性”,然后双击打开指定的 HI 策略,或单击“添加主机完整性策略”添加一项新策略。
- 单击“要求”
- 双击现有的防病毒/反间谍软件要求,或单击“添加…”以添加一项新的防病毒/反间谍软件要求
- “防病毒签名文件检查”(或针对反间谍软件要求的“反间谍软件签名文件检查”)下有几项设置。例如,选中“指定签名文件的最长时间”并指定 30 天。
- 单击“确定”按钮两次。
- 在 SEPM 上,依次单击“策略”、“主机完整性”,然后双击打开适用的 HI 策略,或单击“添加主机完整性策略”添加一项新策略。
- 单击“要求”
- 双击现有的 HI 自定义要求,或单击“添加…”以添加一项新的 HI 自定义要求
- 单击“添加”,然后单击“如果...则...”(或右键单击“自定义要求脚本”中的某个位置添加“如果...则...”,或单击现有的“如果...则...”进行编辑)。
- 单击“选择条件:”打开下拉列表。
- 选择“防病毒: 防病毒签名文件是最新的”或“反间谍软件: 反间谍软件签名文件是最新的”。
- 可通过几项设置来检查防病毒/反间谍软件签名日期。例如,可选中“检查签名文件时间 (天数) 是否少于”并指定 30 天。
- 单击“确定”按钮两次。
修改客户端的 SNAC HI 策略:
更改 HI 防病毒/反间谍软件要求中的防病毒/反间谍软件签名日期的步骤:
更改 HI 自定义要求中的防病毒/反间谍软件签名日期的步骤:
SEPM 和 SPC 解决方法和信息:
本部分包括针对 Symantec Endpoint Protection Manager 和 Symantec Protection Center 的信息。
-
相关 SEPM 问题:
- \Program Files\Common Files\Symantec Shared\SymcData\sesmvirdef32
- \Program Files\Common Files\Symantec Shared\SymcData\sesmvirdef64
- \Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\content
- 继续通过 LiveUpdate 更新客户端
- 当 SEPM 包含与向其报告的 SEP 客户端使用的 2010 定义修订匹配的 2010 缓存定义修订后,修改 LiveUpdate 内容策略,将客户端重新指向 SEPM 进行内容更新。
客户可能还会注意到他们的 SEPM 磁盘空间逐渐被位于以下位置之一中的 tmp 文件夹填充:
有关解决此问题的信息,请参见以下文章
http://service1.symantec.com/support/ent-security.nsf/docid/2010010617161948?Open&seg=ent
如何阻止 LiveUpdate 更新 SEPM/SPC:
可以通过以下方法阻止 LiveUpdate 对 SEPM/SPC 安装修补程序并解决此问题:在连接到 LiveUpdate 的 SEPM/SPC 计算机上创建注册表项。
此选项仅用于更改控制策略非常严格的客户。
重要信息:创建此注册表项后,客户必须手动安装 SEPM 修补程序才能下载日期为 2010 的定义。手动安装修补程序的工具将在可用时在此 KB 文章中发布。
对于 32 位 SEP 11.0.x 客户:
在 SEPM 计算机上,创建以下 DWORD 注册表项并将值设为 0
HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM\AllowSoftwareLiveUpdate (DWORD) = 0
对于 64 位 SEP 11.0.x 客户:
在 SEPM 计算机上,创建以下 DWORD 注册表项并将值设为 0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SEPM\AllowSoftwareLiveUpdate (DWORD) = 0
对于 32 位 SEP SBE 12.0.x 客户:
在 SPC 计算机上,创建以下 DWORD 注册表项并将值设为 0
HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SPC\AllowSoftwareLiveUpdate (DWORD) = 0
对于 64 位 SEP SBE 12.0.x 客户:
在 SEPM 计算机上,创建以下 DWORD 注册表项并将值设为 0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\SPC\AllowSoftwareLiveUpdate (DWORD) = 0
如果在 Symantec 发布针对此问题的修补程序后发现一个新的 LiveUpdate 软件包下载到 SEPM/SPC,不必担心。
此软件包更新 SEPM/SPC 的跟踪数据,不会更新服务器软件。
安装 SEPM 修补程序之后阻止 SEP 客户端接收完整定义而不是增量定义:
如果已将 SEP 客户端配置为仅从 SEPM 接收内容更新,则无需采取任何操作。安装 SEPM 修补程序后,SEP 客户端将继续从 SEPM 接收增量定义。
如果已将 SEP 客户端配置为通过 LiveUpdate 接收内容更新,则在重新配置客户端以通过 SEPM 接收内容更新前执行以下操作:
有关此过程的详细信息,请参阅 Preventing Symantec Endpoint Protection (SEP) Clients from receiving FULL Antivirus/Antispyware definition packages from a patched Symantec Endpoint Protection Manager (SEPM)(阻止 Symantec Endpoint Protection (SEP) 客户端从安装修补程序的 Symantec Endpoint Protection Manager (SEPM) 接收完整的防病毒/反间谍软件定义软件包) http://service1.symantec.com/support/ent-security.nsf/docid/2010010821395848.
针对快速发布用户的补充:
本部分包括有关使用快速发布定义的信息。
在某些情况下,Symantec 支持人员将建议在活动感染期使用快速发布 (RR) 病毒定义。由于 RR 智能更新程序 (IU) 定义的日期是正常的,因此在已达到定义修订阈值的 SEPM 上它们将会被立即删除。有两种解决方法可允许使用快速发布定义:
-
配置 SEPM/受管 SEP 客户端以使用快速发布定义:
- 单击 SEPM 控制台内的“管理”选项卡
- 单击“服务器”选项卡
- 单击“本地站点”
- 单击“任务”窗格中的“编辑站点属性”
- 单击 LiveUpdate 选项卡
- 增加“保留的内容修订数”,增加的值为预计所需的快速发布定义集的数目。每增加一个修订都将允许 SEPM 多保留一个快速发布定义集。完整的 32/64 位病毒定义集每一缓存修订大约占用 260MB。确保您具有足够的磁盘空间来存储所需的附加定义集。这具有现有客户端可以使用增量来继续更新的优点,但服务器必须可以处理更大的磁盘空间占用。
- 单击“确定”应用这些更改。
- 将 RR jdb 文件应用于 SEPM
- 单击 SEPM 控制台内的“策略”选项卡
- 从“查看策略”窗格选择 LiveUpdate
- 单击“LiveUpdate 内容”选项卡
- 选择需要 RR 定义的客户端使用的 LiveUpdate 内容策略,然后单击“任务”窗格中的“编辑策略”
- 在 LiveUpdate 内容策略编辑器窗口中选择“安全定义”选项卡
- 找到防病毒和反间谍软件定义部分并单击“编辑”按钮
- 从下拉列表中为 32 位和 64 位防病毒和反间谍软件定义选择正确的 RR 修订。
- 单击“确定”关闭修订选择窗口
- 单击“确定”关闭 LiveUpdate 内容策略编辑器窗口
- 单击 SEPM 控制台内的“管理”选项卡
- 单击“服务器”选项卡
- 单击“本地站点”
- 单击“任务”窗格中的“编辑站点属性”
- 单击 LiveUpdate 选项卡
- 减小“保留的内容修订数”的值,减小的修订数与为处理附加 RR 定义集而对此数增加的数目相同。
- 单击“确定”应用这些更改。
- 单击 SEPM 控制台内的“策略”选项卡
- 从“查看策略”窗格选择LiveUpdate
- 单击“LiveUpdate 内容”选项卡
- 选择当前使用 RR 定义的客户端使用的 LiveUpdate 内容策略,然后单击“任务”窗格中的“编辑策略”
- 在 LiveUpdate 内容策略编辑器窗口中选择“安全定义”选项卡
- 找到防病毒和反间谍软件定义部分并单击“编辑”按钮
- 从下拉列表中为 32 位和 64 位防病毒和反间谍软件定义选择 12/31/2009 定义的最新修订。
- 单击“确定”关闭修订选择窗口
- 单击“确定”关闭 LiveUpdate 内容策略编辑器窗口
- 客户端成功切换到 12/31/2009 rev xxx 定义后,使用“使用最新可用的”重新编辑 LiveUpdate 内容策略
- 进行此项策略更改后立即在 SEPM 上运行 LiveUpdate,以确保从 SEPM 的定义缓存中删除 RR 定义
此方法将允许 SEPM 仍支持正常认证的定义(无任何间断),同时支持快速发布定义。
配置受管 SEP 客户端以不再使用快速发布定义:
针对 LiveUpdate Administrator 用户的补充:
本部分包括有关配置 LiveUpdate Administrator 以使用 2010 定义问题修补程序更新 SEPM 的信息。
-
LiveUpdate Administrator (LUA) 用户不需要任何变化,以下情况除外:
- SEPM 配置为通过 LUA 而不是公开的 LiveUpdate 来下载更新并且
- SEP 客户端配置为从其 SEPM 下载更新。
有关确保 SEPM 可以使用通过 LUA 下载的日期为 2010 的定义来更新 SEP 客户端的信息,请参阅 Downloading and hosting the Symantec Endpoint Protection Manager (SEPM) 2010 definitions patch via LiveUpdate Administrator (LUA)(通过 LiveUpdate Administrator (LUA) 下载并托管 Symantec Endpoint Protection Manager (SEPM) 2010 定义修补程序)
http://service1.symantec.com/support/ent-security.nsf/docid/2010010901022848
Imported Document ID: TECH98359
Legacy ID:
20100114161753968
订阅后,您将在本文章有更新时收到电子邮件更新。须登录。
非常感谢您的反馈。如果您还有其他意见,请在下方告诉我们。(需要登录)