Transcript 客户端安装。
湘潭大学 KILL安全胄甲产品培训 冠群金辰软件有限公司 张滨 讲解纲要 CA-JC KILL7.1 管理台安装 KILL7.1 客户端安装 KILL 管理台操作与维护 KILL 常见问题 议题 •KILL的安装 •管理服务器 •客户端 •KILL管理服务器的使用 •管理服务器的主要功能 •反病毒策略的定制 •KILL常见问题 冠群金辰网络防病毒体系 网关防毒 服务器防毒 客 户 端 防 毒 客 户 端 防 毒 客 户 端 防 毒 客 户 端 防 毒 客 户 端 防 毒 KILL企业防病毒管理模型 KILL安装环境 • 安装环境描述: •KILL管理台:OS Win2000 Server SP4,Harddisk 40G 、Memo 512M,CPU P4 2G, IE6 SP1 •KILL 客 户 机 : All Windows System , (Windows Installer 2.0) • 网络环境:若有Firewall,TCP,UDP的42508-42510端口须 双向打开,保证网络畅通,尤其要保证一级KILL管理服 务器与二级KILL管理服务器的通讯。 • 特别提醒:若系统中存在其他杀毒软件,请先卸载重启后 再安装KILL防病毒软件。 KILL管理台的安装 KILL7.1安装步骤 • 安装步骤的简要过程如下(注意在安装前先卸载其它反病 毒软件): • 一、安装管理服务器。 • 二、生成客户端安装包。 • 三、配置IIS服务。 • 四、客户端安装。 KILL安装文件 KILL管理台的本地安装 . 1. 点击“安装KILL客户端、选项和其它程序”。 KILL管理台的本地安装 2.点击“安装KILL7.1、选项和其它程序”。 3.安装向导将提示是否同意版权和使用协议,选择“我同意”。 KILL 管理台的本地安装 4.安装向导将提示选择安装产品,在“管理服务器”、“报警管 理器和服务”和“KILL 引擎”前打钩,可以改变安装途径 KILL 管理台的本地安装 5.安装结束前,会弹出“许可验证”,输入许可密钥。 KILL客户端的安装 生成客户端安装包 网络中心已经根据湘大的具体情况定制了一个客户端安装包,所有参 数都已配置齐全,且优化。各二级服务器管理员只需在此基础上做两件事, 即可完成客户端的安装包的配置。 具体: 1)修改Inoc6.ICF客户端初始化配置文件 2)修改Inodist.ini特征码升级文件 文件所在位置: 目前:在killwebsetup_new\killsetup\clientsetup文件夹---已作基本配置 备份: 在KILL管理台的\Prpgram Files\CA\Kill\InoRemote\Image---未作配置 生成客户端安装包--修改INOC6.ICF 生成客户端安装包--修改INODIST.INI 生成客户端安装包--制作clientsetup.exe 打开clientsetup文件夹,选中该目录下所有文 件,按鼠标右键,弹出系统菜单,选择“添加到压缩 包”,如图所示: 生成客户端安装包--制作clientsetup.exe 生成客户端安装包--制作clientsetup.exe 点击“高级”标签,进入“自解压选项”,在高级自解压选项常规解压 路径中输入客户端下载该文件时的临时解压目录,并在该页安装程序\解压 缩之后运行框中输入KILL安装执行文件setup.exe /s,如图: 生成客户端安装包--制作clientsetup.exe 生成客户端安装包 • 生成的客户端安装程序clientsetup.exe可放在 http站点上,供各使用代理服务器上网的客 户机下载。它是一个自解压的可执行文件, 用户双击后,即执行安装。安装完毕,无需 做任何配置,所有初始化数据已经在 inco6.icf和inodist.ini文件中给定。 配置Internet服务管理器-Web属性 • • 启动程序管理工具Internet服务管理器,配置默认Web站点属性,如图所示: 在默认Web站点属性Web站点Web站点标识IP地址框,输入KILL管理台IP 配置Internet服务管理器-Web属性 在 默 认 Web 属 性 主 目 录 本 地 路 径 框 , 输 入 index.html 文 件 所 在 目 录 , 即 d:\killwebsetup 配置Internet服务管理器-Web属性 在默认Web属性文档下,选中“启用默认文档”,添加index.html,确认后配置完毕。 配置Internet服务管理器-FTP属性 启动程序管理工具Internet服务管理器,在默认FTP站点,选择“属性” 配置Internet服务管理器-FTP属性 将“路径”指向KILL默认特征码更新目录:c:\program files\ca\kill\outgoing 客户端安装界面-WEB方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 客户端安装界面-RuiJie捆绑方式 KILL7.1管理服务器操作与维护 (Admin Server) Admin Server 在网络中的作用 • 报表 – 被感染的机器 – 被感染的用户 • 反病毒策略 – 制定和存储策略 – 向客户端分发策略 – 强制客户端执行策略 • 发现客户端(子网) – 自动发现网络中安装KILL的客户端 • 建立管理组织 – 对客户端进行分组管理 Admin Server的运行平台 • 通过 “管理 员视图” 进行配 置 • Admin Server (管理 员视图) 不安装 在KILL 客户端 上 • Admin Server 必须安 装在 NT/2000 /XP/200 3机器上 反病毒策略 • 同客户端上的配置匹配 • 五种反病毒策略 – 报警 – 实时监控器 – 预定扫描作业 – 发送可疑文件 – 病毒代码升级 添加新的防病毒策略 Admin Server策略 • 每种策略可以同时制定多条 • 每个策略可分发到指定的组织(客户端),并可以锁定 子网 新建子网 • 可以在Admin Server上添加新的子网,进行管理 子网—默认组织 • 默认组织的作用 –在子网中被发现的机 器被自动放置到默认 组织单元中 –需要在安装前确定管 理服务器IP地址(条 件) –缺省:组织 子网-定义新的默认组织 • 更改默认组织 在子网中被发现的机 器将自动放置到指定 组织单元中 子网 • 配置对客户端的 发现 –频率 –信息收集方式 • 指定选择 搜索端口 • 查询包通过 42508发送 – UDP – IP 定向 broadcast – 路由器需要允许查 询包通过 • 客户端反馈通过端口 42509 – TCP 连接 发现客户端 • Admin Server 确定 发现周期 • 不同网段可以有不同 的发现频率 – 本地网可以定义 短周期发现 – 远程网段可以定 义长周期发现 客户端反馈信息内容 • 机器名, 主 机名 • KILL版本 信息 • 操作系统 信息 • IP地址, MAC 地 址 • 病毒库及 杀毒引擎 版本信息 • 最近一次 发现时间, 没有响应 的次数 组织树 • 分组管理网络中的客户 端 • 管理单元可以嵌套 • 组织树是逻辑结构 – 只定义在管理服务器上 – 不必关心Client端位置 – Client可以根据需要任 意重组 建立管理组织结构 多级管理组织 分配策略到组织 • 策略被分配到组织中的管理单元中 – 通过拖拉方式分配策略 – 策略可以被分配到组织树中任意的管理单元, 没有分配策略的单元可以到上级单元中继承 策略 – 任何获得策略的管理单元不再从上级组织单 元继承策略 分配策略到组织单元 新策略分配到组织/机器 策略的强制执行 • 每次发现周期Admin Server都检查客户端策略 执行情况 • 客户端返回的策略校验和与管理服务器上存储 的比较 – 如果不匹配,管理服务器重新向Client端分 发策略 – 策略不匹配事件被记入日志 • 用户修改的客户端策略都是临时性的 查看客户端日志 用户访问权限 对Admin Server的访问权限 • 在 Admin Server上设置用户权限 – 对管理服务器的访问权限在服务器上设置 – 客户端不需要验证用户身份 • 用户列表从NT/2000用户中选取 – 同操作系统帐户信息集成 – KILL管理服务器管理员不需要是NT/2000 系统的管理员 对Admin Server的访问权限 • 可以定义用户的访问权限 – None – Read-only • 只查看 – Change • 可以修改 – Delete • 添加和删除策略 – Full Control • 完全控制 添加用户访问权限 连接到Admin Server • 连接需要用户身份认 证,只有合法用户才 能登录到服务器上 • 身份认证信息在传送 过程中加密 • 用户名密码不保存在 管理服务器上 • 用户登录后,管理服务 器主动清除用户登录 用的帐号信息 数据库 • 目录DB\Tree – Branches.dbf • 组织树数据库 – Leaves.dbf • 存储所有被发现的客户端信息 – Legacy.dbf – 包含4.X的客户端信息 • 目录 DB\Policy – *.dbf • 包含全部定义策略 在网络中安装多个管理服务器 • 管理服务器在物理上是独立工作的 – 在物理上,管理服务器之间是对等的 • 管理服务器与子网 – 每个网段应该只受一个管理服务器管理 – 最近策略起作用 – 管理服务器自动检测策略冲突 • 查看管理服务器的KILL的事件日志 • 在大型网络中按照地域分布部署管理服 务器 KILL管理台防病毒策略的定义与分发 KILL管理员多层视图 特征码分发策略(server) 特征码分发策略(server) KILL服务器特征码分发目录 特征码分发策略(server) 特征码分发策略(client) 注意:client 下载时间应滞后于server的下载时间至少15分钟。 特征码分发策略(client) 特征码分发策略(client) Kill server IP 输出切记不要选,这是update server和update client的重要区别 KILL报警策略(server) KILL报警策略(server) alert client策略与 alert server策略基本 相同,唯一区别在于 此项不用打钩,切记! 报警频率可通过以下 两条命令进行调节: 1。\Program Files\CA\KILL\cfgre port.exe 2。dos下运行 eavreprt -r KILL报警策略(server) KILL报警策略(server) KILL 报表 预定扫描作业策略(ino) 预定扫描作业策略(ino) 实施监视器 实时监视器若不需要策略锁定,可以不做,ICF文件中已指定 KILL常见问题处理 某机器在子网中无法被搜索到 1) 双向能PING通 2) 将搜索选择方式 自由 选择改为 “指定选择” 3) 将搜索策略最 大搜索失败次数改 为“0”,超时时间 间隔改为“120” 某机器在子网中无法被搜索到 4) TCP、UDP 的 42508 、 42509 、 42510端口是 否打开 5) 服务器和远端客 户机重启 6) 网络、网卡方面 找原因 某机器无法被添加到组织中 1.弹出认 证框 2.报错 “RPC”服 务不可用 某机器无法被添加到组织中 1.对于Win 2000/NT/XP的机 器,输入该机的 管理员账号(通 常为administrator) 和密码 2.对于Win 95/98/ME的机器, 用户名和密码均 为“kill7” \winnt\system32\drivers\etc\hosts 3.机器名解析未 通过,修改 \winnt\system32 \drivers\etc\ho sts文件 特征码分发服务器 Windows XP作为分发服务器需在系统里作以下的修改: 1)打开“控制面板/管理工具/本地安全策略/本地策略/安全选项” 2)找到“网络访问:让”每个人“权限应用于匿名用户”的选 项,将此设置改成“已启用” Windows Installer KILL的客户端安装调用了本地Windows Installer,其版本需2.0以上。若低于 该版本号,则出现以下提示: 需 升 级 Windows Installer , Win2000 下 载 InstMsiW.exe 、 Win9x 下 载 InstMsiA.exe升级Windows Installer版本,即可正常安装KILL。 Windows Installer Questions? 更多信息,请访问 www.ca-jc.com www.kill.com.cn 公司热线010-82013030、021-64431166、8008100412 Thanks for Attention.