[宝典]Symantec AntiVirus 客户端指南更新

[宝典]Symantec AntiVirus 客户端指南更新 Symantec AntiVirus 客户端指南更新 本文由hawebs贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 Symantec AntiVirus? 客户端指南更新 Symantec AntiVirus? 客户端指南更新 本手册介绍的软件基于许可协议提供，且只能在遵守协议条款的前提下使用。 文档版本 10.1 法律声明 Copyright ? 2006 Symantec Corporation. ? 2006 年 Symantec Corporation 版权所有。 All rights reserved. 保留所有权利 All rights reserved. 保留所有权利 政府购买:商业软件 - 政府用户根据授权许可条款和条件使用。 Symantec、 Symantec 徽标和 Symantec AntiVirus 和 LiveUpdate 是 Symantec Corporation 或其附属公司在美国和其他国家 / 地区的商标或注册商标。 “Symantec”和 “赛门铁克”是 Symantec Corporation 在中国的注册商标。其他名称可能为其各自所有者的 商标，特此声明。 本文档中所述产品根据限制其使用、复制、分发以及反编译 / 逆向工程的许可证分发。未经 Symantec Corporation (赛门铁克公司)及其特许人 (如果存在)事先书面授权，不得以 任何方式任何形式复制本文档的任何部分。 本文档按 “现状”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对 特定用途的适用性或无侵害知识产权的暗示保证，均不提供任何担保，除非此类免责声明的 范围在法律上视为无效。Symantec Corporation (赛门铁克公司)不对任何与性能或使用本 文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行。 根据 FAR Sections 12.212 和 DFARS Section 227.7202 定义，授权许可的软件和文档被视为 “商业计算机软件”和 “商业计算机软件文档” 。 Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 USA 技术支持 赛门铁克技术支持具有全球性支持中心。技术支持的主要任务是响应有关产品特性 和功能、安装及配置的专项查询。技术支持小组还负责编写我们的联机知识库文 章。技术支持小组与 Symantec 内的其它职能部门相互协作，及时解答您的问题。 例如，技术支持小组与产品工程和 Symantec 安全响应中心协作，提供警报服务和 病毒定义更新服务。 Symantec 提供的维护服务包括: 一系列支持服务，使您能为任何规模的单位选择适用的支持服务 通过电话和 Web 支持快速响应并提供最新信息 升级保证可提供自动软件升级防护 在世界范围全天候提供全球支持。为参与白金级支持的客户提供多种语言 的支持 高级功能，包括 “技术支持客户管理” 有关 Symantec 维护计划的更多信息，请访问我们的网站: 在 Global Support 下选择您所在的国家 / 地区或您所用的语言。具体可用的功能 会因您所购买的维护级别和具体产品而异。 与技术支持联系 具有有效维护协议的客户可以通过以下网址访问技术支持信息: 在 Global Support 下选择您所在的地区或您所用的语言。 在联系技术支持之前，请确保您的计算机符合产品文档中所列的系统要求。而且您 应当坐在发生问题的计算机旁边，以便需要时重现问题。 联系技术支持时，请准备好以下信息: 产品版本信息 硬件信息 可用内存、磁盘空间、 NIC 网卡信息 操作系统 版本和补丁程序级别 网络结构 路由器、网关和 IP 地址信息 问题说明: 错误消息和日志文件 联系 Symantec 之前执行过的故障排除操作 最近所做的软件配置更改和网络更改 授权许可与产品注册 如果您的 Symantec 产品需要注册或许可证密钥，请访问我们的技术支持网页: 。 在 Global Support 下选择您所在的国家 / 地区或所使用的语言，然后 选择 “授权 许可和产品注册”页。 客户服务 可从以下网站获得客户服务信息: 在 Global Support 下选择您所在的国家 / 地区或您所用的语言。 客户服务可帮助您解决以下几类问题: 有关产品许可或序列号的问题 产品注册更新 (例如，更改地址或名称) 一般产品信息 (功能、可用的语言、当地经销商) 有关产品更新和升级的最新信息 有关升级保险和维护合同的信息 有关 Symantec 增值授权许可计划的信息 有关 Symantec 技术支持选项的建议 非技术性的售前问题 与光盘或手册相关的问题 维护协议资源 如果想就现有维护协议事宜联络 Symantec，请通过以下方式联络您所在地区的维 护协议管理部门: 亚太区和日本:contractsadmin@symantec.com 欧洲、中东和非洲: semea@symantec.com 北美和拉丁美洲: supportsolutions@symantec.com 其他企业服务 Symantec 全面提供各种服务以使您能够充分利用您对 Symantec 产品的投资，并 拓展您的知识、技能和全球视野，让您在管理企业安全风险方面占据主动。其他可 用的企业服务包括: Symantec 预警解决 安全托管服务 咨询服务 这些解决方案提供计算机攻击的预警、全面的威胁分析以及防止 攻击发生的应对措施。 这些服务消除了管理和监控安全设备和事件的负担，确保能够对 实际威胁快速响应。 Symantec 咨询服务由 Symantec 及其可信赖的合作伙伴提供现 场专业技术指导。 Symantec 咨询服务提供各种预先包装和可自 定义的服务选项，其中包括评估、、实施、监控和管理功 能，每种功能都注重于建立和维护您的 IT 资源的完整性和可用 性。 这些服务提供全面的技术培训、安全教育、安全认证和安全意识 交流计划。 教育服务 要了解有关企业服务的详细信息，请访问我们的网站: www.symantec.com/region/cn 从站点索引选择您所在的国家 / 地区或所用的语言。 目录 技术支持 第1章 客户端指南更新简介 关于 Symantec AntiVirus „„ 9 关于客户端指南更新 „„ 9 第2章 客户端指南防病毒更新 扫描的内容 „„ 11 检测到病毒或安全风险时采取的操作 „„ 13 关于自动防护和电子邮件扫描 „„ 13 关于加密电子邮件连接的自动防护处理 „„ 14 禁用和启用自动防护安全风险扫描与禁止 „„ 15 启用、禁用和配置防篡改 „„ 16 创建调度扫描 „„ 17 配置针对病毒和安全风险的操作 „„ 18 关于与扫描结果交互 „„ 24 关于安全风险排除 „„ 25 配置网络扫描选项 „„ 26 禁用对远程版本自动防护的信任 „„ 26 启用网络高速缓存 „„ 26 按事件类别过滤事件日志 „„ 27 索引 8 目录 客户端指南更新简介 本章内容包括以下主题: 关于 Symantec AntiVirus 关于客户端指南更新 关于 Symantec AntiVirus Symantec AntiVirus 为工作站提供可扩展的跨平台防火墙、入侵防护和病毒防 护，并为网络服务器提供病毒防护。 您既可以独立安装，也可以按管理员管理的安装方式来安装 Symantec AntiVirus 病毒和安全风险防护。独立安装意味着 Symantec AntiVirus 软件不授受网络管理 员的管理。 如果您管理自己的计算机，则它必须是下列类型之一: 未连接到网络的独立计算机 (如家用计算机或独立笔记本电脑) ，并且已安装 使用默认选项设置或管理员预设选项设置 的 Symantec AntiVirus。 连接到公司网络的远程计算机，并且在连接前必须满足安全要求。 关于客户端指南更新 本指南介绍对 Symantec AntiVirus 10.1 版所做的、用户可能感兴趣的一些更改。 未更改的信息可以在 《Symantec AntiVirus 客户端指南 10 版》中找到，该版本也 随此版本的 Symantec AntiVirus 一起提供。 为了提供上下文信息，该更新包含了合并到以前的客户端指南中相应章节的新信 息。 10 客户端指南更新简介 关于客户端指南更新 客户端指南防病毒更新 本章内容包括以下主题: 扫描的内容 关于自动防护和电子邮件扫描 禁用和启用自动防护安全风险扫描与禁止 启用、禁用和配置防篡改 创建调度扫描 配置针对病毒和安全风险的操作 关于与扫描结果交互 配置网络扫描选项 按事件类别过滤事件日志 扫描的内容 注意 : 本节属于第 3 章 “保护您的计算机免遭病毒和安全风险的威胁” ，为更新内 容。 默认情况下， Symantec AntiVirus 将扫描所有文件类型。默认情况下，手动扫 描、调度扫描、启动扫描和用户定义的扫描也会检查所有文件类型。 自动防护包括智能扫描，它将扫描具有包括在程序文件扩展名列表中的扩展名的文 件。智能扫描还将扫描所有可执行文件和 Microsoft? Office 文档，无论它们的扩 展名是否列在程序文件扩展名列表中。 请参阅 《Symantec AntiVirus 管理指南》 3.0 版中的 “修改自动防护和使用智能 扫描” 。 12 客户端指南防病毒更新 扫描的内容 您可以选择按文件扩展名扫描文件，但会降低防护病毒和安全风险的能力。 您还可以选择将特定文件排除在扫描之外。例如，如果您明确知道某个文件未受感 染，但它在扫描过程中触发了病毒警报，那么您就可以将该文件排除在以后的扫描 之外以停止有关该文件的更多警报。 按扩展名扫描 Symantec AntiVirus 可以按扩展名扫描计算机。 向扫描列表中添加文件扩展名 1 在 Symantec AntiVirus 的左窗格中，选择要更改的扫描。 如果从扫描类别中选择了扫描，请单击 “选项” 。 如果选择了启动扫描、用户定义的扫描或调度扫描，请单击要更改的扫描 名称，单击 “编辑” ，然后单击 “选项” 。 更改只应用于您选择的特定扫描。 如果选择了自动防护，请转到步骤 2。 2 3 4 5 单击 “所选的扩展名” ，然后单击 “扩展名” 。 键入要添加的扩展名，然后单击 “添加” 。 根据需要重复步骤 3。 单击 “确定” 。 关于扫描所有文件类型 Symantec AntiVirus 可以扫描计算机上的所有文件，而不论其扩展名如何。扫描 所有文件可以确保提供最全面的防护。与按扩展名扫描相比，扫描所有文件耗时更 多，但可提供更好的防护，使您免遭病毒和安全风险的威胁。 关于防止宏病毒感染 Symantec AntiVirus 扫描程序可以自动检测到并删除大多数 Microsoft word 和 Excel 宏病毒。通过定期运行调度扫描、启动扫描或自动防护，您可以保护计算机 不受宏病毒感染。 Symantec AntiVirus 将定期搜索并清除检测到的所有宏病毒。 要获得防止宏病毒感染的最佳效果，请执行以下操作: 启用自动防护。自动防护将不断扫描已访问 (例如文件执行或文件打开)或 已修改 (例如文件重命名、文件修改、文件创建、文件复制或文件移动到其 他位置)的文件。 为电子邮件运行自动防护 (如果可用) 。 通过禁用自动宏来保护您的全局模板文件。 客户端指南防病毒更新 检测到病毒或安全风险时采取的操作 13 检测到病毒或安全风险时采取的操作 注意 : 本节属于第 3 章 “保护您的计算机免遭病毒和安全风险的威胁” ，为更新内 容。 Symantec AntiVirus 通过第一操作和 第二操作对受到病毒或安全风险感染的文件 做出响应。默认情况下，当自动防护或在扫描过程中检测到病毒时， Symantec AntiVirus 会尝试清除受感染文件中的病毒。如果 Symantec AntiVirus 无法清除 文件中的病毒，第二操作将记录失败的清除尝试并将受感染的文件移动到隔离区， 使您无法进一步访问该文件，从而防止病毒传播。 根据您的防病毒策略，您可以将这些设置更改为删除检测到的受感染的文件或不采 取操作 (仅记录) 。对于自动防护，您还可以选择拒绝访问。此外，您还可以对每 种扫描类型中出现的宏和非宏病毒分别设置不同的操作。 默认情况下，无论是由自动防护还是在扫描过程中检测到的安全风险， Symantec AntiVirus 都将隔离受感染的文件并尝试删除或修复安全风险在计算机上所做的更 改。隔离安全风险可以确保安全风险在计算机上处于非活动状态，还可以确保 Symantec AntiVirus 在必要时恢复更改。如果 Symantec AntiVirus 无法执行此操 作，则第二操作将记录此风险并将其隔离。如果公司的安全策略允许计算机上存在 某一特定的安全风险，则还可以对此类安全风险应用一个附加操作，即 “排除” 。 对于每个扫描类型，均可以更改这些设置，并为每个安全风险类别以及单个安全风 险设置不同的操作。 注意 : 在某些情况下，您可能无意中安装了一个包含安全风险 (如广告软件或间 谍软件)的应用程序。如果 Symantec 已确定禁止该风险不会损害计算机，则默认 情况下， Symantec AntiVirus 将禁止该风险。如果禁止该风险可能会使计算机处 于不稳定的状态，那么 Symantec AntiVirus 会等待该应用程序完成安装后再隔离 该风险，然后修复该风险的影响。 关于自动防护和电子邮件扫描 注意 : 本节属于第 3 章 “保护您的计算机免遭病毒和安全风险的威胁” ，为更新内 容。 为了补充自动防护， Symantec AntiVirus 会在安装时检测您是否使用了受支持的 群件电子邮件客户端，并添加电子邮件的自动防护。 为以下电子邮件客户端提供防护: Lotus Notes 4.5x、 4.6、 5.0 和 6.x 14 客户端指南防病毒更新 关于加密电子邮件连接的自动防护处理 Microsoft Outlook 98/2000/2002/2003 (MAPI 和 Internet) Microsoft Exchange Client 5.0 和 5.5 注意 : 电子邮件自动防护仅适用于受支持的电子邮件客户端。它不会保护电子邮件 服务器。 通过监控使用 POP3 或 SMTP 通信协议的所有通信， Symantec AntiVirus 还为其 他 Internet 电子邮件程序提供了自动防护扫描。通过使用 Bloodhound? 病毒检测 技术，可以将 Symantec AntiVirus 配置为扫描传入邮件中的威胁和安全风险以及 传出邮件中的已知启发式病毒。扫描传出电子邮件有助于阻止威胁 (如蠕虫)的 传播，它们可以使用电子邮件客户端在网络上复制和分发其自身。 注意 :64 位计算机不支持 Internet 电子邮件扫描。 对于 Lotus Notes 和 Microsoft Exchange 电子邮件扫描， Symantec AntiVirus 仅 扫描与电子邮件关联的附件。对于使用 POP3 或 SMTP 协议的邮件的 Internet 电 子邮件扫描， Symantec AntiVirus 将扫描邮件的正文及其包含的所有附件。 如果使用通过 MAPI 的 Microsoft Exchange 或 Microsoft Outlook，并对电子邮件 启用了自动防护，则当您打开带有附件的邮件时，附件将被立即下载到您的计算机 中并进行扫描。通过慢速连接下载包含大型附件的邮件会影响邮件性能。如果您经 常接收大型附件，可能希望禁用该功能。 有时，如在安装新软件时，必须暂时禁用自动防护。 有关如何启用和禁用自动防护的信息，请参阅 《Symantec AntiVirus 安装使用指 南》 。 注意 : 如果在打开电子邮件时检测到病毒，则在 Symantec AntiVirus 完成对邮件 的扫描后可能需要几秒种的时间才能打开它。 电子邮件扫描不支持以下电子邮件客户端: IMAP 客户端 AOL? 客户端 基于 Web 的电子邮件，如 Hotmail? 和 Yahoo!? Mail 关于加密电子邮件连接的自动防护处理 本节为新增内容。它替换了以前版本中标题为 “如果使用 SSL 连接则禁用电子邮 件扫描”的一节。 客户端指南防病毒更新 禁用和启用自动防护安全风险扫描与禁止 15 默认情况下，自动防护支持对通过 POP3 和 SMTP 连接的加密密 码和电子邮件的 处理。如果您使用通过安全套接字层 (SSL) 的 POP3 或 SMTP，则自动防护将检测 安全连接，且加密邮件无需扫描便可通行，从而允许您通过安全链接收发电子邮 件。 即使自动防护不对通过 SSL 使用 POP3 或 SMTP 的电子邮件进行扫描，文件系统 自动防护功能也会继续保护计算机，使其免受附件中病毒和安全风险的威胁。文件 系统自动防护在您将电子邮件附件保存到硬盘驱动器时扫描附件。 如有必要，您可以禁用对加密电子邮件的处理。 禁用加密电子邮件连接的自动防护处理 1 2 3 4 5 在 Symantec AntiVirus 的左窗格中，单击 “配置” 。 在右窗格中，单击 “Internet 电子邮件自动防护” 。 单击 “高级” 。 取消选中 “允许加密的 POP3 连接”和 “允许加密的 SMTP 连接” 。 单击 “确定” 。 禁用和启用自动防护安全风险扫描与禁止 注意 : 本节属于第 3 章 “保护您的计算机免遭病毒和安全风险的威胁” ，为更新内 容。 默认情况下，自动防护扫描安全风险 (如广告软件和间谍软件) 、隔离受感染的文 件并尝试删除或修复安全风险的影响。如果禁止安装安全风险不会影响计算机的稳 定性，则在默认情况下，自动防护还会禁止此类安装。如果 Symantec 确定禁止某 项安全风险可能损害计算机的稳定性，自动防护将允许安装该风险，并立即执行针 对该风险配置的操作。 但有时可能需要在 “文件系统自动防护”中暂时禁用安全风险扫描，然后重新启 用它。此外，您还可能需要禁用禁止安全风险功能，以控制自动防护对特定安全风 险做出响应的时间。 注意 : 管理员可能会锁定这些设置。 禁用和启用自动防护安全风险扫描与禁止 1 2 3 在 Symantec AntiVirus 的左窗格中，单击 “配置” 。 在右窗格中，单击 “文件系统自动防护” 。 在 “选项”下，执行以下操作: 16 客户端指南防病毒更新 启用、禁用和配置防篡改 选中或取消选中 “扫描安全风险” 。 选中或取消选中 “禁止安全风险” 。 4 单击 “确定” 。 注意 : 无论是否启用了 “禁止安全风险”复选框，只要 Symantec 确定禁止某项安 全风险可能损害计算机的稳定性，自动防护就会允许安装该风险，并立即执行针对 该风险配置的操作。 启用、禁用和配置防篡改 注意 : 本节属于第 3 章 “保护您的计算机免遭病毒和安全风险的威胁” ，为更新内 容。 启用防篡改功能后，您可以将 Symantec AntiVirus 配置为禁止或记录修改 Symantec 进程或内部软件对象的尝试。其中，内部对象可同步 Symantec 线程和 进程，并用于协调计算机上所运行程序的活动。例如，如果您使用 Microsoft Outlook 发送电子邮件，则 Outlook 的 Symantec AntiVirus 管理单元将与 Symantec AntiVirus 服务进行协调，以要求该服务对邮件进行扫描。 还可以配置当 Symantec AntiVirus 检测到改动尝试时要显示在计算机上的消息。 默认情况下，如果 Symantec AntiVirus 检测到内部对象被改动，将显示通知消 息。如果您启用了在 Symantec AntiVirus 检测到进程被改动时发送通知这一功 能，受感染的计算机就可以收到有关 Windows 进程和 Symantec 进程的通知。 注意 : 如果管理员管理您的计算机，并且 “防篡改”选项显示一个锁图标，则您 将无法更改这些选项，原因是管理员已将它们锁定。 启用、禁用和配置防篡改功能 1 2 3 在 Symantec AntiVirus 的左窗格中，单击 “防篡改” 。 在右窗格中，选中或取消选中 “启用防篡改” 。 如果您启用了防篡改功能，则在 “防护”下，选中或取消选中 “进程”和 “内部对象” 。 在每个选项的下拉列表中，执行以下操作之一: 要禁止未授权的活动，请单击 “禁止” 。 要记录未授权的活动但允许此活动发生，请单击 “只记录” 。 4 5 选中或取消选中 “即使 Symantec Antivirus 关闭 , 也启用防篡改功能” 。 在 “通知”下，选中或取消选中 “在受影响的计算机上显示消息” 。 客户端指南防病毒更新 创建调度扫描 17 6 7 8 如果您选中了 “在受影响的计算机上显示消息” ，请选中或取消选中 “进程” 和 “内部对象” 。 在 “选项”下，选中或取消选中 “即使 Symantec Antivirus 关闭 , 也启用防 篡改功能” 。 单击 “确定” 。 创建调度扫描 注意 : 本节属于第 3 章 “保护您的计算机免遭病毒和安全风险的威胁” ，为更新内 容。 调度扫描是威胁和安全风险防护功能的重要组成部分。每周至少需要运行一次调度 扫描以确保您的计算机免受病毒和安全威胁 (如广告软件和间谍软件)的侵袭。 注意 : 如果网络管理员已为您创建了调度扫描，它将显示在 “查看”文件夹的 “调度扫描”区域，而不是 “调度扫描”文件夹中。 “调度扫描”文件夹只显示已 调度的扫描。 创建调度扫描 1 2 3 在 Symantec AntiVirus 的左窗格中，单击 “调度扫描” 。 单击右窗格中的 “新建调度扫描” 。 选择以下调度扫描类型之一: 快速扫描 全面扫描 自定义扫描 4 5 6 7 8 9 单击 “下一步” 。 键入扫描的名称和说明。 例如，扫描名为:Friday at 4。 单击 “下一步” 。 指定扫描的频率和时间。 单击 “高级”配置高级调度选项。 在 “高级调度选项”对话框中，执行以下操作: 选中 “重试预定的扫描时间” ，然后设置您希望扫描在其中运行的小时 数。例如，可能希望每周扫描仅在失败事件的调度时间后的三天之内运 行。 18 客户端指南防病毒更新 配置针对病毒和安全风险的操作 选中或取消选中 “即使在用户未登录的情况下，也同样执行此用户定义 的调度扫描” 如果用户已登录，则无论此设置如何，都将始终运行用户 。 定义的扫描。 对于接受管理的客户端，管理员可能会覆盖这些设置。 10 单击 “下一步” 。 11 如果选择 “自定义扫描” ，则在右窗格中选中相应的复选框以指定扫描位置。 您可以选中整台计算机，也可以只选中单个文件。 12 单击 “选项”可更改扫描内容以及检测到病毒或安全风险时的响应方式的默 认设置。 默认设置如下: 默认设置是扫描所有文件。 对于病毒，操作 的默认设置是清除受感染文件中的病毒并修复影响，如果 无法删除病毒，则隔离受感染的文件。 对于安全风险，操作的默认设置是隔离安全风险并删除或修复其副作用， 如果无法隔离和修复安全风险，则对其加以记录。 要将修改的设置只应用到当前扫描中，则单击 “确定” 。要将这些设置应用到 以后的所有扫描中，则单击 “保存配置” 。 13 单击 “高级”可配置一个在调度扫描过程中显示的扫描进度对话框。 14 在 “扫描高级选项”对话框的 “对话框选项”下的下拉列表中，单击 “显示 扫描进度” ，然后单击 “确定” 。 15 在 “扫描选项”对话框中，单击 “确定” 。 16 在 Symantec AntiVirus 主窗口中，单击 “保存” 。 当发生调度扫描时，计算机必须是打开的，并且必须加载了 Symantec AntiVirus 服务。默认情况下，在启动计算机时就已加载了 Symantec AntiVirus 服务。 新建的扫描会添加到 “调度扫描”文件夹的列表中。 配置针对病毒和安全风险的操作 注意 : 本节属于第 3 章 “保护您的计算机免遭病毒和安全风险的威胁” ，为更新内 容。 扫描病毒和安全风险的重要部分是配置希望 Symantec AntiVirus 在检测到病毒或 安全风险时采取的操作。可以配置第一操作以及在第一操作失败时执行的第二操 作。 客户端指南防病毒更新 配置针对病毒和安全风险的操作 19 注意 : 如果管理员管理您的计算机，且这些选项显示一个锁图标，则表示管理员已 经将它们锁定，因此您无法更改这些选项。 此过程将 “配置完全扫描”用作示例，但您可以为病毒、安全风险项目配置操作， 并像配置其他扫描一样进行分类。 为病毒和安全风险配置操作 1 2 3 在左窗格中，展开 “扫描” ，然后单击 “全面扫描” 。 在右窗格中，单击 “选项” 。 在 “扫描选项”窗口中，单击 “操作” 。 4 在 “操作”对话框的树中，选择一个病毒或安全风险类型。 默认情况下，每个安全风险子类别 (如间谍软件)会自动配置为使用在最高 级别为整个 “安全风险”类别设置的操作。 要将类别或类别的特定实例配置为使用不同的操作，请选中 “覆盖 “安全风 险”项所设定的配置” ，然后只为该类别设置操作。 20 客户端指南防病毒更新 配置针对病毒和安全风险的操作 5 从下列选项中选择第一操作和第二操作: 清除风险 清除受感染文件中的病毒。这是针对病毒的默认第一操作。 注意 : 此操作对安全风险不可用。 清除应始终是针对病毒的第一操作。如果 Symantec AntiVirus 成功地清除了文件中的病毒，您就不需要再采取其他任何操作 了。计算机将远离病毒威胁，也不用再怀疑病毒是否会传播到 计算机的其他区域中。 当 Symantec AntiVirus 清除文件中的病毒后，它可以将病毒从 受感染文件、引导扇区或分区表中删除，并且消除病毒传播的 能力。 Symantec AntiVirus 通常可以在病毒破坏您的计算机之 前发现并清除它。 但在某些情况下，已清除病毒的文件可能无法使用，这取决于 病毒已导致的破坏的程度。这是病毒感染的结果而不是清除操 作的结果。 无法清除某些受感染文件中的病毒。 隔离风险 执行以下操作之一: 对于病毒，将受感染的文件从其原来的位置移动到隔离 区。隔离区中的受感染文件不会传播病毒。这是针对病毒 的默认第二操作。 对于安全风险，将受感染文件从其原来的位置移动到隔离 区并尝试删除或修复任何副作用。这是针对安全风险的默 认第一操作。 隔离区包含执行的所有操作的记录，以便在需要时可以将 计算机返回到 Symantec AntiVirus 删除风险之前所处的状 态。 删除风险 将受感染的文件从计算机硬盘中删除。如果 Symantec AntiVirus 无法删除文件，则有关 Symantec AntiVirus 采取的 操作的其他信息将显示在 “通知”对话框和事件日志中。 由于文件会被永久删除，并且无法从 “回收站”中恢复，因此 只有在您可以使 用无病毒或安全风险的备份副本替换受感染文 件时，才可以使用此操作。 注意 : 为安全风险配置操作时请谨慎使用此操作，因为在某些情 况下删除安全风险会导致某些应用程序无法使用。 客户端指南防病毒更新 配置针对病毒和安全风险的操作 21 不操作 (仅记录) 执行以下操作之一: 对于病毒，不对受感染文件执行任何操作。文件中仍然存 在病毒，并且可能扩散到计算机的其它部分。在 “风险历 史记录”中放置一个条目，以记录受感染的文件。 可以使用 “不操作 (仅记录) ”作为针对宏病毒和非宏病 毒的第二操作。 当您执行大规模自动扫描 (如调度扫描)时请不要选择此 操作，除非要查看扫描结果并在以后采取其他操作 (如将 文件移动到隔离区) 。 对于安全风险，不对受感染文件执行任何操作，并在 “风 险历史记录”中放置一个条目，以记录风险。使用此选项 手动控制 Symantec AntiVirus 处理安全风险的方式。这是 针对安全风险的默认第二操作。 系统管理员可能会发送一个说明如何进行响应的自定义消息。 排除 仅适用于安全风险。如果您公司的安全策略允许您在计算机上使 用某一安全风险，而您希望将其从此扫描中排除，则可以使用 此操作。 请参阅第 22 页 “指定针对病毒的第二操作的提示” 。 请参阅第 23 页 “指定针对安全风险的第二操作的提示” 。 6 7 对要为其设置特定操作的每个类别重复步骤 4 和 5。 如果在树中选择一个安全风险类别，则可以单击 “特例”选项卡为该安全风 险类别的一个或多个特定实例配置自定义操作。您可以使用此功能将 Symantec AntiVirus 配置为将某一安全风险从扫描中排除。例如，如果您需 要在工作中使用一个广告软件，且在公司安全策略的允许范围之内。请选择 “排除”作为实现此目的的第一操作。 22 客户端指南防病毒更新 配置针对病毒和安全风险的操作 8 单击 “添加”以显示 “选择安全风险”对话框。 9 在 “选择风险”对话框的列表中，选择要为其配置自定义操作的特定风险， 然后单击 “下一步” 。 10 在 “配置风险”对话框中，选择希望 Symantec AntiVirus 在检测到选定的风 险时采取的第一操作和第二操作，然后单击 “完成” 。 11 为要为其设置特定操作的每个安全风险重复步骤 8 至 10。 12 单击 “确定”直到返回 Symantec AntiVirus 主窗口。 指定针对病毒的第二操作的提示 选择针对病毒的第二操作时，请注意以下事项: 对文件需要具有的控制 如果您在计算机上存储了重要文件，而没有对它们进行备份，则不 级别 应使用诸如 “删除风险”等操作。尽管使用这种方法可以删除病 毒，但也会丢失重要数据。 另外需要注意的是您的系统文件。因为某些系统文件拥有可执行文 件扩展名，所以它们也可能受到病毒的攻击。使用 “不操作 (仅 记录) ”或 “隔离风险”操作是一个好方法，虽然不太方便，但便 于您检查哪些文件已经受到感染。例如，如果文件病毒感染了 Command.com 并且 Symantec AntiVirus 无法清除病毒感染，那 么您可能就无法还原该文件了。但是，使用 “不操作 (仅记录) ” 命令可以避免在关闭计算机前因无法还原 Command.com 而引起的 其他麻烦。 客户端指南防病毒更新 配置针对病毒和安全风险的操作 23 已感染计算机的病毒的 不同类型的病毒以计算机的不同区域作为感染目标。引导型病毒将 类型 感染引导扇区、分区表、主引导记录，有时还会感染内存。当引导 型病毒是复合型病毒时，它们可能还会感染可执行文件，并且这种 病毒感染可以按照文件病毒进行处理。文件病毒通常感染具有 .exe、 .com 或 .dll 扩展名的可执行文件。宏病毒感染文档文件以及 与这些文档关联的宏。请根据您可能需要恢复的文件类型来选择操 作。 正在执行的 扫描类型 所有扫描将自动执行操作，而无需您的同意。如果在扫描前没有更 改操作，则使用默认的操作。因此，默认第二操作旨在让您能够控 制病毒的发作。对于自动执行的扫描，例如调度扫描、空闲扫描 (在 32 位计算机上)和自动防护扫描，请不要指定具有永久效果 的第二操作。例如，只有在已知文件受到感染而执行的手动扫描 中，才能使用 “删除风险”和 “清除风险”操作。 指定针对安全风险的第二操作的提示 选择针对安全风险的第二操作时，请考虑需要对文件拥有的控制级别。如果在计算 机上存储了重要文件，而没有备份它们，则不应使用诸如 “删除”风险这样的操 作。即使您可以通过这种方法删除安全风险，也可能导致计算机上的其他应用程序 停止运行。请改用 “隔离风险”操作，以便在必要时可以恢复 Symantec AntiVirus 所做的更改。 关于风险影响评级 Symantec 会评估安全风险以确定它会对计算机产生何种程度的影响。下列因素分 为低、中、高三级:隐私影响、性能影响、隐藏和删除困难。某个因素的评级为低 表示其影响最小，评级为中表示其具有一定的影响，而评级为高则表示该因素在其 所在领域具有显著的影响。如果尚未对某一特定安全风险进行评估，则会显示默认 的评级。如果已经对安全风险进行评估，但进行评级的因素并不适用于该风险，则 该因素的评级将显示为 “无” 。 当您使用 “特例”选项卡对特定的安全风险分配自定义操作时，这些评级将显示 在 Symantec 系统中心中。当您配置 “自动防护”选项以及任何类型的扫描时， 都可以使用 “操作”按钮，设置标准操作的特例。使用这 些评级有助于确定您希 望将哪些安全风险 (如果有)从扫描中排除并允许它们保留在计算机上。 表 2-1 说明了各个评级因素及其较高评级的含义 . 表 2-1 评级因素 隐私影响 性能影响 风险影响因素 说明 该因素测定由于计算机上存在安全风险而导致的隐私泄漏的等级。 高评级表示个人或其他敏感信息可能会被窃取。 该因素测定某个安全风险导致的计算机性能下降的程度。高评级表 示性能会严重下降。 24 客户端指南防病毒更新 关于与扫描结果交互 表 2-1 评级因素 隐藏评估 风险影响因素 说明 该因素测定确定计算机上是否存在安全风险的难易程度。高评级表 示安全风险企图隐藏其存在，这可能会导致系统难以确定计算机上 是否存在安全风险。 该因素测定将某个安全风险从计算机上删除的困难程度。高评级表 示风险难以删除。 全面评级是其他因素的平均值。 “相关程序”列中的 “是”或 “否”表示是否存在其他依赖此安全风险才能正常使用的应用程序。 “相关程序”列中的 “是”或 “否”表示是否存在其他依赖此安全 风险才能正常使用的应用程序。 删除评估 全面评估 相关程序 单击某个因素名称会按照从低风险到高风险的顺序对该列进行排序，而再次单击因 素名称则会按从高评级到低评级的顺序对该列进行排序。 关于与扫描结果交互 注意 : 本节属于第 3 章 “保护您的计算机免遭病毒和安全风险的威胁” ，为更新内 容。它替换了 “与通知交互”一节。 默认情况下，当 Symantec AntiVirus 发现病毒或安全风险时，将通知您。同时显 示 “自动防护结果”对话框: 客户端指南防病毒更新 关于与扫描结果交互 25 如果 Symantec AntiVirus 需要终止进程、应用程序或停止服务，则 “立即删除风 险”按钮将处于活动状态。 表 2-2 说明了按钮和结果对话框。 表 2-2 按钮 立即删除风险 结果对话框中的按钮 说明 单击 “立即删除风险”后，将显示 “删除风险”对话框。您可以 选择以下操作: 如果您单击 “是” ，将删除风险。且如果删除此风险后需要 重新启动系统，则更新对话框内该风险所在行中的信息，以 表示需要重新启动系统。 如果您单击 “否” ，当您关闭结果对话框后，将再次显示一 个对话框，提醒您仍需要采取必要的操作。 关闭 如果不必采取任何操作，则当您单击 “关闭”时，将关闭结果对 话框。 如果必须采取某项操作，则当用户单击 “关闭”时，将显示以下 通知之一: 需要删除风险 当某项风险需要终止进程时，将显示此通知。如果您选择删 除风险，将返回结果对话框。如果还需要重新启动系统，则 在该对话框内相应风险所在的行中显示信息，表示需要重新 启动系统。 需要重新启动 当某项风险需要重新启动系统时，将显示此通知。 需要删除风险并重新启动 当某项风险需要终止进程，而另一风险需要重新启动系统 时，将显示此通知。 在需要重新启动系统的情况下，如果您没有重新启动计算机，将不会完成删除或修 复。只有您在下次重新启动计算机后，这些操作才能完成。 如果您需要对风险采取操作，但选择不立即执行，则可以后再删除或修复该风险， 操作方法如下: 可以打开 “风险历史记录” ，右键单击此风险，然后采取一项操作。 可以运行扫描以重新检测风险并重新打开结果对话框。 可以采取的操作取决于为已发现的特定类型的病毒或安全风险所配置的操作。 关于安全风险排除 如果您的管理员未锁定安全风险排除设置，则可以在 “扫描结果”对话框中，将 Symantec AntiVirus 配置为在扫描中排除某项风险。您可能需要将某一风险从扫 26 客户端指南防病毒更新 配置网络扫描选项 描中排除，例如，如果您需要在工作中使用某一特定的广告软件，且在公司安全策 略的允许范围之内。 配置网络扫描选项 注意 : 本节属于第 3 章 “保护您的计算机免遭病毒和安全风险的威胁” ，为新增内 容。 默认情况下，将启用对网络驱动器的扫描。这意味着，当客户机向服务器写入文 件，或一台服务器向另一台服务器写入文件时， Symantec AntiVirus 将对文件进 行扫描。 默认情况下，还将启用 “自动防护” ，以信任远程版本的自动防护。如果在客户端 和服务器都启用了此选项，则客户端的自动防护将进行检查，以确定服务器自动防 护设置提供的安全级别是否大于或等于其自身自动防护设置所提供的安全级别。如 果是，则本地计算机将信任远程计算机上的自动防护扫描，从而不再对文件进行扫 描。例如，当客户端 A 向服务器 B 上的网络驱动器写入文件时， Symantec AntiVirus 会在客户端 A 上扫描该文件，但不会在服务器 B 上进行重复扫描。这样 便可在启用网络扫描的同时，防止自动防护功能执行重复扫描。 禁用对远程版本自动防护的信任 默认情况下，将启用对远程自动防护的信任。如果您不确定所使用的服务器是否启 用了自动防护，则可能需要禁用此信任功能。但取消选中此选项可能会降低网络性 能。 禁用对远程版本自动防护的信任 1 2 3 4 在左窗格中，单击 “配置” 。 单击 “文件系统自动防护” 。 在 “网络扫描选项”下的右窗格中，取消选中 “信任运行自动防护的计算机 上的文件” 。 单击 “确定” 。 启用网络高速缓存 如果您希望自动防护在扫描来自网络服务器的文件后，存储这些文件的记录，则可 以将计算机配置为使用网络高速缓存。此选项可 防止自动防护功能多次扫描同一文 件，从而提高系统性能。您可以设置自动防护将扫描并记住的文件 (条目)数。 也可以设置文件从高速缓存中删除前的超时值。当超时到期后，文件将从高速缓存 中删除。如果客户端向网络服务器请求网络文件，将再次扫描这些文件。 客户端指南防病毒更新 按事件类别过滤事件日志 27 启用网络高速缓存 1 2 3 4 5 6 在左窗格中，单击 “配置” 。 单击 “文件系统自动防护” 。 在 “网络扫描选项”下的右窗格中，选中 “网络缓存” 。 使用箭头选择或键入您希望自动防护扫描并记住的文件 (条目)数。 使用箭头选择或键入您希望条目在高速缓存中保留的秒数，超过该秒数后，将 清空高速缓存并再次扫描所有文件。 单击 “确定” 。 按事件类别过滤事件日志 注意 : 本节属于第 4 章 “发现病毒或安全风险时采取的操作” ，为更新内容。 只要将需要查看的信息显示在事件日志中，就可以将这些数据按照它们在计算机上 显示的形式保存到逗号分隔值 (.CSV) 文件中。 事件在事件日志中分成以下几个类别: 配置更改 Symantec AntiVirus 启动 / 关闭 病毒定义文件 扫描忽略 转发到隔离区服务器 发送给 Symantec 安全响应中心 自动防护加载 / 卸载 授权许可 客户端管理和漫游 日志转发 未授权通信 (拒绝访问)告警 登录和证书管理 端点遵从性 通过只显示特定类别事件可以减少在事件日志中显示的事件数量。 28 客户端指南防病毒更新 按事件类别过滤事件日志 例如，如果只需要查看错误事件，则可以只选择 “配置更改”类别。尽管 Symantec AntiVirus 仍然继续记录其他类别的事件，但这些事件将不会显示在事 件日志中。 按事件类别过滤事件日志 1 2 3 4 在 Symantec AntiVirus 的 “历史记录”菜单上，单击 “事件日志” 。 单击 “过滤事件” 。 选择一个或多个事件类别。 单击 “确定” 。 索引 A 安全风险 配置操作 18 指定第二操作的提示 23 安全风险扫描 , 在自动防护中禁用 15 M Microsoft Exchange 自动防护 13 P 配置网络扫描选项 11 B 病毒 配置操作 18 指定第二操作的提示 22 S Symantec 9 扫描类型 调度 17 C 操作 指定针对安全风险的第二操作的提示 23 指定针对病毒的第二操作的提示 22 操作特例 , 配置 21 T 通知 用户交互 24 Z 自动防护 禁用安全风险扫描 15 群件电子邮件客户端 13 D 电子邮件 自动防护 13 调度扫描 创建 17 独立客户端 与接受管理的客户端 9 F 防篡改 启用 , 禁用和配置 16 H 宏病毒感染 , 防止 12 J 接受管理的客户端与独立客户端 9 L Lotus Notes 自动防护 13 30 索引