McAfee 8.0i已於2010年3月31日停止更新。
官網說明:本日期後將不提供本版的延期支持。 我們提供支持服務的最低版本為 Patch 16。 有關詳細信息,請參考文章 KB52201。
McAfee 8.0i 功能介紹 以及版本更新介紹
__________________________________________________________________
新功能
本版本 VirusScan Enterprise 提供以下幾種新功能,這些功能可以有助於
防止入侵,並更有效地檢測入侵:
- 產品版本號
新版本為 8.0i。
產品版本號已經從 7.1 更改為 8.0,這一更改反映了自上次發布以來產
品內部功能的重大更改。 有關詳細信息,請參閱以下"新功能"和"更改
的功能"部分。
產品版本號增加"i"表示 McAfee VirusScan Enterprise 是全球第
功能是由 McAfee Entercept 的"緩衝區溢出保護"功能提供的,
McAfee Entercept 是我們的主機入侵防護安全產品。
- 訪問保護。
通過此功能您可以限制對連線埠、檔案、共享資源和資料夾的訪問,從而防止
入侵。
通過創建規則指定要阻擋的連線埠以及是否限制對入站或出站進程的訪問,可
以阻擋連線埠。如果您希望允許一個特定進程或一組進程訪問準備阻擋的連線埠,
也可以從規則中排除這些進程。 阻擋連線埠時,即同時阻擋 TCP 和 UDP
訪問。
您可以通過將共享資源設定為唯讀或阻止對所有共享資源的讀取和寫入,限
制對共享資源的訪問。
您可以通過創建規則阻擋檔案和資料夾,規則指定禁止對您定義的檔案或文
件夾進行訪問的進程、禁止的檔案操作以及在某人嘗試訪問阻擋的項目時應
採取的操作。
這些"訪問保護"功能在防範入侵時非常有效。在病毒發作時,管理員可以
阻止對感染病毒區域的訪問,直到發布新的 DAT。
註:
如果您阻擋 ePolicy Orchestrator 代理或 Entercept 代理
使用的連線埠,則代理的進程受到過濾器信任,可以與被阻擋的連線埠進
行通訊。但是,與這些代理進程無關的通訊將被阻擋。
本版 VirusScan Enterprise 提供了一些連線埠阻擋規則樣本、檔案和
資料夾阻擋規則樣本。 默認安裝本產品時,這些規則中有些會處於警告模
式,而有些則處於阻擋模式。
警告:
雖然採用這些規則的目的是防範各種常見的威脅,但是,也會阻擋合
法的活動。在部署 VirusScan Enterprise 之前,我們建議您查
看一下這些規則,確保它們適合於您的網路環境。
需要考慮的事項:
- 白名單。每條連線埠阻擋規則均包括一些排除在阻擋範圍之外的套用程
序。這些列表一般包含多數最常見的電子郵件客戶端和 web 瀏覽器。
請務必查看每個列表,確保其中包含允許傳送電子郵件和下載檔案
的所有程式。將這些程式列入白名單,確保這些程式不被阻擋。
- 對網路上發生的檔案系統活動的阻擋。 某些規則(例如,"禁止遠程
創建/修改/刪除檔案(.exe)")對於阻止自身從一個共享資源複製
到另一個共享資源的病毒非常有效。但是,它們也可能會阻擋那些依
靠將檔案推入工作站進行工作的管理系統。例如,在 ePolicy
Orchestrator 伺服器部署代理時,就是將代理安裝程式推送到工
作站的管理共享資源上並運行該程式。在部署之前,請確保為每個規
則選擇正確的模式(關閉、警告或阻擋)。
McAfee Installation Designer 可以用於配置 VirusScan 部
署軟體包。
警告:
默認規則無法為您的網路環境提供全面的保護。 您所需的限制取決於
您的環境。我們提供的規則的目在於通過示例說明該功能的作用以及
如何利用規則防止某些特定的威脅。
發現新的威脅時,病毒信息庫將向您提供建議,告訴您如何利用訪問
保護規則阻擋這些新威脅。請訪問以下位置的病毒信息庫:
http://vil.mcafee.com
- 源 IP (按訪問掃描)。
按訪問掃描程式檢測到寫入已分享檔案的病毒時,它會在按訪問掃描統計信息
對話框和按訪問掃描信息對話框中顯示檢測到的病毒的源 IP 地址。
- 阻擋(按訪問掃描)。
使用此功能可以阻擋在已分享檔案夾中放置了含有已感染病毒檔案的遠程計
算機的進一步訪問。您可以指定阻擋這些連線的時間長短。如果您希望在指
定的時間限制之前取消阻擋所有的連線,您可以在按訪問掃描統計對話框中
進行此操作。
- 緩衝區溢出保護。
"緩衝區溢出保護"可以阻止利用緩衝區溢出在計算機上執行代碼。此功能
會檢測到從堆疊中的數據開始運行的代碼,並阻止該代碼運行。但是,此功
能不阻止數據寫入堆疊。即使"緩衝區溢出保護"功能會阻止受到利用的代
碼運行,也不要指望受到利用的應用程式仍然會保持穩定。
VirusScan Enterprise 為大約 30 種最常用且最容易受利用的軟體套用程
序及微軟 Windows 服務提供緩衝區溢出保護。這些受保護的應用程式在一
個單獨的緩衝區溢出保護特徵碼檔案中定義。此 DAT 檔案在常規更新期間
隨病毒特徵碼檔案一起下載。到本產品發布之日為止,緩衝區溢出保護碼文
件中包括以下應用程式:
- dllhost.exe
- EventParser.exe
- excel.exe
- explorer.exe
- frameworkservice.exe
- ftp.exe
- iexplore.exe
- inetinfo.exe
- lsass.exe
- mplayer2.exe
- msimn.exe
- mstask.exe
- msmsgs.exe
- NaimServ.exe
- Naprdmgr.exe
- Outlook.exe
- services.exe
- SrvMon.exe
- svchost.exe
- visio32.exe
- VSEBOTest.exe
- w3wp.exe
- winword.exe
- wmplayer.exe
- wuauclt.exe
緩衝區溢出保護定義檔案更新時,此列表也會進行相應的更改。
- 有害程式策略。
使用此功能可以檢測到有害程式(例如, Jspyware、adware、dialers、
jokes 等),並對其執行相應的操作。
您可以從當前 -.DAT 檔案的預定義列表中選擇程式所有類別或這些類別
中的特定程式。也可以添加自己的程式進行檢測。
配置分兩步進行:
- 首先,在"有害程式策略"中配置要檢測的程式。默認情況下,此策
略在每個掃描程式屬性頁中是啟用的。
- 其次,逐一配置每個掃描程式(按訪問掃描程式、按需掃描程式和電
子郵件掃描程式),並指定在檢測到有害程式時掃描程式要執行的操
作。在此處指定的操作與其他掃描設定無關。
對有害程式的實際檢測和隨後的清除均由 -.DAT 檔案決定,正如對病毒
的處理一樣。如果檢測到有害程式且主要操作設定為"清除",則 -.DAT 文
件會嘗試使用 -.DAT 檔案中的信息對程式進行清除操作。如果無法清除
檢測到的程式,或者不在 -.DAT 檔案中(例如用戶定義的程式),則清
除操作會失敗,並轉而執行輔助操作。如果您選擇"刪除"操作,則僅刪除
定義為有害的程式,而遭到修改的註冊表鍵可能會保持不變。
- 腳本掃描(按訪問掃描)。
使用此功能可以在執行 JavaScript 和 VBScript 腳本之前對其進行
掃描。腳本掃描程式能夠象真正的 Windows 腳本主機組件的代理組件一
樣運行。它可以阻止腳本(例如 Internet Explorer 網頁腳本)的執
行並對其進行掃描。如果腳本不含有病毒,則將其傳送給真正的主機。如果
腳本已感染病毒,則不執行腳本。
- Lotus Notes(電子郵件掃描)。
除基於 MAPI 的電子郵件(例如,Microsoft Outlook)之外,電子郵
件傳遞掃描程式和按需電子郵件掃描程式現在均掃描 Lotus Notes 郵件
和資料庫。
您可以配置一系列屬性,套用於所安裝的任何電子郵件客戶端。
客戶端掃描程式具有不同的特點,在《產品指南》的"電子郵件掃描"部分
有此方面的介紹。例如,Microsoft Outlook 郵件在傳遞時掃描,而
Lotus Notes 郵件則在訪問時掃描。
- 選擇性更新 (AutoUpdate)。
在 VirusScan 控制台中使用 AutoUpdate 任務有選擇地僅更新 DAT 文
件、掃描引擎、產品升級、HotFix、補丁程式或 Service Pack 等。
如果您通過 ePolicy Orchestrator 管理 VirusScan Enterprise,
則只有 ePolicy Orchestrator 3.5 或更高版本才提供此選擇性更新
功能。早期版本的 ePolicy Orchestrator 不支持此功能。
- Alert Manager 本地警報。
無需本地安裝 Alert Manager 伺服器,即可生成 SNMP 陷阱和本地事
件日誌條目。
- 修復安裝。
通過 VirusScan 控制台"幫助"選單中的新選單項,您可以修復安裝。
您可以選擇將產品恢復為原始安裝設定,或重新安裝程式檔案。
用戶必須具有管理許可權才能執行這些功能。 管理員可以對此功能進行保護,
即在"用戶界面選項"的"密碼選項"對話框中為其設定密碼。
警告:
將產品恢復為原始安裝設定時,自定義的設定會丟失。
重新安裝程式檔案時,將覆蓋 HotFix、補丁程式和 Service Pack。
- 錯誤報告服務。
錯誤報告服務啟用後,可以提供對 Network Associates 應用程式的持
續後台監控功能,並在檢測到問題時提示用戶。檢測到錯誤時,用戶可以選
擇提交數據進行分析或忽略該錯誤。在 VirusScan 控制台的"工具"中
啟用"錯誤報告服務"。
______________________________________________________________________
更改的功能
自上次發布 VirusScan Enterprise 以來,以下功能已發生更改:
- 每天更新 (AutoUpdate)。
默認 AutoUpdate 任務時間安排已經從每周更改為每天。當然,管理員
可以修改該時間安排。
- 默認下載站點 (AutoUpdate)。
執行 AutoUpdate 時,現在默認的下載站點為 HTTP 站點,FTP 站點
作為輔助站點。 有關詳細說明,請參閱《VirusScan Enterprise 產
品指南》。
- 系統使用率(按需掃描)。
CPU 使用率已更改為系統使用率。 按需掃描啟動後,該功能會採集最初 30
秒鐘內的 CPU 和 IO 樣本,然後根據您在按需掃描屬性中指定的使用率
水平進行掃描。這樣更為符合實際需要,我們可以根據 CPU 和 IO 的使
用率平衡利用 CPU 和磁碟資源。
- 可恢復的掃描。
經過更改後,按需掃描程式可以執行真正的可恢復掃描。如果在完成掃描之
前中斷掃描,則掃描程式會從掃描中斷處自動恢復掃描。掃描程式的增量掃
描功能能夠識別上一次掃描的檔案,因此下次掃描啟動時,可以從中斷處恢
復掃描。
- 壓縮檔案掃描。
本版本從掃描選項中刪除了"掃描壓縮的檔案"選項,因為該功能已經在每
種掃描程式中永久性啟用了。掃描程式始終會掃描壓縮檔案。
______________________________________________________________________
安裝和系統要求
有關安裝和系統要求的完整信息,請參閱產品文檔。
測試安裝
您可以通過在已經安裝本軟體的任何計算機上運行 EICAR 標準防病毒測試檔案,
測試軟體的運行情況。EICAR 標準防病毒測試檔案是全世界防病毒產品廠商
共同努力的成果,它使客戶可以按照一個統一標準驗證其安裝的防病毒產品。
要測試安裝,請:
1. 將下面一行文字複製到一個獨立檔案中,然後以 EICAR.COM 名稱保存該
檔案。
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
該檔案的大小為 68 或 70 位元組。
2. 啟動防病毒軟體,讓它掃描 EICAR.COM 所在的目錄。
VirusScan Enterprise 掃描此檔案時,它會報告發現 EICAR 測試文
件。
3. 測試完安裝的軟體後,請刪除該檔案,以避免對正常用戶發出警告。
重要信息:
請注意,此檔案並非病毒。
_____________________________________________________________________
已解決的問題
下面介紹本軟體產品以前版本中存在但當前版本中已解決的問題。
1. 問題:
VirusScan Enterprise 7.1 按訪問掃描程式會對其他 McAfee防病
毒或安全產品的隔離資料夾中包含的數據執行操作,除非從掃描任務中排
除那些資料夾。例如,如果您在已經安裝 VirusScan Enterprise 的
同一台計算機上使用 McAfee GroupShield 或 IntruShield,則它
們各自的隔離資料夾可能會包含合法的感染病毒的數據。這些隔離資料夾
應該從按訪問掃描任務中排除,以避免清除、刪除或移動合法的感染病毒的
數據。
解決方案:
安裝程式會檢測到其他產品並為其添加排除項。
2. 問題:
對於使用 ePolicy Orchestrator 3.0 創建和部署的按需掃描任務,
可恢復掃描不起作用。 如果在 ePolicy Orchestrator 中創建的按需
掃描在掃描完成之前即結束(由於系統關閉等),就會出現這種問題。按需
掃描任務再次啟動時,它會再次從開始位置掃描,而不是從最後掃描的檔案
恢復掃描。
解決方案:
對於使用 ePolicy Orchestrator 3.0 創建和部署的按需掃描任務,
可恢復掃描工作正常。
3. 問題:
具有用戶許可權(相對於具有管理員許可權的管理員)的用戶回滾 DAT 檔案時,
出現下列錯誤:
"無法保存剛剛回滾的 DAT 版本"
這意味著 VirusScan Enterprise 無法創建正確的註冊表鍵,以識別
回滾操作。因此,執行更新可能會重新套用回滾的 DAT。在回滾的 DAT 版
本已損壞(這通常是執行 DAT 回滾的原因)的情況下,這會產生問題。
正常情況下,VirusScan Enterprise 不更新經過回滾的 DAT 版本。
註:
只有在除管理員之外的其他人員執行 DAT 回滾時才出現此問題。在
管理員執行回滾時,不能通過更新套用回滾的 DAT 版本。
解決方案:
無法重新套用回滾的 DAT。
4. 問題:
通過 ePolicy Orchestrator 部署 VirusScan Enterprise 時,
解決方案:
現在,通過 ePolicy Orchestrator 部署 VirusScan Enterprise
5. 問題:
將 VirusScan Enterprise 安裝至採用 Intel 64 位處理器的系統
時,不能使用 REGSVR32.EXE 正確註冊 VSUPDATE.DLL 檔案。結果,
在安裝完成後執行更新操作時,會出現錯誤,並會顯示以下錯誤信息:
"載入 COM 組件時出錯。"
要正確註冊.DLL,請在命令提示符下輸入以下命令:
"<驅動器>:\Winnt\syswow64\regsvr32.exe <installation path>vsupdate.dll"
註:
如果您將 VirusScan Enterprise 安裝到默認位置,則安裝路徑
為:
<驅動器>:\Program Files\Network Associates\VirusScan\
解決方案:
此問題在 VirusScan Enterprise 8.0 中已經得到解決。
______________________________________________________________________
已知問題
安裝、升級和卸載
1. 在安裝結束時,需要重新啟動系統(具有可選性),才能載入 TDI 網路驅
動程式。在重新啟動計算機之前,"連線埠阻擋"、"病毒感染跟蹤"和"病
毒感染跟蹤阻擋"功能均處於禁用狀態。
2. Internet Explorer 要求。《VirusScan Enterprise 8.0 安裝指
南》中將 Internet Explorer 要求錯誤列為 5.0 版或更高版本。
Internet Explorer 要求是 Internet Explorer 4.0 版 Service
Pack 2 或更高版本。
3. 如果您準備在採用 Windows NT4 作業系統的計算機上安裝 VirusScan
Enterprise 8.0,並使用 AutoUpdate 功能,則必須首先在該計算機
上安裝 Internet Explorer 4.0 Service Pack 2 或更高版本。
如果在您開始在採用 Windows NT4 作業系統的計算機上安裝 VirusScan
Enterprise 8.0 之前沒有安裝 Internet Explorer 4.0 Service
Pack 2 或更高版本,系統會生成一個錯誤編號 1920"伺服器啟動失敗"
的錯誤,要求您選擇"放棄"、"重試"或"繼續"安裝。如果"繼續"
安裝,則不會安裝 AutoUpdate 組件。如果您決定以後安裝 AutoUpdate
功能,則必須首先安裝 Internet Explorer 4.0 Service Pack 2 或
更高版本,然後,完全刪除 VirusScan Enterprise 8.0 並重新安裝。
4. 如果您使用未壓縮的安裝程式"SETUPVSE.EXE"在 Windows NT4 終端服務
器上安裝 VirusScan Enterprise,則必須在執行"SETUPVSE.EXE"之前,
先將終端伺服器切換到"安裝模式"。有關詳細信息,請參閱知識庫中的文
章 KB37558。
5. 要使用 MSIEXEC.EXE 安裝 VirusScan Enterprise 產品,請完成以
下步驟:
SETUP.EXE -nos_ne [-nos_o"<output path>"]
註:
-nos_ne 命令會從 SETUP.EXE 解壓縮安裝檔案,但是不會
執行 SETUP.EXE 或刪除安裝檔案。
-nos_o"<output path>" 命令會指定用於解壓縮安裝檔案的
目標資料夾。
如果不指定輸出路徑,這些檔案會解壓縮到用戶配置檔案的"
Temp"資料夾內。
b. 請確保刪除任何其他廠商的產品,包括 McAfee VirusScan 和
VirusScan Enterprise 早期版本。
c. 在命令提示符下輸入以下命令,運行 MSIEXEC.EXE:
"msiexec.exe /i vse800.msi"
6. 安裝"緩衝區溢出保護"功能時,會有以下限制:
- 如果在已經安裝 McAfee Entercept 代理的計算機上安裝
"緩衝區溢出保護",則會在 VirusScan 控制台中禁用"緩
沖區溢出保護"功能。
McAfee Entercept 產品覆蓋範圍更大,因此 McAfee Entercept
產品優先於 VirusScan Enterprise 中的"緩衝區溢出保護"功
能。
- 在 64 位平台上無法安裝"緩衝區溢出保護"。
- 緩衝區溢出保護與 Windows XP 快速用戶切換配合使用時,僅
保護會話。
MetaFrame 的終端會話。 它僅保護本地登錄。
7. 在 64 位平台上無法安裝 ScriptScan。
8. 在 64 位平台上無法安裝右鍵單擊掃描功能。
9. 本版本支持使用管理安裝點 (AIP) 進行部署。但是,必須從 AIP 中
運行 SETUP.EXE,才能執行升級或卸載其他防病毒軟體。
要創建 AIP,請在命令提示符下輸入"setup.exe /a"。此時會出現一
個嚮導,指導您創建 AIP。創建 AIP 後,壓縮 (.ZIP) 檔案中的所有
必要檔案均同時複製到 AIP。這些檔案包括:
- CMU300.NAP
- CONTACT.TXT
- EXAMPLE.SMS
- EXTRA.DAT
- INSTALL.PKG
- INSTMSIW.EXE
- PKGCATALOG.Z
- PACKING.LST
- README.TXT
- SETUP.INI
- SETUPVSE.EXE
- SIGNLIC.TXT
- UNINST.DLL
- UNINST.INI
- VSE800.NAP
- VSE800DET.MCS
由於這些檔案會自動複製到 AIP,因此,管理員不需要手動複製這些檔案。
註:
如果通過 Active Directory 組策略部署 VirusScan
Enterprise(這樣會使用 MSIEXEC.EXE 進行安裝),則必須首
先刪除現有的所有防病毒產品,才能安裝 VirusScan
Enterprise。
10. 靜默完全安裝 Computer Associates eTrust Antivirus 程式時,
該操作不完全靜默進行。Computer Associates eTrust Antivirus
會顯示一個包含"確定"按鈕訊息框,提示需要重新啟動。單擊"確定"
後,完全安裝會繼續正常進行。此問題是 Computer Associates 的
一個已知問題,您可以訪問 Computer Associates 的網站,編號為
QO19636 的文章即介紹相關的內容。Computer Associates 網站提
供修補此問題的可下載檔案。雖然此問題針對 Computer Associates
eTrust Antivirus 6.0 版,但是,該補丁程式對 7.0 版也適用。
與其他產品的兼容性
Alert Manager
1. VirusScan Enterprise 8.0 只能向 Alert Manager 4.7.x 傳送
警報。無法向早期版本的 Alert Manager 傳送警報。
此外,在已經安裝 Alert Manager4.7.x 以前版本的計算機上,無法安
裝 VirusScan Enterprise 8.0。如果您在已經安裝 Alert Manager
4.5 或 4.6 的系統中安裝 VirusScan Enterprise 8.0,應該同時
安裝 Alert Manager 4.7.x,該版本會自動替換早期版本。
但是,請注意,Alert Manager 4.7.x 可以接收早期版本的
NetShield 和 VirusScan 傳送的警報。您可以配置這些軟體程式的早
期版本將警報傳送到 Alert Manager 4.7.x。
2. 在 Windows 2003 (.NET) Server 上安裝 Alert Manager 時,警
報訊息不會自動在 VirusScan Enterprise 8.0 中顯示。 您必須手
動啟動信息服務:
a. 從"開始"選單中,依次選擇
"設定"|"控制臺"|"管理工具"|"服務"|"Messenger"
b. 打開"Messenger 的屬性"對話框。
c. 在常規選項卡的"啟動類型"下,選擇"自動"。
d. 在"常規"選項卡的"服務狀態"下,單擊"啟動"。
e. 單擊"確定"套用這些更改,並關閉"Messenger 的屬性"對話框。
Common Management Agent
1. 在 ePolicy Orchestrator 3.0.x 中安裝 VirusScan Enterprise
8.0 不會將 Common Management Agent 自動從早期版本自動升級到
3.5 版。如果您使用 ePolicy Orchestrator 3.0.x 和 VirusScan
Enterprise 7.x,則在將 VirusScan Enterprise 8.0 安裝軟體包
添加至 ePolicy Orchestrator 資料庫時,Common Management
Agent 不會升級至 3.5 版。
要將 Common Management Agent 從早期版本升級到 3.5 版,必須安
裝 Common Management Agent 3.5 版,然後,將其推送到客戶端或
執行更新任務。
註:
使用 ePolicy Orchestrator 管理 VirusScan Enterprise
8.0 時,不需要安裝 Common Management Agent 3.5。Common
Management Agent 3.5 版與其早期版本僅有的不同之處在於:
- Common Management Agent 3.5 版能夠進行選擇性更新,而
早期版本只能進行整體更新。選擇性更新允許您單獨更-.DAT、
掃描引擎和補丁程式等。
- Common Management Agent 3.5 版不過濾客戶端的事件。
2. 如果已經安裝 Common Management Agent 3.5 版,則安裝 ePolicy
Orchestrator 3.0.x 會失敗。 如果您嘗試在已經安裝 VirusScan
8.0 的同一台計算機上安裝 ePolicy Orchestrator 3.0.x,則
ePolicy Orchestrator 安裝會因為 Common Management Agent 的
升級問題而失敗。因為 VirusScan Enterprise 8.0 安裝 Common
Management Agent 3.5 版,而 ePolicy Orchestrator 3.0.x 安
裝早期版本的 Common Management Agent,所以代理程式無法升級,
安裝自然會失敗。
要解決此問題,請執行以下步驟:
a. 刪除 VirusScan Enterprise 8.0。
a. 安裝 ePolicy Orchestrator 3.0.x。
b. 重新安裝 VirusScan Enterprise 8.0。
c. 要在 ePolicy Orchestrator 3.0.x 中將 Common Management
Agent 從早期版本升級到 3.5 版,必須在 ePolicy
Orchestrator 3.0.x 中安裝 Common Management Agent 3.5
版,然後將其推送到客戶端或執行更新任務。
ePolicy Orchestrator
1. 如果您準備使用 ePolicy Orchestrator 管理 VirusScan
Enterprise 8.0,則必須使用 ePolicy Orchestrator 3.0 版
Service Pack 1 或更高版本。
2. 選擇性更新。要使用新的選擇性更新功能,必須使用 ePolicy
Orchestrator 3.5 或更高版本管理 VirusScan Enterprise.早期
版本的 ePolicy Orchestrator 會執行更新,但是不支持僅更新 .DAT
檔案、掃描引擎等的選擇性更新。
3. 本版 VirusScan Enterprise 8.0 提供兩個 .NAP 檔案,必須將這
兩個.NAP 檔案添加到 ePolicy Orchestrator 資料庫內。另外,如
果您運行 ePolicy Orchestrator 3.0.x,在添加兩個 .NAP 檔案後,
必須運行更新執行檔,以解決與事件解析程式註冊有關的問題。
註:
如果您運行 ePolicy Orchestrator 3.5 版或更高版本,則不需
要運行更新執行檔。
這些檔案隨 VirusScan Enterprise 8.0 安裝軟體包附帶,您可以從
下載這些檔案的位置找到這些檔案:
- VSE800.NAP
- VSE800REPORTS.NAP.此檔案是一個擴展報告.NAP 檔案。
- VSE800UPDATEFOREPO30.EXE. 此檔案是一個更新執行檔。
a. 將兩個 .NAP 檔案添加至 ePolicy Orchestrator 資料庫。
註:
我們建議您在安裝 VSE800.NAP 之前,先安裝
VSE800REPORTS.NAP 檔案。按照此順序安裝 .NAP 檔案可
以防止在託管產品下顯示的 VirusScan Enterprise 英文說
明出現問題。有關詳細信息,請參閱本部分的已知問題 8。
b. 如果您使用 ePolicy Orchestrator 3.0.x,則可以在已經安裝
ePolicy Orchestrator 3.x 的計算機上執行
VSE800UPDATEFOREPO30.EXE。
此執行檔用於在 ePolicy Orchestrator 3.0.x 伺服器上
註冊事件解析程式 .DLL。此更新解決了 ePolicy Orchestrator
的一個問題,這一問題會導致在添加擴展報告 .NAP 時事件解析程式
錯誤註冊。
註:
有關詳細信息,請參閱《與 ePolicy Orchestrator 配合使用的
VirusScan Enterprise 8.0 配置指南》。
4. 如果將 VSEREPORTS.NAP 檔案登記到 ePolicy Orchestrator 3.01
版或 3.02 版資料庫,可能會導致"未指定的錯誤"。
這是一個控制台逾時錯誤,可以忽略。即使控制台逾時,伺服器仍會完成 .NAP
檔案中所有的 SQL 腳本的執行。
5. 如果您將 Microsoft SQL Server 7.0 版與 ePolicy Orchestrator
3.01 或更高版本配合使用,則在將 VSE800.NAP 檔案登記到 ePolicy
Orchestrator 資料庫中,按需掃描任務不會保留。 必須安裝
Microsoft SQL Server 2000 版或更高版本,才能保留按需掃描任務。
6. 從 ePolicy Orchestrator 伺服器通過 UNC 將資料庫複製到某服務
器,且該伺服器已經在"訪問保護屬性"中啟用這些檔案阻擋規則時,複製
的資料庫可能會損壞:
- "禁止遠程修改檔案 (.exe)"
- "禁止遠程修改檔案 (.dll)"
- "禁止遠程創建/修改/刪除系統根目錄中的任何內容"
- "禁止遠程創建/修改/刪除檔案 (.exe)"
這些規則啟用時,某些檔案複製會被阻止,因為 ePolicy
Orchestrator 伺服器遠程打開檔案,並採用與共享傳播式蠕蟲同樣的方
式進行寫入訪問和修改其內容。
如果您準備從 ePolicy Orchestrator 伺服器通過 UNC 複製資料庫,
請確保在目標伺服器上禁用這些檔案阻擋規則,然後再執行複製任務。
7. 從資料庫中刪除項目時,ePolicy Orchestrator 符合性基線不會重新
評估符合性。
例如,在將 VirusScan Enterprise 8.0 登記到 ePolicy
Orchestrator 資料庫時,它會標記為該環境的新符合性基線。所有已經
安裝 VirusScan Enterprise 8.0 以前版本的計算機均標記為不符合。
不過,如果您從資料庫中刪除 VirusScan Enterprise 8.0,而不是重
新評估符合性,則符合性基線會保持在 8.0 版。即使將 VirusScan
Enterprise 7.1 重新登記到資料庫,符合性基線只會增量提高。
8. 取決於安裝兩個 VirusScan Enterprise 8.0 .NAP 檔案的順序,
在 ePolicy Orchestrator"Repository "(資料庫)中"Managed
Products"(託管產品)|"Windows"|"VirusScan Enterprise"|"8.0.0"
下的 VirusScan Enterprise 8.0 的英文說明可能不可
用。
如果在安裝 VSE800REPORTS.NAP 之前已經將 VSE800.NAP 安裝
到資料庫,則英文說明不可用。
如果在安裝 VSE800.NAP 之前已經安裝 VSE800REPORTS.NAP,
則英文說明可用。
9. 在 ePolicy Orchestrator"Event Filtering"(事件過濾)策略
中禁用事件過濾。VirusScan Enterprise 會生成許多事件 ID,這些
ID 不會在 ePolicy Orchestrator 過濾器列表中列出。 要確保傳送
所有 VirusScan Enterprise 事件,請在策略中禁用事件過濾功能:
a. 登錄至 ePolicy Orchestrator 控制台。
b. 在"Reporting"下,選擇"ePO 資料庫"並將其展開。
c. 選擇伺服器並登錄。
d. 選擇"事件"。
e. 在右側窗格中,選擇"不過濾事件"。
f. 單擊"套用"保存這些設定。
GroupShield
1. 除 VirusScan Enterprise 8.0 和 Alert Manager 4.7.1 之外,
如果您準備使用 GroupShield,請確保在安裝 Alert Manager 之
前安裝 GroupShield。必須按照此順序安裝,才能確保警報傳送正常。
ProtectionPilot
1. 如果您準備使用 Protection Pilot 管理 VirusScan Enterprise
8.0i,則必須使用 Protection Pilot 1.0 版 Patch 1 或更高版本。
2. 如果將 VSEREPORTS.NAP 檔案登記到 ProtectionPilot 資料庫,可
能會導致"未指定的錯誤"。
這是一個控制台逾時錯誤,可以忽略。即使控制台逾時,伺服器仍會完成 .NAP
檔案中所有的 SQL 腳本的執行。
3. 在 ProtectionPilot 上無法使用選擇性更新。此功能僅在 ePolicy
Orchestrator 3.5 或更高版本中提供。
1. Spy Sweeper。如果您使用 Spy Sweeper 掃描 VirusScan
Enterprise 安裝資料夾,則在它檢測到 BHO.DLL 時會發生檢測錯誤。
此檔案並不是 spyware;它是隨 VirusScan Enterprise 安裝的
ScriptScan 的一個組件。
2. Microsoft Windows XP Service Pack 2。如果您使用 Microsoft Windows XP
Service Pack 2 並準備通過 ePolicy Orchestrator 管理 VirusScan
Enterprise,則 Windows XP Firewall 將禁止這種操作,除非將
FRAMEWORKSERVICE.EXE 添加到 Windows XP Firewall 的排除白名單中。有
關如何進行此操作的信息,請參閱 Microsoft 知識庫中的文章 842242。
3. 以下第三方產品與 VirusScan Enterprise 8.0 的"緩衝區溢出"功能不兼
容。如果必須使用這些產品,我們建議您禁用 VirusScan Enterprise"緩
沖區溢出"功能:
- Tiny Personal Firewall
- CyberArmour Firewall
- Zone Alarm Pro
注:
VirusScan Enterprise 8.0 和 Zone Alarm Pro 安裝在同一
台計算機上時,Zone Alarm Pro 會崩潰。
- BlackIce Firewall
注:
請先安裝 VirusScan Enterprise 8.0,然後再安裝 BlackIce
Firewall,以確保它們兼容。
訪問保護
1. 與已知漏洞和弱點相關的連線埠。使用此連結可以訪問一個網站,該站點提供
最經常受利用的 TCP 連線埠的列表。
http://www.us-cert.gov/current/services_ports.html
註:
如果通過單擊無法訪問連結,請將其複製貼上至 web 瀏覽器,即可
訪問該站點。
2. 如果您禁用按訪問掃描程式,則同時會禁用連線埠阻擋規則和您配置的檔案、
共享資源以及資料夾規則。
3. 如果您在非英語或本地化環境中使用"訪問保護"功能,則默認規則可能會
包含本地化作業系統中不存在的資料夾的參考。
添加檔案類型擴展名
1. 如要您在"其他檔案類型"或"指定檔案類型"對話框中使用通配符指定文
件類型擴展名,則不能使用 (*) 作為通配符。在這些情況下指定檔案類型
擴展名時,必須使用問號 (?) 作為通配符。
AUTOUPDATE
1. 只有在更新時登錄且對該映射驅動器位置至少具有讀取許可權時,才能從映射
驅動器進行更新。如果沒有用戶登錄到該系統,或者,雖然登錄但是對映射
位置不具有最起碼的讀取許可權,則更新將失敗。
2. 編輯資料庫列表使用 UNC 路徑時,"編輯 AutoUpdate 資料庫列表"
對話框不會在接受所輸入的路徑之前驗證其事實上是否為有效的 UNC 共享
資源。 確保輸入有效的 UNC 伺服器、共享資源和路徑名稱。輸入無效的 UNC
路徑可能會導致從此位置進行更新時出現問題。
3. VirusScan Enterprise《產品指南》中的 EXTRA.DAT 信息。這些信息用於
對 VirusScan Enterprise《產品指南》中"更新"部分的信息進行更正。
"更新任務執行過程中的活動"下的"更新"部分中錯誤地敘述如下:
"默認情況下,將新病毒特徵碼添加到每周 DAT 檔案中後,將不再檢
測 EXTRA.DAT 內的新病毒。"
正確敘述如下:
"默認情況下,EXTRA.DAT 檔案過期後,將不再檢測 EXTRA.DAT 中
的新病毒。"
4. 如果手動更新 EXTRA.DAT 檔案,例如,通過將該檔案複製到引擎資料夾
中更新,則必須重新啟動 VirusScan Enterprise 電子郵件、按需和
按訪問掃描程式,然後這些掃描程式才能檢測到並使用新的 EXTRA.DAT 文
件。
- 對於電子郵件掃描,需要關閉並重新啟動 Microsoft Outlook 或
Lotus Domino。
- 對於按需掃描,需要使用 VirusScan Enterprise 控制台停止並
重新啟動按需掃描程式(如果正在運行)。
- 對於按訪問掃描,需要使用 VirusScan Enterprise 控制台禁用
並重新啟用按訪問掃描程式。
註:
使用 AutoUpdate 更新 EXTRA.DAT 檔案時,不需要手動重新啟
動掃描程式。
5. 如果在網路中使用內容掃描和過濾軟體,則可能會遇到某些更新問題。在內
容過濾軟體修改 McAfee更新軟體包時,就會出現此類問題。
緩衝區溢出保護
1. 衝擊波病毒或任何其他利用 MS04-011 感染系統的惡意軟體時,該病毒感
染可能會導致緩衝區溢出功能受到利用。"緩衝區溢出保護"功能可以檢測
和防止緩衝區溢出代碼在計算機上執行。儘管禁止了惡意代碼的執行,但是
LSASS.EXE 運行會不穩定,而且計算機會自動重新啟動。
2. 以下第三方產品與 VirusScan Enterprise 8.0 的"緩衝區溢出"功
能不兼容。如果必須使用這些產品,我們建議您禁用 VirusScan
Enterprise"緩衝區溢出"功能:
- Tiny Personal Firewall
- CyberArmour Firewall
- Zone Alarm Pro
註:
VirusScan Enterprise 8.0 和 Zone Alarm Pro 安裝在同一
台計算機上時,Zone Alarm Pro 會崩潰。
- BlackIce Firewall
註:請首先安裝 VirusScan Enterprise 8.0,然後再安裝
BlackIce Firewall 之前,以確保它們兼容。
日誌檔案格式
1. 除在 Windows NT 作業系統上安裝 Virus Enterprise 8.0 之外,
所有這些日誌檔案的默認格式均為 Unicode UTF8, Windows NT 操作
系統的默認日誌檔案格式為 ANSI。
LOTUS NOTES
1. 在 Windows 2000 Server, Windows 2003 Server, or Windows XP上訪問本
地資料庫時,系統會提示用戶輸入密碼。用戶輸入密碼時,文本搜尋對話框
會啟動,並且將密碼插入文本搜尋對話框,而不是插入密碼對話框。密碼對
話框不是完全模式的。再次選擇對話框,即可輸入密碼。
使用 Lotus Client 6 版或更高版本時,我們建議您不要從其他基於文
本編輯器中的程式提示輸入密碼。要選擇此選項,請執行以下步驟:
a. 在 Lotus Notes 中,依次選擇"File"(檔案)|
"Preferences"(首選項)|"Security"(安全)|"User
Security"(用戶安全)對話框。
b. 選擇"don’t prompt for a password from other
notes-based programs"(不要從其他基於文本編輯器的程式提
示輸入密碼)。
註:
其他版本的 Lotus Client 不提供此選項。
2. 如果您使用 Microsoft Windows XP 和 Lotus Notes,在通過"開始"選單
或其他默認電子郵件客戶端程式上的任何捷徑啟動 Lotus Notes 時,
將會收到"找不到檔案"的錯誤。
鏡像任務
1. 如果您使用 VirusScan Enterprise 8.0 鏡像任務鏡像 NAIFTP 站點,則任
務可能會出現以下兩種失敗的情況。第一,任務不 100% 鏡像 FTP 站點中的
檔案。例如,如果 NAIFTP 站點中的某檔案丟失,則該任務不會複製"當前
"資料夾以外的任何內容。第二,如果您通過配置計畫完成這一工作,它將
再次執行該任務,但不會執行指定在成功完成任務後運行的任何程式。
注:
在這種情況下,如果手動執行此計畫鏡像任務,則指定在成功完成此任
務後執行的程式仍將運行。
我們建議使用 McAfee AutoUpdate Architect 創建 NAIFTP 站點鏡像任務。
掃描
1. 傳遞掃描。Microsoft Outlook 配置為將新的電子郵件傳遞至個人資料夾,
且使用規則移動電子郵件時,傳遞掃描程式可能檢測不到感染病毒的電子郵
件。我們建議您,如果使用規則將電子郵件移動到 Microsoft Outlook 的
其他資料夾,不要配置 Microsoft Outlook 將新的電子郵件傳遞到個人文
件夾。
行按需掃描或右鍵單擊掃描,且主要操作設定為"繼續"(這是右鍵單擊掃
描的默認設定),輔助操作設定為"刪除"或"移動",則輔助操作會失敗。
有害程式策略
1. 配置用戶定義的有害程式時不支持通配符。
