1、防毒墙服务器版ServerProtect 5.8趋势科技沈赟内容概要 市场趋势和威胁格局 趋势科技 ServerProtect SPNT 5.8 新功能概述 SPNT 5.8 的部署 SPNT 5.8 管理与设置市场趋势和威胁格局局势:动态数据中心“2019年,x86服务器部署的工作荷载中,四分之一 部署在虚拟服务器上”(Gartner)风险与物理服务器相同,还增加了新的挑战、威胁 现有解决方案性能较低,或者暴露于风险之中虚拟服务器“到到2019年,年,SaaS将占硬件架构开支的将占硬件架构开支的40%”(Gartner)外围安全不提供任何保护外围安全不提供任何保护 云安全服务提供商几乎不提供
2、安全性云安全服务提供商几乎不提供安全性云计算全球有5000万台此类服务器,每年新增出货量800万攻击避开了外围安全方案:加密攻击、无线攻击、内部攻击传统数据中心服务器您处于哪个阶段?问题:威胁环境 利润更丰厚 1000亿美元:预计全球网络犯罪的盈利金额-2019年芝加哥论坛报 更加复杂、恶劣和隐蔽,“2019年失窃的2.85亿条记录中有95%是由于娴熟的网络攻击而造成的”“75%的情况下,违规情况在数星期或数月内都未被发现。”-2009年Verizon 违规报告 更加频繁“哈佛大学以及哈佛医学院每7秒钟就会受到攻击。”-首席信息官John Halamka 更具针对性 “27%的受访者报告了针对
3、性攻击”。-2019年CSI计算机犯罪&安全调查报告趋势科技 ServerProtect趋势科技的服务器安全解决方案客户端客户端物理服务器物理服务器服务器服务器&关键系统关键系统虚拟服务器虚拟服务器趋势科技ServerProtect 趋势科技 ServerProtect通过为物理服务器和存储文件管理器提供恶意软件防护而保护企业 面向Microsoft Windows/Novell Netware ServerProtect面向Microsoft Windows和Novell Netware服务器的防病毒检测和删除服务 面向Network Appliance文件管理器的ServerProtect
4、面向Network Appliance的防病毒检测和删除服务 面向EMC Calerra的ServerProtect面向EMC Calerra服务器的防病毒检测和删除服务 面向Linux的ServerProtect为Linux服务器和桌面计算机提供病毒、木马和蠕虫实时保护和扫描ServerProtect 的优势 先进的扫描和响应功能 安装、管理和更显简单 基于任务的自动化 集中部署、管理和报告 久经验证的历史记录SPNT 5.8 新功能概述ServerProtect 5.8:新功能 支持更多的Windows Server&Netware 平台 现在涵盖Windows 2019和Netware
5、6.5 Patch 7 加强了对恶件和恶意活动的保护 改善了间谍软件的检测和修复 通过RCM改善Rootkit检测和清除 安全的内部沟通渠道防止中断 前所未有的轻松管理 现在提供压缩文件清理 采用Generic Clean技术清除Rootkit 支持从 SPNT 5.58&SPNT 5.7的迁移支持所有的Windows Server平台MCISNSCMAWindows 2000 Standard Server with SP4Windows 2000 Advance Server with SP4Windows 2019 Standard Server with SP1 or SP2(x32&
6、x64)Windows 2019 Enterprise Server with SP1 or SP2(x32&x64)Windows 2019 Storage Server with SP1(x32&x64)Windows 2019 Standard Server R2 or with SP2(x32&x64)Windows 2019 Enterprise Server R2 or with SP2(x32&x64)Windows 2019 Storage Server R2 or with SP2(x32&x64)Windows 2019 Standard Server(x32&x64)(w
7、ithout Hyper-V)Windows 2019 Enterprise Server(x32&x64)(without Hyper-V)Windows 2019 Storage Server(x32&x64)(without Hyper-V)Windows 2019 Datacenter Server(x32&x64)(without Hyper-V)Windows 2019 Web Server(x32&x64)(without Hyper-V)Windows 2019 Hyper-V(Standard/Enterprise/Storage/Datacenter)(x64)Window
8、s 2019 Server core(Standard/Enterprise/Datacenter/Web)(x32&x64)VMWare ESX 3.5VMWare ESXiVMWare Server 2Netware Novell 6.5 Patch 7 or Patch 8(Open Enterprise Server 2)防恶件行为 支持间谍软件检测和修复 间谍软件结果导致扫描和日志 使用 ActiveAction,间谍软件将会获得通过 对于定制活动,间谍软件采用与正常病毒相同的活动设置 支持压缩文件清除 清除在大型压缩文件包中发现的病毒,无需IT管理员付出额外精力禁用间谍软件检测 如
9、果关心页面池的大小和全面性能,则可以使用隐藏的按键禁用间谍软件检测 HKEY_LOCAL_MACHINESOFTWARETrendMicroServerProtectCurrentVersion Engine DisableSpywareDetection=0:禁用间谍软件检测 DisableSpywareDetection=1 或不存在:激活间谍软件检测 重新启动 spntsvc和引擎既能生效DCE行为 SPNT 5.8发现副类型为“sysclean”的病毒时,将会加载DCE执行通用清除 GCT无法由设置禁用/激活,而是由DCE触发 64位环境中GCT不起作用 GCT不支持NetWare S
10、PNT 5.8把DCE结果记录在Txt文件中GenericClean技术 GenericClean是DCE中一项非常强大的功能,使DCE能够无需清除签名即可清除恶件的指定片段 通过提供特殊参照清除功能而降低对损害清除签名的要求,特殊参照清除功能可自动决定并清除指定恶件片段所参照的组件 GenericClean功能减少了支持负担,为客户提供了一种无需清除签名的解决方案Rootkit通用模块 VSAP/DCE使用Rootkit通用模块来检测/清除Rootkit Rootkit 是种恶意程序另使用户使用Explorer、Task Manager等正常应用查看时无法发现该恶意程序加密RPC 加密IS和
11、NS之间的通信,以防止正常服务器收到未经验证的指令的攻击 SPNT 5.8 IS与 SPNT 5.58/5.7 NS之间的通信使用未加密渠道 当所有NS均被升级到 SPNT 5.8时,以前的RPC渠道将被永久关闭 首次注册时,IS和NS都将生成加密密钥 每次重启之后,IS和NS都将交换密钥NS_KEYIS加密加密IS_KEY解密解密NS_KEYNS解密解密IS_KEY加密加密从SPNT 5.58/5.7迁移 支持从SPNT 5.58&SPNT 5.7的迁移安装,包括Windows Server和NW Server SPNT 5.8将升级所有SPNT 5.58/5.7组件 SPNT 5.8支持应
12、用安装包远程升级到NS SPNT 5.8对NS升级支持无提示安装 SPNT 5.8 CMAgent安装将升级 以前的cmagentSPNT 5.8 的部署三层架构 管理控制台、信息服务器和标准服务器关于信息服务器的提示 信息服务器本身不具备防毒功能,除非在同一台计算机上也安装了标准服务器 信息服务器是管理控制台与其管理的标准服务器之间的主要通信枢纽(中间件)。它通过允许管理员从远程站点发送指令并接收信息简化了对标准服务器的控制。一台信息服务器最多可以管理250台标准服务器。此数字做参考,根据可用带宽,信息服务器可以管理更多标准服务器安装前的准备 检查是否插上网线 确保在安装前系统连接在网络中,
13、机器必须插网线 检查系统服务是否正确开启 Remote Procedure Call(RPC)Remote Registry Windows Installer 检查磁盘默认共享是否开启网络准备 两种情况可能需要开启防火墙相应通信端口 Windows 2019 或者Windows2019 操作系统开启自带防火墙 标准服务器与信息服务器或者管理控制台之间有防火墙,需要在防火墙上开启对应端口 装有管理控制台的计算机的防火墙设置 打开1000-1009 端口(TCP)信息服务器的防火墙设置 打开 5005-5014 端口(TCP)打开 3000-3009 端口(UDP)打开 137-139端口(针对
14、 RPC Over named pipe)137(UDP)/138(UDP)/139(TCP)打开 3628端口(TCP)打开1921端口(Netware 上针对 SPX/TCP)装有标准服务器的 Windows 计算机中的防火墙设置 打开 5168端口(以便侦听信息服务器的 RPC over TCP/IP)打开 137-139端口(针对 RPC Over named pipe)137(UDP)/138(UDP)/139(TCP)打开 9921端口(Netware 上针对 SPX/TCP)安装过程通过控制台部署标准服务器 在ServerProtect 网域中需要有一台已经安装完毕的标准服务器来当做来源端 安装64 位平台标准服务器,在ServerProtect 网域中需要有一台已经安装完毕的64 位标准服务器来当做来源端 在虚拟网域名称上,按鼠标右键,点选安装新的SPNT(s)通过安装程序部署标准服务器安装是否成功?查看控制台 服务列表 标准服务器任务栏图标此服务仅安装控制管理中心TMCM 代理才有SPNT 5.8 管理与设置扫描设定通知爆发阻止任务添加和设定 部署组件、立即扫描、运行统计 添加新任务任务向导更新和部署THANK YOU!THANK YOU!
