📄 readme.txt
字号:
McAfee(R) VirusScan(R) Enterprise
8.0i 版 Patch 1
发行说明
Copyright (C) 2004 Networks Associates Technology, Inc.
保留所有权利
====================================================================
- DAT 版本: 4382
- 引擎版本: 4.3.20
====================================================================
感谢您使用 VirusScan Enterprise 软件。 本文件包含有关这一版本的重
要信息。我们强烈建议您阅读整篇文档。
重要信息:
McAfee 不支持软件预发布版本的自动升级功能。要升级为正式产品,必
须首先卸载现有版本的软件。
_____________________________________________________________________
本文件包含的内容
- 新功能
- 更改的功能
- 安装和系统要求
- 测试安装
- 已解决的问题
- 8.0i 版 Patch 1
- 8.0i 版
- 已知问题
- 安装、升级和卸载
- 与其他产品的兼容性
- Alert Manager(TM)
- Common Management Agent
- ePolicy Orchestrator(R)
- GroupShield(TM)
- ProtectionPilot(TM)
- 第三方软件
- 访问保护
- 增添文件类型扩展名
- AutoUpdate
- 缓冲区溢出保护
- 日志文件格式
- Lotus Notes
- 镜像任务
- 扫描
- 有害程序策略
- 文档
- 参与 McAfee 测试程序的测试
- 联系信息
- 版权和商标归属
- 许可和专利信息
__________________________________________________________________
新功能
本版本 VirusScan Enterprise 提供以下几种新功能,这些功能可以有助于
防止入侵,并更有效地检测入侵:
- 产品版本号
新版本为 8.0i。
产品版本号已经从 7.1 更改为 8.0,这一更改反映了自上次发布以来产
品内部功能的重大更改。 有关详细信息,请参阅以下"新功能"和"更改
的功能"部分。
产品版本号增加"i"表示 McAfee VirusScan Enterprise 是全球第
一款提供主动式入侵防护系统 (IPS) 保护能力的防病毒产品。这些 IPS
功能是由 McAfee Entercept 的"缓冲区溢出保护"功能提供的,
McAfee Entercept 是我们的主机入侵防护安全产品。
- 访问保护。
通过此功能您可以限制对端口、文件、共享资源和文件夹的访问,从而防止
入侵。
通过创建规则指定要阻挡的端口以及是否限制对入站或出站进程的访问,可
以阻挡端口。如果您希望允许一个特定进程或一组进程访问准备阻挡的端口,
也可以从规则中排除这些进程。 阻挡端口时,即同时阻挡 TCP 和 UDP
访问。
您可以通过将共享资源设置为只读或阻止对所有共享资源的读取和写入,限
制对共享资源的访问。
您可以通过创建规则阻挡文件和文件夹,规则指定禁止对您定义的文件或文
件夹进行访问的进程、禁止的文件操作以及在某人尝试访问阻挡的项目时应
采取的操作。
这些"访问保护"功能在防范入侵时非常有效。在病毒发作时,管理员可以
阻止对感染病毒区域的访问,直到发布新的 DAT。
注:
如果您阻挡 ePolicy Orchestrator 代理或 Entercept 代理
使用的端口,则代理的进程受到过滤器信任,可以与被阻挡的端口进
行通讯。但是,与这些代理进程无关的通讯将被阻挡。
本版 VirusScan Enterprise 提供了一些端口阻挡规则样本、文件和
文件夹阻挡规则样本。 默认安装本产品时,这些规则中有些会处于警告模
式,而有些则处于阻挡模式。
警告:
虽然采用这些规则的目的是防范各种常见的威胁,但是,也会阻挡合
法的活动。在部署 VirusScan Enterprise 之前,我们建议您查
看一下这些规则,确保它们适合于您的网络环境。
需要考虑的事项:
- 白名单。每条端口阻挡规则均包括一些排除在阻挡范围之外的应用程
序。这些列表一般包含多数最常见的电子邮件客户端和 web 浏览器。
请务必查看每个列表,确保其中包含允许发送电子邮件和下载文件
的所有程序。将这些程序列入白名单,确保这些程序不被阻挡。
- 对网络上发生的文件系统活动的阻挡。 某些规则(例如,"禁止远程
创建/修改/删除文件(.exe)")对于阻止自身从一个共享资源复制
到另一个共享资源的病毒非常有效。但是,它们也可能会阻挡那些依
靠将文件推入工作站进行工作的管理系统。例如,在 ePolicy
Orchestrator 服务器部署代理时,就是将代理安装程序推送到工
作站的管理共享资源上并运行该程序。在部署之前,请确保为每个规
则选择正确的模式(关闭、警告或阻挡)。
McAfee Installation Designer 可以用于配置 VirusScan 部
署软件包。
警告:
默认规则无法为您的网络环境提供全面的保护。 您所需的限制取决于
您的环境。我们提供的规则的目在于通过示例说明该功能的作用以及
如何利用规则防止某些特定的威胁。
发现新的威胁时,病毒信息库将向您提供建议,告诉您如何利用访问
保护规则阻挡这些新威胁。请访问以下位置的病毒信息库:
http://vil.mcafee.com
- 源 IP (按访问扫描)。
按访问扫描程序检测到写入共享文件的病毒时,它会在按访问扫描统计信息
对话框和按访问扫描信息对话框中显示检测到的病毒的源 IP 地址。
- 阻挡(按访问扫描)。
使用此功能可以阻挡在共享文件夹中放置了含有已感染病毒文件的远程计
算机的进一步访问。您可以指定阻挡这些连接的时间长短。如果您希望在指
定的时间限制之前取消阻挡所有的连接,您可以在按访问扫描统计对话框中
进行此操作。
- 缓冲区溢出保护。
"缓冲区溢出保护"可以阻止利用缓冲区溢出在计算机上执行代码。此功能
会检测到从堆栈中的数据开始运行的代码,并阻止该代码运行。但是,此功
能不阻止数据写入堆栈。即使"缓冲区溢出保护"功能会阻止受到利用的代
码运行,也不要指望受到利用的应用程序仍然会保持稳定。
VirusScan Enterprise 为大约 30 种最常用且最容易受利用的软件应用程
序及微软 Windows 服务提供缓冲区溢出保护。这些受保护的应用程序在一
个单独的缓冲区溢出保护特征码文件中定义。此 DAT 文件在常规更新期间
随病毒特征码文件一起下载。到本产品发布之日为止,缓冲区溢出保护码文
件中包括以下应用程序:
- dllhost.exe
- EventParser.exe
- excel.exe
- explorer.exe
- frameworkservice.exe
- ftp.exe
- iexplore.exe
- inetinfo.exe
- lsass.exe
- mapisp32.exe
- mplayer2.exe
- msaccess.exe
- msimn.exe
- mstask.exe
- msmsgs.exe
- NaimServ.exe
- Naprdmgr.exe
- Outlook.exe
- powerpnt.exe
- rpcss.exe
- services.exe
- sqlservr.exe
- SrvMon.exe
- svchost.exe
- visio32.exe
- VSEBOTest.exe
- w3wp.exe
- winword.exe
- wmplayer.exe
- wuauclt.exe
缓冲区溢出保护定义文件更新时,此列表也会进行相应的更改。
- 有害程序策略。
使用此功能可以检测到有害程序(例如, Jspyware、adware、dialers、
jokes 等),并对其执行相应的操作。
您可以从当前 -.DAT 文件的预定义列表中选择程序所有类别或这些类别
中的特定程序。也可以添加自己的程序进行检测。
配置分两步进行:
- 首先,在"有害程序策略"中配置要检测的程序。默认情况下,此策
略在每个扫描程序属性页中是启用的。
- 其次,逐一配置每个扫描程序(按访问扫描程序、按需扫描程序和电
子邮件扫描程序),并指定在检测到有害程序时扫描程序要执行的操
作。在此处指定的操作与其他扫描设置无关。
对有害程序的实际检测和随后的清除均由 -.DAT 文件决定,正如对病毒
的处理一样。如果检测到有害程序且主要操作设置为"清除",则 -.DAT 文
件会尝试使用 -.DAT 文件中的信息对程序进行清除操作。如果无法清除
检测到的程序,或者不在 -.DAT 文件中(例如用户定义的程序),则清
除操作会失败,并转而执行辅助操作。如果您选择"删除"操作,则仅删除
定义为有害的程序,而遭到修改的注册表键可能会保持不变。
- 脚本扫描(按访问扫描)。
使用此功能可以在执行 JavaScript 和 VBScript 脚本之前对其进行
扫描。脚本扫描程序能够象真正的 Windows 脚本主机组件的代理组件一
样运行。它可以阻止脚本(例如 Internet Explorer 网页脚本)的执
行并对其进行扫描。如果脚本不含有病毒,则将其传送给真正的主机。如果
脚本已感染病毒,则不执行脚本。
- Lotus Notes(电子邮件扫描)。
除基于 MAPI 的电子邮件(例如,Microsoft Outlook)之外,电子邮
件传递扫描程序和按需电子邮件扫描程序现在均扫描 Lotus Notes 邮件
和数据库。
您可以配置一系列属性,应用于所安装的任何电子邮件客户端。
客户端扫描程序具有不同的特点,在《产品指南》的"电子邮件扫描"部分
有此方面的介绍。例如,Microsoft Outlook 邮件在传递时扫描,而
Lotus Notes 邮件则在访问时扫描。
- 选择性更新 (AutoUpdate)。
在 VirusScan 控制台中使用 AutoUpdate 任务有选择地仅更新 DAT 文
件、扫描引擎、产品升级、HotFix、补丁程序或 Service Pack 等。
如果您通过 ePolicy Orchestrator 管理 VirusScan Enterprise,
则只有 ePolicy Orchestrator 3.5 或更高版本才提供此选择性更新
功能。早期版本的 ePolicy Orchestrator 不支持此功能。
- Alert Manager 本地警报。
无需本地安装 Alert Manager 服务器,即可生成 SNMP 陷阱和本地事
件日志条目。
- 修复安装。
通过 VirusScan 控制台"帮助"菜单中的新菜单项,您可以修复安装。
您可以选择将产品恢复为原始安装设置,或重新安装程序文件。
用户必须具有管理权限才能执行这些功能。 管理员可以对此功能进行保护,
即在"用户界面选项"的"密码选项"对话框中为其设置密码。
警告:
将产品恢复为原始安装设置时,自定义的设置会丢失。
重新安装程序文件时,将覆盖 HotFix、补丁程序和 Service Pack。
- 错误报告服务。
错误报告服务启用后,可以提供对 Network Associates 应用程序的持
续后台监控功能,并在检测到问题时提示用户。检测到错误时,用户可以选
择提交数据进行分析或忽略该错误。在 VirusScan 控制台的"工具"中
启用"错误报告服务"。
______________________________________________________________________
更改的功能
自上次发布 VirusScan Enterprise 以来,以下功能已发生更改:
- 每天更新 (AutoUpdate)。
默认 AutoUpdate 任务时间安排已经从每周更改为每天。当然,管理员
可以修改该时间安排。
- 默认下载站点 (AutoUpdate)。
执行 AutoUpdate 时,现在默认的下载站点为 HTTP 站点,FTP 站点
作为辅助站点。 有关详细说明,请参阅《VirusScan Enterprise 产
品指南》。
- 系统使用率(按需扫描)。
CPU 使用率已更改为系统使用率。 按需扫描启动后,该功能会采集最初 30
秒钟内的 CPU 和 IO 样本,然后根据您在按需扫描属性中指定的使用率
水平进行扫描。这样更为符合实际需要,我们可以根据 CPU 和 IO 的使
用率平衡利用 CPU 和磁盘资源。
- 可恢复的扫描。
经过更改后,按需扫描程序可以执行真正的可恢复扫描。如果在完成扫描之
前中断扫描,则扫描程序会从扫描中断处自动恢复扫描。扫描程序的增量扫
描功能能够识别上一次扫描的文件,因此下次扫描启动时,可以从中断处恢
复扫描。
- 压缩文件扫描。
本版本从扫描选项中删除了"扫描压缩的文件"选项,因为该功能已经在每
种扫描程序中永久性启用了。扫描程序始终会扫描压缩文件。
______________________________________________________________________
安装和系统要求
有关安装和系统要求的完整信息,请参阅产品文档。
测试安装
您可以通过在已经安装本软件的任何计算机上运行 EICAR 标准防病毒测试文件,
测试软件的运行情况。EICAR 标准防病毒测试文件是全世界防病毒产品厂商
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -