qoo929 2008-7-2 10:27
非完全过滤垃圾: Symantec Endpoint Protection试用手记
Symantec Antivirus Server 10.0一直尽心尽力地保护着公司的[url=http://networking.ctocio.com.cn/]网络[/url]病毒[url=http://security.ctocio.com.cn/]安全[/url],已经为公司默默服务了近四年,网络出奇地稳定。
2008年元旦,公司从老工业区迁入CBD。针对和宏,这是一个新的起点、新的高度。
就在这“恰当”的时期,出现了一些网络异常状况,用SNIFFER分析网络中的流量比较混乱,检查了一遍防火墙及[url=http://server.ctocio.com.cn/]服务器[/url]安全选项等都没有较好的答案。虽然在客户端发现了一些问题,手动解决后却会很快出现。
由此,我们不得不怀疑SAV10.0的杀毒能力,从10月4号到10月14号之间,忙乎了不知多少个日日夜夜。从发现问题 --> 分析问题 --> 找到手动解决办法 --> 手动处理 --> 问题重现 --> .......没法全部断开公司网络进行隔离查杀病毒,[url=http://winsystem.ctocio.com.cn/gpedit/]组策略[/url]及SMS更新也没真正生效,测试了SAV10、NOD32升级到当时最新病毒定义,对当时公司遭遇的网络蠕虫病毒无能为力,唯kaspersky和SEP11可以有效阻止。
没有一套强有力的企业级防病毒系统,公司的网络很难应付网络新型病毒。这种糟糕的状况持续了近一周。
通过向行业内朋友的求助,找到了现有的SEP两家软件公司(思贝德和伊登),虽然第一次安装有些小问题,除三分之一推进安装外,大部分是加班通宵手动安装上去的,但总算是把网络中的蠕虫病毒彻底给堵住了......查看到大量仍在发作的[url=http://whatis.ctocio.com.cn/searchwhatis/461/6025961.shtml]PC[/url],出来了一大批有安全威胁的PC报表……初步处理完善
接下来是稳定,可不理想的是SEP老把关键的文件服务器的共享服务给停止,而且每天一次,接下来2周多都如此,在服务器重启却正常如初。两周时间里,还断断续续出过一些问题,如[url=http://whatis.ctocio.com.cn/searchwhatis/199/5948199.shtml]IBM[/url]服务器陈列卡故障(IBM3年保修,全新更换),邮件服务器的硬盘故障(以往旧IBM硬盘替换),[url=http://whatis.ctocio.com.cn/searchwhatis/194/7352194.shtml]域[/url]DC的网卡故障(重设网卡引导芯片启动键值)等,这些小问题都能彻底根治。但莫名终止共享服务的问题始终得不到解决,软件公司的技术人员多次尝试找出过一些原因,内存1G太小,增加到了[url=http://whatis.ctocio.com.cn/searchwhatis/282/5949282.shtml]4G[/url];非独立[url=http://database.ctocio.com.cn/]数据库[/url]消耗资源较多暂无办法解决;默认策略也大致检查了一次,说没有什么问题;去掉网络防火墙及SEP上的客户端功能,(甚至去掉Teefer2 drivers驱动);共享服务仍然在每天照常出现。
难道Symantec全球第二大公司,主攻安全领域的软件公司经过多年做出的安全升级产品就这只能达到如此效果?是不是要全新地更换和部署一台SEP服务器(WINsvr.[url=http://whatis.ctocio.com.cn/searchwhatis/452/6025452.shtml]IIS[/url].Sql)呢?硬件、系统都是我们要仔细考虑的内容。
没办法,搬到新公司已经整整一个月了,我们与领导面临的压力越来越大,我们势必在春节前搞定所有网络的问题。后来请来了另一家公司(伊登)的朋友。他们非常务实和细致地找了找原因,现场处理了一个下午。
其实,修改的内容也不多:只是每一项事情都切实落到实处、经过亲自证实(个人非常认同他们的做事态度)。为了给其他兄弟在上SEP时提个醒,在此,特请大家注意以下三个方面(这或许是与停止共享服务的最直接根源):
1. 在服务器端暂时不要启用主动防御功能,建议等SEP补丁出来后再考虑;
2. 在防火墙策略中设置:启用共享服务,允许。以替换不启用禁止的策略;
3. 观察WINSVR授权最大数量,观察连接共享数不要超过以前设定的值。
[[i] 本帖最后由 qoo929 于 2008-7-2 10:28 编辑 [/i]]
wglin1228b1390 2008-7-2 13:58
看来新的未必就好啊...:0011: :0011:
小菠菜 2008-7-9 11:32
[quote]原帖由 [i]依依和陌生人[/i] 于 2008-7-3 14:05 发表 [url=http://bbs.ctocio.com.cn/redirect.php?goto=findpost&pid=200525&ptid=7819556][img]http://bbs.ctocio.com.cn/images/common/back.gif[/img][/url]
多点儿这种文章就好了~~ [/quote]
对企业级用户来说确实不错...
sky09351a6b305 2008-7-11 11:25
有图片就更好了!1
liuqing830502d0 2008-12-5 11:59
我们公司遇到同样的问题
yuzhou_lif4d71 2008-12-25 12:18
哈哈 看来新的未必就是最好的