McAfee 8.0 简体中文版

McAfee(R) VirusScan(R) Enterprise 8.0i 版 发行说明 Copyright (C) 2004 Networks Associates Technology, Inc. 保留所有权利 ==================================================================== - DAT 版本： 4382 - 引擎版本： 4.3.20 ==================================================================== 感谢您使用 VirusScan Enterprise 软件。 本文件包含有关这一版本的重 要信息。我们强烈建议您阅读整篇文档。 重要信息： McAfee 不支持软件预发布版本的自动升级功能。要升级为正式产品，必 须首先卸载现有版本的软件。 _____________________________________________________________________ 本文件包含的内容 - 新功能 - 更改的功能 - 安装和系统要求 - 测试安装 - 已解决的问题 - 已知问题 - 安装、升级和卸载 - 与其他产品的兼容性 - Alert Manager (TM) - Common Management Agent - ePolicy Orchestrator(R) - GroupShield(TM) - ProtectionPilot(TM) - 第三方软件 - 访问保护 - 增添文件类型扩展名 - AutoUpdate - 缓冲区溢出保护 - 日志文件格式 - Lotus Notes - 镜像任务 - 扫描 - 有害程序策略 - 文档 - 参与 McAfee 测试程序的测试 - 联系信息 - 版权和商标归属 - 许可和专利信息 __________________________________________________________________ 新功能 本版本 VirusScan Enterprise 提供以下几种新功能，这些功能可以有助于 防止入侵，并更有效地检测入侵： - 产品版本号 新版本为 8.0i。 产品版本号已经从 7.1 更改为 8.0，这一更改反映了自上次发布以来产 品内部功能的重大更改。 有关详细信息，请参阅以下"新功能"和"更改 的功能"部分。 产品版本号增加"i"表示 McAfee VirusScan Enterprise 是全球第 一款提供主动式入侵防护系统 (IPS) 保护能力的防病毒产品。这些 IPS 功能是由 McAfee Entercept 的"缓冲区溢出保护"功能提供的， McAfee Entercept 是我们的主机入侵防护安全产品。 - 访问保护。 通过此功能您可以限制对端口、文件、共享资源和文件夹的访问，从而防止 入侵。 通过创建规则指定要阻挡的端口以及是否限制对入站或出站进程的访问，可 以阻挡端口。如果您希望允许一个特定进程或一组进程访问准备阻挡的端口, 也可以从规则中排除这些进程。 阻挡端口时，即同时阻挡 TCP 和 UDP 访问。 您可以通过将共享资源设置为只读或阻止对所有共享资源的读取和写入，限 制对共享资源的访问。 您可以通过创建规则阻挡文件和文件夹，规则指定禁止对您定义的文件或文 件夹进行访问的进程、禁止的文件操作以及在某人尝试访问阻挡的项目时应 采取的操作。 这些"访问保护"功能在防范入侵时非常有效。在病毒发作时，管理员可以 阻止对感染病毒区域的访问，直到发布新的 DAT。 注： 如果您阻挡 ePolicy Orchestrator 代理或 Entercept 代理 使用的端口，则代理的进程受到过滤器信任，可以与被阻挡的端口进 行通讯。但是，与这些代理进程无关的通讯将被阻挡。 本版 VirusScan Enterprise 提供了一些端口阻挡规则样本、文件和 文件夹阻挡规则样本。 默认安装本产品时，这些规则中有些会处于警告模 式，而有些则处于阻挡模式。 警告： 虽然采用这些规则的目的是防范各种常见的威胁，但是，也会阻挡合 法的活动。在部署 VirusScan Enterprise 之前，我们建议您查 看一下这些规则，确保它们适合于您的网络环境。 需要考虑的事项： - 白名单。每条端口阻挡规则均包括一些排除在阻挡范围之外的应用程 序。这些列表一般包含多数最常见的电子邮件客户端和 web 浏览器。 请务必查看每个列表，确保其中包含允许发送电子邮件和下载文件 的所有程序。将这些程序列入白名单，确保这些程序不被阻挡。 - 对网络上发生的文件系统活动的阻挡。 某些规则（例如，"禁止远程 创建/修改/删除文件(.exe)"）对于阻止自身从一个共享资源复制 到另一个共享资源的病毒非常有效。但是，它们也可能会阻挡那些依 靠将文件推入工作站进行工作的管理系统。例如，在 ePolicy Orchestrator 服务器部署代理时，就是将代理安装程序推送到工 作站的管理共享资源上并运行该程序。在部署之前，请确保为每个规 则选择正确的模式（关闭、警告或阻挡）。 McAfee Installation Designer 可以用于配置 VirusScan 部 署软件包。 警告： 默认规则无法为您的网络环境提供全面的保护。 您所需的限制取决于 您的环境。我们提供的规则的目在于通过示例说明该功能的作用以及 如何利用规则防止某些特定的威胁。 发现新的威胁时，病毒信息库将向您提供建议，告诉您如何利用访问 保护规则阻挡这些新威胁。请访问以下位置的病毒信息库： http://vil.mcafee.com - 源 IP （按访问扫描）。 按访问扫描程序检测到写入共享文件的病毒时，它会在按访问扫描统计信息 对话框和按访问扫描信息对话框中显示检测到的病毒的源 IP 地址。 - 阻挡（按访问扫描）。 使用此功能可以阻挡在共享文件夹中放置了含有已感染病毒文件的远程计 算机的进一步访问。您可以指定阻挡这些连接的时间长短。如果您希望在指 定的时间限制之前取消阻挡所有的连接，您可以在按访问扫描统计对话框中 进行此操作。 - 缓冲区溢出保护。 "缓冲区溢出保护"可以阻止利用缓冲区溢出在计算机上执行代码。此功能 会检测到从堆栈中的数据开始运行的代码，并阻止该代码运行。但是，此功 能不阻止数据写入堆栈。即使"缓冲区溢出保护"功能会阻止受到利用的代 码运行，也不要指望受到利用的应用程序仍然会保持稳定。 VirusScan Enterprise 为大约 30 种最常用且最容易受利用的软件应用程 序及微软 Windows 服务提供缓冲区溢出保护。这些受保护的应用程序在一 个单独的缓冲区溢出保护特征码文件中定义。此 DAT 文件在常规更新期间 随病毒特征码文件一起下载。到本产品发布之日为止，缓冲区溢出保护码文 件中包括以下应用程序： - dllhost.exe - EventParser.exe - excel.exe - explorer.exe - frameworkservice.exe - ftp.exe - iexplore.exe - inetinfo.exe - lsass.exe - mapisp32.exe - mplayer2.exe - msaccess.exe - msimn.exe - mstask.exe - msmsgs.exe - NaimServ.exe - Naprdmgr.exe - Outlook.exe - powerpnt.exe - rpcss.exe - services.exe - sqlservr.exe - SrvMon.exe - svchost.exe - visio32.exe - VSEBOTest.exe - w3wp.exe - winword.exe - wmplayer.exe - wuauclt.exe 缓冲区溢出保护定义文件更新时，此列表也会进行相应的更改。 - 有害程序策略。 使用此功能可以检测到有害程序（例如， Jspyware、adware、dialers、 jokes 等），并对其执行相应的操作。 您可以从当前 -.DAT 文件的预定义列表中选择程序所有类别或这些类别 中的特定程序。也可以添加自己的程序进行检测。 配置分两步进行： - 首先，在"有害程序策略"中配置要检测的程序。默认情况下，此策 略在每个扫描程序属性页中是启用的。 - 其次，逐一配置每个扫描程序（按访问扫描程序、按需扫描程序和电 子邮件扫描程序），并指定在检测到有害程序时扫描程序要执行的操 作。在此处指定的操作与其他扫描设置无关。 对有害程序的实际检测和随后的清除均由 -.DAT 文件决定，正如对病毒 的处理一样。如果检测到有害程序且主要操作设置为"清除"，则 -.DAT 文 件会尝试使用 -.DAT 文件中的信息对程序进行清除操作。如果无法清除 检测到的程序，或者不在 -.DAT 文件中（例如用户定义的程序），则清 除操作会失败，并转而执行辅助操作。如果您选择"删除"操作，则仅删除 定义为有害的程序，而遭到修改的注册表键可能会保持不变。 - 脚本扫描（按访问扫描）。 使用此功能可以在执行 JavaScript 和 VBScript 脚本之前对其进行 扫描。脚本扫描程序能够象真正的 Windows 脚本主机组件的代理组件一 样运行。它可以阻止脚本（例如 Internet Explorer 网页脚本）的执 行并对其进行扫描。如果脚本不含有病毒，则将其传送给真正的主机。如果 脚本已感染病毒，则不执行脚本。 - Lotus Notes（电子邮件扫描）。 除基于 MAPI 的电子邮件（例如，Microsoft Outlook）之外，电子邮 件传递扫描程序和按需电子邮件扫描程序现在均扫描 Lotus Notes 邮件 和数据库。 您可以配置一系列属性，应用于所安装的任何电子邮件客户端。 客户端扫描程序具有不同的特点，在《产品指南》的"电子邮件扫描"部分 有此方面的介绍。例如，Microsoft Outlook 邮件在传递时扫描，而 Lotus Notes 邮件则在访问时扫描。 - 选择性更新 (AutoUpdate)。 在 VirusScan 控制台中使用 AutoUpdate 任务有选择地仅更新 DAT 文 件、扫描引擎、产品升级、HotFix、补丁程序或 Service Pack 等。 如果您通过 ePolicy Orchestrator 管理 VirusScan Enterprise， 则只有 ePolicy Orchestrator 3.5 或更高版本才提供此选择性更新 功能。早期版本的 ePolicy Orchestrator 不支持此功能。 - Alert Manager 本地警报。 无需本地安装 Alert Manager 服务器，即可生成 SNMP 陷阱和本地事 件日志条目。 - 修复安装。 通过 VirusScan 控制台"帮助"菜单中的新菜单项，您可以修复安装。 您可以选择将产品恢复为原始安装设置，或重新安装程序文件。 用户必须具有管理权限才能执行这些功能。 管理员可以对此功能进行保护， 即在"用户界面选项"的"密码选项"对话框中为其设置密码。 警告： 将产品恢复为原始安装设置时，自定义的设置会丢失。 重新安装程序文件时，将覆盖 HotFix、补丁程序和 Service Pack。 - 错误报告服务。 错误报告服务启用后，可以提供对 Network Associates 应用程序的持 续后台监控功能，并在检测到问题时提示用户。检测到错误时，用户可以选 择提交数据进行分析或忽略该错误。在 VirusScan 控制台的"工具"中 启用"错误报告服务"。 ______________________________________________________________________ 更改的功能 自上次发布 VirusScan Enterprise 以来，以下功能已发生更改： - 每天更新 (AutoUpdate)。 默认 AutoUpdate 任务时间安排已经从每周更改为每天。当然，管理员 可以修改该时间安排。 - 默认下载站点 (AutoUpdate)。 执行 AutoUpdate 时，现在默认的下载站点为 HTTP 站点，FTP 站点 作为辅助站点。 有关详细说明，请参阅《VirusScan Enterprise 产 品指南》。 - 系统使用率（按需扫描）。 CPU 使用率已更改为系统使用率。 按需扫描启动后，该功能会采集最初 30 秒钟内的 CPU 和 IO 样本，然后根据您在按需扫描属性中指定的使用率 水平进行扫描。这样更为符合实际需要，我们可以根据 CPU 和 IO 的使 用率平衡利用 CPU 和磁盘资源。 - 可恢复的扫描。 经过更改后，按需扫描程序可以执行真正的可恢复扫描。如果在完成扫描之 前中断扫描，则扫描程序会从扫描中断处自动恢复扫描。扫描程序的增量扫 描功能能够识别上一次扫描的文件，因此下次扫描启动时，可以从中断处恢 复扫描。 - 压缩文件扫描。 本版本从扫描选项中删除了"扫描压缩的文件"选项，因为该功能已经在每 种扫描程序中永久性启用了。扫描程序始终会扫描压缩文件。 ______________________________________________________________________ 安装和系统要求 有关安装和系统要求的完整信息，请参阅产品文档。 测试安装 您可以通过在已经安装本软件的任何计算机上运行 EICAR 标准防病毒测试文件， 测试软件的运行情况。EICAR 标准防病毒测试文件是全世界防病毒产品厂商 共同努力的成果，它使客户可以按照一个统一标准验证其安装的防病毒产品。 要测试安装，请： 1. 将下面一行文字复制到一个独立文件中，然后以 EICAR.COM 名称保存该 文件。 X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 该文件的大小为 68 或 70 字节。 2. 启动防病毒软件，让它扫描 EICAR.COM 所在的目录。 VirusScan Enterprise 扫描此文件时，它会报告发现 EICAR 测试文 件。 3. 测试完安装的软件后，请删除该文件，以避免对正常用户发出警告。 重要信息： 请注意，此文件并非病毒。 _____________________________________________________________________ 已解决的问题 下面介绍本软件产品以前版本中存在但当前版本中已解决的问题。 1. 问题： VirusScan Enterprise 7.1 按访问扫描程序会对其他 McAfee防病 毒或安全产品的隔离文件夹中包含的数据执行操作，除非从扫描任务中排 除那些文件夹。例如，如果您在已经安装 VirusScan Enterprise 的 同一台计算机上使用 McAfee GroupShield 或 IntruShield，则它 们各自的隔离文件夹可能会包含合法的感染病毒的数据。这些隔离文件夹 应该从按访问扫描任务中排除，以避免清除、删除或移动合法的感染病毒的 数据。 解决方案： 安装程序会检测到其他产品并为其添加排除项。 2. 问题： 对于使用 ePolicy Orchestrator 3.0 创建和部署的按需扫描任务， 可恢复扫描不起作用。 如果在 ePolicy Orchestrator 中创建的按需 扫描在扫描完成之前即结束（由于系统关闭等），就会出现这种问题。按需 扫描任务再次启动时，它会再次从开始位置扫描，而不是从最后扫描的文件 恢复扫描。 解决方案： 对于使用 ePolicy Orchestrator 3.0 创建和部署的按需扫描任务， 可恢复扫描工作正常。 3. 问题： 具有用户权限（相对于具有管理员权限的管理员）的用户回滚 DAT 文件时， 出现下列错误： "无法保存刚刚回滚的 DAT 版本" 这意味着 VirusScan Enterprise 无法创建正确的注册表键，以识别 回滚操作。因此，执行更新可能会重新应用回滚的 DAT。在回滚的 DAT 版 本已损坏（这通常是执行 DAT 回滚的原因）的情况下，这会产生问题。 正常情况下，VirusScan Enterprise 不更新经过回滚的 DAT 版本。 注： 只有在除管理员之外的其他人员执行 DAT 回滚时才出现此问题。在 管理员执行回滚时，不能通过更新应用回滚的 DAT 版本。 解决方案： 无法重新应用回滚的 DAT。 4. 问题： 通过 ePolicy Orchestrator 部署 VirusScan Enterprise 时， 或采用静默安装时，VShield 图标不出现在系统任务栏中。 解决方案： 现在，通过 ePolicy Orchestrator 部署 VirusScan Enterprise 时，或静默安装时，VShield 图标会显示在系统任务栏中。 5. 问题： 将 VirusScan Enterprise 安装至采用 Intel 64 位处理器的系统 时，不能使用 REGSVR32.EXE 正确注册 VSUPDATE.DLL 文件。结果， 在安装完成后执行更新操作时，会出现错误，并会显示以下错误信息： "加载 COM 组件时出错。" 要正确注册.DLL，请在命令提示符下输入以下命令： "<驱动器>:\Winnt\syswow64\regsvr32.exe vsupdate.dll" 注： 如果您将 VirusScan Enterprise 安装到默认位置，则安装路径 为： <驱动器>:\Program Files\Network Associates\VirusScan\ 解决方案： 此问题在 VirusScan Enterprise 8.0 中已经得到解决。 ______________________________________________________________________ 已知问题 安装、升级和卸载 1. 在安装结束时，需要重新启动系统（具有可选性），才能加载 TDI 网络驱 动程序。在重新启动计算机之前，"端口阻挡"、"病毒感染跟踪"和"病 毒感染跟踪阻挡"功能均处于禁用状态。 2. Internet Explorer 要求。《VirusScan Enterprise 8.0 安装指 南》中将 Internet Explorer 要求错误列为 5.0 版或更高版本。 Internet Explorer 要求是 Internet Explorer 4.0 版 Service Pack 2 或更高版本。 3. 如果您准备在采用 Windows NT4 操作系统的计算机上安装 VirusScan Enterprise 8.0，并使用 AutoUpdate 功能，则必须首先在该计算机 上安装 Internet Explorer 4.0 Service Pack 2 或更高版本。 如果在您开始在采用 Windows NT4 操作系统的计算机上安装 VirusScan Enterprise 8.0 之前没有安装 Internet Explorer 4.0 Service Pack 2 或更高版本，系统会生成一个错误编号 1920"服务器启动失败" 的错误，要求您选择"放弃"、"重试"或"继续"安装。如果"继续" 安装，则不会安装 AutoUpdate 组件。如果您决定以后安装 AutoUpdate 功能，则必须首先安装 Internet Explorer 4.0 Service Pack 2 或 更高版本，然后，完全删除 VirusScan Enterprise 8.0 并重新安装。 4. 如果您使用未压缩的安装程序"SETUPVSE.EXE"在 Windows NT4 终端服务 器上安装 VirusScan Enterprise，则必须在执行"SETUPVSE.EXE"之前， 先将终端服务器切换到"安装模式"。有关详细信息，请参阅知识库中的文 章 KB37558。 5. 要使用 MSIEXEC.EXE 安装 VirusScan Enterprise 产品，请完成以 下步骤： a. 在命令提示符下输入以下命令，解压缩 .MSI 和其他文件： SETUP.EXE -nos_ne [-nos_o"

"] 注： -nos_ne 命令会从 SETUP.EXE 解压缩安装文件，但是不会 执行 SETUP.EXE 或删除安装文件。 -nos_o"

" 命令会指定用于解压缩安装文件的 目标文件夹。 如果不指定输出路径，这些文件会解压缩到用户配置文件的" Temp"文件夹内。 b. 请确保删除任何其他厂商的产品,包括 McAfee VirusScan 和 VirusScan Enterprise 早期版本。 c. 在命令提示符下输入以下命令，运行 MSIEXEC.EXE： "msiexec.exe /i vse800.msi" 6． 安装"缓冲区溢出保护"功能时，会有以下限制： - 如果在已经安装 McAfee Entercept 代理的计算机上安装 "缓冲区溢出保护"，则会在 VirusScan 控制台中禁用"缓 冲区溢出保护"功能。 McAfee Entercept 产品覆盖范围更大，因此 McAfee Entercept 产品优先于 VirusScan Enterprise 中的"缓冲区溢出保护"功 能。 - 在 64 位平台上无法安装"缓冲区溢出保护"。 - 缓冲区溢出保护与 Windows XP 快速用户切换配合使用时，仅 保护会话。 - 缓冲区溢出保护并不保护 Windows 终端服务器或 Citrix MetaFrame 的终端会话。 它仅保护本地登录。 7. 在 64 位平台上无法安装 ScriptScan。 8. 在 64 位平台上无法安装右键单击扫描功能。 9. 本版本支持使用管理安装点 (AIP) 进行部署。但是，必须从 AIP 中 运行 SETUP.EXE，才能执行升级或卸载其他防病毒软件。 要创建 AIP，请在命令提示符下输入"setup.exe /a"。此时会出现一 个向导，指导您创建 AIP。创建 AIP 后，压缩 (.ZIP) 文件中的所有 必要文件均同时复制到 AIP。这些文件包括： - CMU300.NAP - CONTACT.TXT - EXAMPLE.SMS - EXTRA.DAT - INSTALL.PKG - INSTMSIW.EXE - PKGCATALOG.Z - PACKING.LST - README.TXT - SETUP.INI - SETUPVSE.EXE - SIGNLIC.TXT - UNINST.DLL - UNINST.INI - VSE800.NAP - VSE800DET.MCS 由于这些文件会自动复制到 AIP，因此，管理员不需要手动复制这些文件。 注： 如果通过 Active Directory 组策略部署 VirusScan Enterprise（这样会使用 MSIEXEC.EXE 进行安装），则必须首 先删除现有的所有防病毒产品，才能安装 VirusScan Enterprise。 10. 静默完全安装 Computer Associates eTrust Antivirus 程序时， 该操作不完全静默进行。Computer Associates eTrust Antivirus 会显示一个包含"确定"按钮消息框，提示需要重新启动。单击"确定" 后，完全安装会继续正常进行。此问题是 Computer Associates 的 一个已知问题，您可以访问 Computer Associates 的网站，编号为 QO19636 的文章即介绍相关的内容。Computer Associates 网站提 供修补此问题的可下载文件。虽然此问题针对 Computer Associates eTrust Antivirus 6.0 版，但是，该补丁程序对 7.0 版也适用。 与其他产品的兼容性 Alert Manager 1. VirusScan Enterprise 8.0 只能向 Alert Manager 4.7.x 发送 警报。无法向早期版本的 Alert Manager 发送警报。 此外，在已经安装 Alert Manager4.7.x 以前版本的计算机上，无法安 装 VirusScan Enterprise 8.0。如果您在已经安装 Alert Manager 4.5 或 4.6 的系统中安装 VirusScan Enterprise 8.0，应该同时 安装 Alert Manager 4.7.x，该版本会自动替换早期版本。 但是，请注意，Alert Manager 4.7.x 可以接收早期版本的 NetShield 和 VirusScan 发送的警报。您可以配置这些软件程序的早 期版本将警报发送到 Alert Manager 4.7.x。 2. 在 Windows 2003 (.NET) Server 上安装 Alert Manager 时，警 报消息不会自动在 VirusScan Enterprise 8.0 中显示。 您必须手 动启动信息服务： a. 从"开始"菜单中，依次选择 "设置"|"控制面板"|"管理工具"|"服务"|"Messenger" b. 打开"Messenger 的属性"对话框。 c. 在常规选项卡的"启动类型"下，选择"自动"。 d. 在"常规"选项卡的"服务状态"下，单击"启动"。 e. 单击"确定"应用这些更改，并关闭"Messenger 的属性"对话框。 Common Management Agent 1. 在 ePolicy Orchestrator 3.0.x 中安装 VirusScan Enterprise 8.0 不会将 Common Management Agent 自动从早期版本自动升级到 3.5 版。如果您使用 ePolicy Orchestrator 3.0.x 和 VirusScan Enterprise 7.x，则在将 VirusScan Enterprise 8.0 安装软件包 添加至 ePolicy Orchestrator 资料库时，Common Management Agent 不会升级至 3.5 版。 要将 Common Management Agent 从早期版本升级到 3.5 版，必须安 装 Common Management Agent 3.5 版，然后，将其推送到客户端或 执行更新任务。 注： 使用 ePolicy Orchestrator 管理 VirusScan Enterprise 8.0 时，不需要安装 Common Management Agent 3.5。Common Management Agent 3.5 版与其早期版本仅有的不同之处在于： - Common Management Agent 3.5 版能够进行选择性更新，而 早期版本只能进行整体更新。选择性更新允许您单独更-.DAT、 扫描引擎和补丁程序等。 - Common Management Agent 3.5 版不过滤客户端的事件。 2. 如果已经安装 Common Management Agent 3.5 版，则安装 ePolicy Orchestrator 3.0.x 会失败。 如果您尝试在已经安装 VirusScan 8.0 的同一台计算机上安装 ePolicy Orchestrator 3.0.x，则 ePolicy Orchestrator 安装会因为 Common Management Agent 的 升级问题而失败。因为 VirusScan Enterprise 8.0 安装 Common Management Agent 3.5 版，而 ePolicy Orchestrator 3.0.x 安 装早期版本的 Common Management Agent，所以代理程序无法升级， 安装自然会失败。 要解决此问题，请执行以下步骤： a. 删除 VirusScan Enterprise 8.0。 a. 安装 ePolicy Orchestrator 3.0.x。 b. 重新安装 VirusScan Enterprise 8.0。 c. 要在 ePolicy Orchestrator 3.0.x 中将 Common Management Agent 从早期版本升级到 3.5 版，必须在 ePolicy Orchestrator 3.0.x 中安装 Common Management Agent 3.5 版,然后将其推送到客户端或执行更新任务。 ePolicy Orchestrator 1. 如果您准备使用 ePolicy Orchestrator 管理 VirusScan Enterprise 8.0，则必须使用 ePolicy Orchestrator 3.0 版 Service Pack 1 或更高版本。 2. 选择性更新。要使用新的选择性更新功能，必须使用 ePolicy Orchestrator 3.5 或更高版本管理 VirusScan Enterprise.早期 版本的 ePolicy Orchestrator 会执行更新，但是不支持仅更新 .DAT 文件、扫描引擎等的选择性更新。 3. 本版 VirusScan Enterprise 8.0 提供两个 .NAP 文件，必须将这 两个.NAP 文件添加到 ePolicy Orchestrator 资料库内。另外，如 果您运行 ePolicy Orchestrator 3.0.x，在添加两个 .NAP 文件后， 必须运行更新可执行文件，以解决与事件解析程序注册有关的问题。 注： 如果您运行 ePolicy Orchestrator 3.5 版或更高版本，则不需 要运行更新可执行文件。 这些文件随 VirusScan Enterprise 8.0 安装软件包附带，您可以从 下载这些文件的位置找到这些文件： - VSE800.NAP - VSE800REPORTS.NAP.此文件是一个扩展报告.NAP 文件。 - VSE800UPDATEFOREPO30.EXE. 此文件是一个更新可执行文件。 a. 将两个 .NAP 文件添加至 ePolicy Orchestrator 资料库。 注： 我们建议您在安装 VSE800.NAP 之前，先安装 VSE800REPORTS.NAP 文件。按照此顺序安装 .NAP 文件可 以防止在托管产品下显示的 VirusScan Enterprise 英文说 明出现问题。有关详细信息，请参阅本部分的已知问题 8。 b. 如果您使用 ePolicy Orchestrator 3.0.x，则可以在已经安装 ePolicy Orchestrator 3.x 的计算机上执行 VSE800UPDATEFOREPO30.EXE。 此可执行文件用于在 ePolicy Orchestrator 3.0.x 服务器上 注册事件解析程序 .DLL。此更新解决了 ePolicy Orchestrator 的一个问题，这一问题会导致在添加扩展报告 .NAP 时事件解析程序 错误注册。 注： 有关详细信息，请参阅《与 ePolicy Orchestrator 配合使用的 VirusScan Enterprise 8.0 配置指南》。 4. 如果将 VSEREPORTS.NAP 文件登记到 ePolicy Orchestrator 3.01 版或 3.02 版资料库，可能会导致"未指定的错误"。 这是一个控制台超时错误，可以忽略。即使控制台超时，服务器仍会完成 .NAP 文件中所有的 SQL 脚本的执行。 5. 如果您将 Microsoft SQL Server 7.0 版与 ePolicy Orchestrator 3.01 或更高版本配合使用，则在将 VSE800.NAP 文件登记到 ePolicy Orchestrator 资料库中，按需扫描任务不会保留。 必须安装 Microsoft SQL Server 2000 版或更高版本，才能保留按需扫描任务。 6. 从 ePolicy Orchestrator 服务器通过 UNC 将资料库复制到某服务 器，且该服务器已经在"访问保护属性"中启用这些文件阻挡规则时，复制 的资料库可能会损坏： - "禁止远程修改文件 (.exe)" - "禁止远程修改文件 (.dll)" - "禁止远程创建/修改/删除系统根目录中的任何内容" - "禁止远程创建/修改/删除文件 (.exe)" 这些规则启用时，某些文件复制会被阻止，因为 ePolicy Orchestrator 服务器远程打开文件，并采用与共享传播式蠕虫同样的方 式进行写入访问和修改其内容。 如果您准备从 ePolicy Orchestrator 服务器通过 UNC 复制资料库， 请确保在目标服务器上禁用这些文件阻挡规则，然后再执行复制任务。 7. 从资料库中删除项目时，ePolicy Orchestrator 符合性基线不会重新 评估符合性。 例如，在将 VirusScan Enterprise 8.0 登记到 ePolicy Orchestrator 资料库时，它会标记为该环境的新符合性基线。所有已经 安装 VirusScan Enterprise 8.0 以前版本的计算机均标记为不符合。 不过，如果您从资料库中删除 VirusScan Enterprise 8.0，而不是重 新评估符合性，则符合性基线会保持在 8.0 版。即使将 VirusScan Enterprise 7.1 重新登记到资料库，符合性基线只会增量提高。 8. 取决于安装两个 VirusScan Enterprise 8.0 .NAP 文件的顺序， 在 ePolicy Orchestrator"Repository "（资料库）中"Managed Products"（托管产品）|"Windows"|"VirusScan Enterprise"|"8.0.0" 下的 VirusScan Enterprise 8.0 的英文说明可能不可 用。 如果在安装 VSE800REPORTS.NAP 之前已经将 VSE800.NAP 安装 到资料库，则英文说明不可用。 如果在安装 VSE800.NAP 之前已经安装 VSE800REPORTS.NAP， 则英文说明可用。 9. 在 ePolicy Orchestrator"Event Filtering"（事件过滤）策略 中禁用事件过滤。VirusScan Enterprise 会生成许多事件 ID，这些 ID 不会在 ePolicy Orchestrator 过滤器列表中列出。 要确保发送 所有 VirusScan Enterprise 事件，请在策略中禁用事件过滤功能： a. 登录至 ePolicy Orchestrator 控制台。 b. 在"Reporting"下，选择"ePO 数据库"并将其展开。 c. 选择服务器并登录。 d. 选择"事件"。 e. 在右侧窗格中，选择"不过滤事件"。 f. 单击"应用"保存这些设置。 GroupShield 1. 除 VirusScan Enterprise 8.0 和 Alert Manager 4.7.1 之外， 如果您准备使用 GroupShield，请确保在安装 Alert Manager 之 前安装 GroupShield。必须按照此顺序安装，才能确保警报发送正常。 ProtectionPilot 1. 如果您准备使用 Protection Pilot 管理 VirusScan Enterprise 8.0i，则必须使用 Protection Pilot 1.0 版 Patch 1 或更高版本。 2. 如果将 VSEREPORTS.NAP 文件登记到 ProtectionPilot 资料库，可 能会导致"未指定的错误"。 这是一个控制台超时错误，可以忽略。即使控制台超时，服务器仍会完成 .NAP 文件中所有的 SQL 脚本的执行。 3. 在 ProtectionPilot 上无法使用选择性更新。此功能仅在 ePolicy Orchestrator 3.5 或更高版本中提供。 第三方软件 1. Spy Sweeper。如果您使用 Spy Sweeper 扫描 VirusScan Enterprise 安装文件夹，则在它检测到 BHO.DLL 时会发生检测错误。 此文件并不是 spyware；它是随 VirusScan Enterprise 安装的 ScriptScan 的一个组件。 2. Microsoft Windows XP Service Pack 2。如果您使用 Microsoft Windows XP Service Pack 2 并准备通过 ePolicy Orchestrator 管理 VirusScan Enterprise，则 Windows XP Firewall 将禁止这种操作，除非将 FRAMEWORKSERVICE.EXE 添加到 Windows XP Firewall 的排除白名单中。有 关如何进行此操作的信息，请参阅 Microsoft 知识库中的文章 842242。 3. 以下第三方产品与 VirusScan Enterprise 8.0 的"缓冲区溢出"功能不兼 容。如果必须使用这些产品，我们建议您禁用 VirusScan Enterprise"缓 冲区溢出"功能： - Tiny Personal Firewall - CyberArmour Firewall - Zone Alarm Pro 注: VirusScan Enterprise 8.0 和 Zone Alarm Pro 安装在同一 台计算机上时，Zone Alarm Pro 会崩溃。 - BlackIce Firewall 注: 请先安装 VirusScan Enterprise 8.0，然后再安装 BlackIce Firewall，以确保它们兼容。 访问保护 1. 与已知漏洞和弱点相关的端口。使用此链接可以访问一个网站，该站点提供 最经常受利用的 TCP 端口的列表。 http://www.us-cert.gov/current/services_ports.html 注： 如果通过单击无法访问链接，请将其复制粘贴至 web 浏览器，即可 访问该站点。 2. 如果您禁用按访问扫描程序，则同时会禁用端口阻挡规则和您配置的文件、 共享资源以及文件夹规则。 3. 如果您在非英语或本地化环境中使用"访问保护"功能，则默认规则可能会 包含本地化操作系统中不存在的文件夹的参考。 添加文件类型扩展名 1. 如要您在"其他文件类型"或"指定文件类型"对话框中使用通配符指定文 件类型扩展名，则不能使用 (*) 作为通配符。在这些情况下指定文件类型 扩展名时，必须使用问号 (?) 作为通配符。 AUTOUPDATE 1. 只有在更新时登录且对该映射驱动器位置至少具有读取权限时，才能从映射 驱动器进行更新。如果没有用户登录到该系统，或者，虽然登录但是对映射 位置不具有最起码的读取权限，则更新将失败。 2. 编辑资料库列表使用 UNC 路径时，"编辑 AutoUpdate 资料库列表" 对话框不会在接受所输入的路径之前验证其事实上是否为有效的 UNC 共享 资源。 确保输入有效的 UNC 服务器、共享资源和路径名称。输入无效的 UNC 路径可能会导致从此位置进行更新时出现问题。 3. VirusScan Enterprise《产品指南》中的 EXTRA.DAT 信息。这些信息用于 对 VirusScan Enterprise《产品指南》中"更新"部分的信息进行更正。 "更新任务执行过程中的活动"下的"更新"部分中错误地叙述如下： "默认情况下，将新病毒特征