学习笔记：部署趋势科技企业安全无忧版——客户端部署攻略（二）

本文重点学习两个方面的内容：

（一）、企业安全无忧版安全客户端的安装和部署方式

1、通过内部web页面的方式安装

2、通过登录脚本的方式安装

3、通过客户机打包程序MSI文件进行安装

4、通过漏洞扫描程序进行安装

5、通过远程方式进行安装

6、验证客户端的安装

（二）、该版本的理论知识介绍（包括特性、功能、部署方式等）

客户端的系统要求如图所示：

（一）、客户端的安装方式主要有以下几种：

a、通过内部WEB页面的方式进行安装。只需告知用户转至内部WEB页面下载网络安全客户端的安装文件即可（这种安装方式比较适合工作组环境）

从内部 Web 页安装：
1. 打开 Internet Explorer 窗口并键入：
https://{Trend Micro Security Server_name}:{port}/SMB/console/html/client
如果未使用 SSL，请键入 http 来代替 https。

2. 单击立即安装开始安装网络安全客户端。
注意： 对于 Windows Vista，要确保受保护模式已启用。要启用受保护模式，请在Internet Explorer 中单击工具 > Internet 选项 > 安全。
安装开始。完成安装后，窗口显示消息“客户端安装已完成”。

如下图所示，因为之前已经安装了网络安全客户端，所以在下载安装的过程中会有如图的提示：

3. 通过检查网络安全客户端图标 是否在 Windows 系统托盘中出现来验证
安装。

b、通过漏洞扫描程序安装。

用户必须将 Microsoft Internet Explorer 5.5 或更高版本的安全级别设置为允许ActiveX 控件才能成功下载网络安全客户端安装文件。

使用“漏洞扫描程序”（TMVS）可以检测已安装的防病毒解决方案、搜索网络上无保护的计算机，并在无保护计算机上安装网络安全客户端。为确定计算机是否需要保护，“漏洞扫描程序” Ping 防病毒解决方案通常使用的端口。

注意： 可以在运行 Windows 2000 或 Server 2003 的计算机上使用“漏洞扫描程序”；但是，这些计算机不能同时运行终端服务器。如果一台客户机上已装有趋势科技安全管理服务器，则不能再在该客户机上用“漏洞扫描程序”安装网络安全客户端。

使用“漏洞扫描程序”安装网络安全客户端：
1. 在装有趋势科技安全管理服务器的驱动器上，转到以下位置：企业安全无忧版 > PCCSRV > Admin > Utility > TMVS。双击 TMVS.exe。出现趋势科技漏洞扫描程序控制台。
2. 单击设置。显示设置窗口。

3. 在趋势科技安全管理服务器设置（用于“安装”和“日志报表”）下面，键入趋势科技安全管理服务器的名称或 IP 地址和端口号。
4. 选中为无保护的计算机自动安装网络安全客户端复选框。
5. 单击安装帐户。
6. 键入具有服务器（或域）的管理员权限的用户名和密码，然后单击确定。
7. 单击确定返回 TMVS 主窗口。
8. 单击开始以开始检查网络上的计算机并开始网络安全客户端安装。

 

c、通过登录脚本的方式进行安装

注意： 为强制使用登录脚本安装方法，客户机必须列在执行安装的服务器的 Windows  Active Directory 中。

 

 

注意： 当无保护的计算机向已改过其登录脚本的服务器进行登录时，autopcc.exe将自动在该计算机上安装客户端。

使用登录脚本安装，首先需要添加登录脚本，步骤如下：

使用“登录脚本安装”将 autopcc.exe 添加到登录脚本中：
1. 在安装企业安全无忧版的计算机上，打开 C:\ProgramFiles\Trend Micro\SecurityServer\PCCSRV\Admin\SetupUsr.exe。登录脚本安装实用程序载入。控制台会显示一个表示网络上所有域的树。

2. 浏览查找希望修改其登录脚本的 Windows 2000/Server 2003/Server 2008 计算机，选择后，单击选择。服务器必须为主域控制器并且您必须具有管理员权限。“登录脚本安装”会提示输入用户名和密码。

3. 键入您的用户名和密码。单击确定继续。
出现用户选择窗口。用户列表会显示登录到服务器上的计算机。选定的用户列表会显示要修改其登录脚本的用户。
? 要修改单个或多个用户的登录脚本，请从用户中将其选中，然后单击添加
? 要修改所有用户的登录脚本，请单击全部添加
? 要排除一个先前修改过其计算机的用户，请从选定的用户中选中它后，单击删除
? 要重置选择内容，请单击全部删除

4. 当所有目标用户均已在选定的用户列表中时，单击应用。出现一条消息，通知您已成功修改了服务器的登录脚本。

5. 单击确定。“登录脚本安装”实用程序将返回到其初始窗口。
? 要修改其他服务器的登录脚本，请重复步骤 2 到 4
? 要关闭“登录脚本安装”，请单击退出

添加完登录脚本之后，我们就可以使用登录脚本进行安装了，步骤如下：

使用“登录脚本安装”，可以在无保护的计算机登录到域时将网络安全客户端自动安装到这些计算机上。“登录脚本安装”会向服务器登录脚本中添加一个名为 autopcc.exe 的程序。autopcc.exe 程序执行以下功能：
? 确定无保护计算机的操作系统和网络安全客户端
? 更新扫描引擎、病毒码文件、损害清除服务组件、清除文件和程序文件

如果已经有登录脚本，“登录脚本安装”会追加一条执行 autopcc.exe 的命令；否则，将创建一个名为 ofcscan.bat 的批处理文件（该文件包含运行
autopcc.exe 的命令）。
“登录脚本安装”会在脚本末尾追加以下内容： \\{Server_name}\ofcscan
其中：
{Server_name} 是装有趋势科技安全管理服务器的计算机的计算机名称或IP 地址。
提示： 如果该环境不能通过 DNS 解析服务器名称，则将 {Server_name} 替换为{Server_IP_Address}。

Server 2003 登录脚本位于 Server 2003 服务器上（通过网络登录共享目录）的以下路径下：
\\Windows 2003 server\{system drive}\%windir%\sysvol\domain\scripts\ofcscan.bat
Server 2008 登录脚本位于 Server 2008 服务器上（通过网络登录共享目录）的以下路径下：
\\Windows 2008 server\{system drive}\%windir%\sysvol\domain\scripts\ofcscan.bat

 

 

 

 

 

客户端可以通过UNC路径访问服务器上的登录脚本的相关路径，就可以进行安装（登录脚本安装的方式适用于域环境）

在安装完成后，会在计算机的右下角出现一个蓝色的客户端图标

d、通过客户机打包程序安装

“客户机打包程序”可以将安装和更新文件压缩为一个自解压文件，以简化通过电子邮件、CD-ROM 或类似介质来提供客户端安装。
当用户收到该软件包后，只需双击该文件即可运行安装程序。使用“客户机打包程序”安装的网络安全客户端会向创建该安装软件包的服务器报告。当向低带宽的远程办公室中的客户机上部署客户端或更新文件时，该工具特别有用。

注意： “客户机打包程序”在客户机上需要至少 370MB 的可用磁盘空间。要运行MSI 安装包，客户机上必须装有 Windows Installer 2.0。

提示： 趋势科技建议使用采用计算机配置（而不是用户配置）的 Active Directory 来部署 MSI 安装软件包。这可确保无论哪位用户登录到该机器上 MSI 安装包都
可以安装。

使用“客户机打包程序”的图形用户界面创建软件包：
1. 在趋势科技安全管理服务器上，打开 Windows 资源管理器。
2. 转到 \PCCSRV\Admin\Utility\ClientPackager。
3. 双击 ClnPack.exe 运行该工具。客户机打包程序控制台打开。
注意： 只能从趋势科技安全管理服务器运行该程序。

  
4. 在目标操作系统中，选择需要为其创建安装软件包的目标操作系统。
5. 选择要创建的软件包类型：
? 安装。如果要安装客户端，则选择此项。
? 更新。如果只更新网络安全客户端组件，则选择此项。
6. 从选项下的下列安装选项中进行选择：
? 静默模式。创建的软件包将在客户机上进行后台安装（不为用户所知）。将不显示安装状态窗口。
? MSI 软件包。创建符合 Microsoft Windows 安装软件包格式的软件包。
注意： MSI 软件包仅适合 Active Directory 部署。为进行本地安装，请创建 .exe软件包。
? 禁用预扫描（仅用于全新安装）。禁用开始安装前企业安全无忧版执行的常规文件扫描。

7. 上图中，在组件下，选择安装软件包中要包含的组件：
? 程序。所有组件
? 扫描引擎。趋势科技安全管理服务器上最新的扫描引擎。
? 病毒码。趋势科技安全管理服务器上最新的病毒码文件。
? 漏洞特征码。趋势科技安全管理服务器上最新的漏洞特征码文件。
? 间谍软件组件。趋势科技安全管理服务器上最新的间谍软件组件。
? 通用防火墙驱动程序。防火墙驱动程序
? 网络病毒特征码。针对网络病毒的最新病毒码文件
? DCE/DCT。趋势科技安全管理服务器上最新的病毒清除引擎和模板
? IntelliTrap 特征码。趋势科技安全管理服务器上最新的 IntelliTrap 特征码文件。
8. 确保 ofcscan.ini 文件位于源文件旁边的正确位置。要修改路径，请单击浏览 ofcscan.ini 文件。缺省情况下，该文件位于趋势科技安全管理服务器的 \PCCSRV 文件夹中。
9. 在输出文件中，单击 指定要创建的软件包的文件名（例如，ClientSetup.exe）和位置。

10. 单击创建创建软件包。当“客户机打包程序”完成软件包的创建后，将显示“软件包创建成功”消息。为验证软件包创建是否成功，请检查您指定的输出目录
11. 通过电子邮件将安装软件包发送给您的用户，或将其复制到 CD 或类似介质中并向用户分发。
警告！只能把安装软件包发送到一些特定的网络安全客户端，即向创建该软件包的服务器报告的客户端。不要把软件包发送到向其他趋势科技安全管理服务器报告的网络安全客户端。

备注：可以使用2003的组策略分发工具进行部署，这里面不做介绍

e、通过远程的方式进行安装

可将网络安全客户端远程安装到联网的 Windows 2000/XP （仅 ProfessionalEdition）和 Server 2003 计算机上，并且可以同时安装到多台计算机。

注意： 必须对目标计算机具有管理员权限才可使用“远程安装”。
以远程安装方式安装 CSA：注意： 在 Windows Vista 上安装网络安全客户端需要执行几个附加步骤。

 

 

 

 

在 Windows Vista 客户机上启用远程安装：
1. 在客户机上，临时启用“文件和打印机共享”。
注意： 如果公司的安全策略是禁用 Windows 防火墙，则直接执行步骤 2 启动Remote Registry 服务。
a. 在“控制面板”中打开 Windows 防火墙。
b. 单击允许程序通过 Windows 防火墙。如果系统提示您输入管理员密码或确认，则键入密码或确认。此时将显示 Windows 防火墙设置。
c. 在例外选项卡的程序或端口列表下，请确保文件和打印机共享的复选框已选中。
d. 单击确定。

2. 临时启动 Remote Registry 服务。
a. 打开 Microsoft 管理控制台。
提示： 在“运行”窗口中键入 services.msc，打开 Microsoft 管理控制台。
b. 右键单击 Remote Registry，然后选择启动。
3. 在 Windows Vista 客户机上安装网络安全客户端后，如果有必要可恢复原始设置。

下面是通过远程安装客户端的举例：

1. 从 Web 控制台主菜单中，单击安全设置 > 添加。出现添加计算机窗口。

2. 从计算机类型部分选择台式机或服务器。
3. 从方法部分选择远程安装。

4. 单击下一步。显示远程安装窗口。

5. 从组与计算机框中的计算机列表中，选择一台客户机，然后单击添加 >。此时会出现提示，要求输入目标计算机的用户名和密码。
6. 键入您的用户名和密码，然后单击登录。目标计算机显示在选定计算机列表框中。

7. 重复上述过程，直到选定计算机列表框中显示出所有 Windows 计算机。
8. 单击安装将网络安全客户端安装到目标计算机上。此时会显示一个确认框。
9. 单击是确认要将客户端安装到客户机上。当网络安全客户端将程序文件复制到每台目标计算机上时，将显示进度窗口。
当企业安全无忧版完成对目标计算机的安装后，安装状态将显示在选定计算机列表的结果文本框中，而且计算机名称旁有绿色对勾标记。
注意： 远程安装不会在已运行趋势科技安全管理服务器的计算机上安装网络安全客户端。

注意：如果远程安装选择的是已经有网络客户端的计算机，则会报告下面的警告：

验证客户机的安装

1、通过漏洞扫描程序进行验证

2、使用EICAR测试脚本测试客户机安装

使用 EICAR 测试脚本测试客户端安装：
1. 确保客户端上已启用“实时扫描”。
2. 在客户机上，将以下字符串复制并粘贴到“记事本”或任何纯文本编辑器中：
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H *
3. 将该文件另存为 EICAR.com，存放到一个临时目录下。网络安全客户端应立即检测到该文件。
4. 要测试网络中的其他客户机，请将 EICAR.com 文件附加到电子邮件中并将其发送到这些客户机。