SEP 12.1 常见问题解答法律声明

SEP 12.1 常见问题解答法律声明
Copyright © 2011 Symantec Corporation. © 2011 年 Symantec Corporation 版权所有。All
rights reserved. 保留所有权利。
Symantec 和 Symantec 徽标是 Symantec Corporation 或其附属公司在美国和其他国家/地区
的商标或注册商标。“Symantec”和“赛门铁克”是 Symantec Corporation 在中国的注册
商标。其他名称可能为其各自所有者的商标，特此声明。
本文档中介绍的产品根据限制其使用、复制、分发和反编译/逆向工程的授权许可协议进行分
发。未经 Symantec Corporation（赛门铁克公司）及其特许人（如果存在）事先书面授权，
不得通过任何方式、以任何形式复制本文档的任何部分。
本文档按“现状”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对
特定用途的适用性或无侵害知识产权的暗示保证，均不提供任何担保，除非此类免责声明的
范围在法律上视为无效。Symantec Corporation（赛门铁克公司）不对任何与提供、执行或
使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。
根据 FAR 12.212 中的定义，授权许可的软件和文档被视为“商业计算机软件”，受 FAR
Section 52.227-19“Commercial Computer Software - Restricted Rights”（商业计算机软
件受限权利）和 DFARS 227.7202“Rights in Commercial Computer Software or Commercial
Computer Software Documentation”（商业计算机软件或商业计算机软件文档权利）中的
适用规定，以及所有后续法规中规定的权利的制约。美国政府仅可根据本协议的条款对授权
许可的软件和文档进行使用、修改、发布复制、执行、显示或披露。SEP 12.1 常见问题及解答
本文档包含以下主题：
■ 第一部分 : 安装和升级常见问题
■ 第二部分：防护技术常见问题
■ 第三部分：管理和使用常见问题
■ 第四部分：虚拟化常见问题
第一部分 : 安装和升级常见问题
1. 支持的管理服务器升级路径
支持下列 Symantec Endpoint Protection Manager 升级路径：
■ 从 11.x 至 12.1（完整版本）
■ 从 12.0 Small Business Edition 至 12.1（完整版本）
■ 从 12.1 Small Business Edition 至 12.1（完整版本）
■ 从 12.0 Small Business Edition 至 12.1 Small Business Edition
注意：可以在安装 Symantec Endpoint Protection Manager 12.1 版时导入 Symantec
AntiVirus 9.x 和 10.x 服务器信息。
不支持下列降级路径：
■ 12.1（完整版本）至 12.1 Small Business Edition
■ 11.x 至 12.1 Small Business Edition
2. 支持的客户端升级路径
下列 Symantec Endpoint Protection 客户端版本可以直接升级至 12.1 版：
■ 11.0.780.1109■ 11.0.1000.1375 - MR1
■ 11.0.2000.1567 - MR2，带有维护补丁程序
■ 11.0.3001.2224 - MR3
■ 11.0.4000.2295 - MR4，带有维护补丁程序
■ 11.0.5002.333 - RU5
■ 11.0.6000.550 - RU6，带有维护补丁程序
■ 12.0.122.192 Small Business Edition
■ 12.0.1001.95 Small Business Edition RU1
支持从 Symantec Sygate Enterprise Protection 5.x 及 Symantec AntiVirus 9.x 和
10.x 升级至 12.1（完整版本）。
支持下列客户端版本升级至 12.1 Small Business Edition 版：
■ 12.0.122.192 Small Business Edition
■ 12.0.1001.95 Small Business Edition RU1
SEP11.0 RU7 版本客户端没有办法直接升级到 SEP12.1 客户端。
3. Symantec Endpoint Protection 12.1 的管理服务器是否可以管理 11.x 的 客户端，或者 SAV10.x 和 Syagte5.x 的客户端？是否可以管理 SEP12.1 中小 企业版客户端？
答：Symantec Endpoint Protection 12.1 的管理服务器可以管理 11.x 的客户端。
但是不能管理 SAV10.x 和 Syagte5.x 的客户端，也不能管理 SEP12.1 中小企业版客
户端。
4. 如何使客户端在安装以后不进行默认的 LiveUpdate?
答：需要使用 Windows Msi 参数 RUNLIVEUPDATE=0。
例如：msiexec /I "SEP.msi" INSTALLDIR=C:\SFN REBOOT=ReallySuppress /qn
/l*v c:\temp\msi.log RUNLIVEUPDATE=0
5. Symantec Endpoint Protection12.1 的管理服务器使用 Apache 来替代 IIS,
是否意味着管理服务器从 11.0 升级后再也不用 IIS?
答：并不完全这样。如果原有的管理服务器使用 IIS 的默认站点和 80 端口，或者在
IIS 中与客户端使用 SSL 的通信，管理服务器升级后  IIS 中的该站点会保留，并且通
过 ISAPI 来建立 IIS 和 Apache 之间的联系。否则，管理服务器升级后，IIS 中的
Symantec 站点会被删除，取而代之以 Apache 的站点。
6. 管理服务器灾难备份恢复文件包含哪些内容？如何使用灾难备份文件？
答：该恢复文件包含加密密码、Keystore 文件，域 ID、证书文件、 许可证文件和
端口号。 安装管理服务器后，请将压缩的恢复文件复制到另一台计算 机。
SEP 12.1 常见问题及解答
3. Symantec Endpoint Protection 12.1 的管理服务器是否可以管理 11.x 的客户端，或者 SAV10.x 和 Syagte5.x 的客户
端？是否可以管理 SEP12.1 中小企业版客户端？
4默认情况下，该文件位于以下目录中：Drive:\\Program Files\Symantec\ Symantec
Endpoint Protection Manager\Server Private Key Backup\recovery_timestamp.zip
■ 该恢复文件只存储默认域 ID。即使您有多个域，该恢复文件也不会存储这些信
息。如果需要执行灾难恢复，必须 重新添加其他域。
■ 如果将自签名证书更新为不同的证书类型，管理服务器将创建一个新的恢复文
件。由于该恢复文件具有时间戳，因 而可以判断哪个文件是最新文件。
灾难备份恢复文件可用户有数据库备份的恢复和无数据库备份的恢复。在恢复时需
要保证管理服务器的  IP 地址和主机名与进行备份时相同，在管理服务器配置向导导
入灾难备份恢复文件即可。
第二部分：防护技术常见问题
7. 客户端防护功能（依平台分类）
说明不同客户端计算机平台上可用的防护功能的差异。Symantec Endpoint
Protection 客户端防护 Implementation_Guide_SEP12.1.pdf 里面的 14 页的表
1-10。
8. 什么是 Symantec 信誉数据？Symantec Endpoint Protection 如何使用信 誉数据来作出关于文件的决策？
Symantec 会从其数百万用户的全球社区及其全球情报网中收集有关文件的信息。
所收集的信息形成 Symantec 承载的一个信誉数据库。Symantec 产品利用该信息
保护客户端计算机，使其免受新威胁、目标威胁和变异威胁的侵害。该数据有时称
为“在云端”，因为它未驻留在客户端计算机上。客户端计算机必须请求或查询信
誉数据库。Symantec 使用一项称为“智能扫描”的技术来确定每个文件的风险级
别或“安全 等级”。智能扫描通过检查文件及其上下文的以下特征来确定文件的安
全等级：
■ 文件的源
■ 文件的新旧程度
■ 文件在社区中的常用程度
■ 其他安全衡量标准，如文件可能与恶意软件的关联程度
Symantec Endpoint Protection 中的扫描功能利用智能扫描做出有关文件和应用程
序的决策。病毒和间谍软件防护包括一项称为“下载智能扫描”的功能。下载智能
扫描依靠信誉信息进行检测。如果禁用智能扫描查找，下载智能扫描会运行但不能
进行检测。其他防护功能（如智能扫描查找和 SONAR）使用信誉信息进行检测；
不过，这些功能可使用其他技术进行检测。 默认情况下，客户端计算机会将有关信
誉检测的信息发送至 Symantec 安全响应中 心进行分析。此信息有助于优化智能扫
描的信誉数据库。提交信息的客户端越多， 信誉数据库就会变得越有用。您可以禁
5 SEP 12.1 常见问题及解答
第二部分：防护技术常见问题用信誉信息的提交。但是 Symantec 建议您将提交功能保持为启用状态。客户端计
算机还会将有关检测的其他类型的信息提交至 Symantec 安全响应中心
9. Symantec Endpoint Protection 对那些文件进行“智能扫描”？也就是信
誉信息检测？
答：只针对可执行文件，也就是以下的 6 类文件 Msi, exe, ocx, sys, drv, dll 进行“智
能扫描”。但是即使文件的后缀名被修改，SEP 也会根据文件头所包含信息判断该
文件是否属于以上的 6 类文件，从而进行“智能扫描”。
10. 什么是“智能扫描查找”？Symantec Endpoint Protection 什么情况下
进行“智能扫描查找”？
答：“智能扫描查找”是用户定义的扫描的一部分（包括全面扫描，快速扫描，自
定义扫描等）。在以下的两种情况下会连接到  symantec 信誉数据库进行信誉查询：
一是鼠标右键点击单独的文件或者多个文件（不包括点击一个文件夹，当然指针对
symantec 信誉检查的 6 类可执行文件）；
二是在进行用户定义的扫描时，内存中运行的进程所调用的可执行文件。 另外，如
果取消选中“智能扫描查找”，那么“下载智能扫描”和 SONAR 也无法进行信誉
查询。
11. 什么是“下载智能扫描”？
自动防护包含一项称作“下载智能扫描”的功能，该功能可检查您尝试通过 Web 浏
览器、文本消息传送客户端及其他门户下载的文件。必须启用自动防护，“下载智
能扫描”才能正常运行。支持的门户包括 Internet Explorer、Firefox、Microsoft
Outlook、Outlook Express、Windows Live Messenger 和 Yahoo Messenger。
注意：在风险日志中，“下载智能扫描”检测到的风险的详细信息仅显示第一个尝
试进行下载的门户应用程序。例如，您可能会使用 Internet Explorer 来尝试下载
“下载智能扫描”会检测到的某个文件。如果随后您使用 Firefox 来尝试下载此文
件，则风险详细信息中的“下载者”字段中所显示的门户为 Internet Explorer。
“下载智能扫描”根据文件信誉的相关证据确定下载的文件可能存在风险。“下载
智能扫描”在做出决定时不会使用特征或启发式技术。如果“下载智能扫描”允许
某个文件，则自动防护或 SONAR 将在用户打开或运行此文件时扫描此文件。
12. 如何为“下载智能扫描”创建例外？
1. 确保选中“自动信任从 Intranet 网站下载的任何文件”。该选项是默认选中
的。
2. 这样，“下载智能扫描”不会检查用户从受信 Internet 或 Intranet 站点下 载
的任何文件。受信站点在“Windows 控制面板”>“受信  Internet 站点”>“安
SEP 12.1 常见问题及解答
9. Symantec Endpoint Protection 对那些文件进行“智能扫描”？也就是信誉信息检测？
6全”选项卡上配置。启用“自动信任从 Intranet 网站下载的任何文件”选项
后， Symantec Endpoint Protection 将允许用户从某个受信站点下载的任何文
件。 “下载智能扫描”只能识别明确配置的受信站点。允许使用通配符，但不
支持不 可路由的 IP 地址范围。例如，“下载智能扫描”无法将 10.*.*.* 识别为
受信站点。此外，“下载智能扫描”也不支持通过“Internet 选项”>“安
全”>“自动检测 Intranet 网络”选项发现的站点。
13. Symantec 信誉度数据在客户端保存在什么地方？是否每一次“智能扫
描”都要连接到互联网上的 Symantec 的信誉数据库查询？
答：在客户端本地，有一个  IRON 数据库（Iron.db）保存本地的信誉度数据，也成
为信誉度本地缓存。这个数据库在客户端安装后就存在，也可以通过 LiveUpdate
或者从管理服务器获得的内容更新，更新里面的内容。但是绝大部分文件的信誉度
数据，需要通过客户端通过“智能扫描”，连接到互联网上的 symantec 信誉数据
库查询，获得以后保存在这个本地缓存数据库中。一旦客户端获得这个文件的信誉
度数据以后，下一次对于相同文件的信誉度查询时，客户端可以访问本地缓存数据
库来获得信誉度数据。 每个文件的信誉度由它的有效期，一旦过了这个有效期，
IRON 数据库中的这个文件的信誉度数据会被删除，客户端在对该文件进行“智能
扫描”时，需要重新连接到都要连接到互联网上的 Symantec 的信誉数据库查询。
IRON 数据库在客户端的大小一般不会超过 20M。
14. Symantec Endpoint Protection12.1 怎样提高扫描性能？
答：修改 Windows 客户端的全局扫描设置
1. 在控制台中，打开病毒和间谍软件防护策略。
2. 在“Windows 设置”下，单击“全局扫描选项”
3. 配置以下任意选项：智能扫描允许扫描跳过受信可靠文件。扫描可跳过  Symantec
信任为良好（安全性较高,包括 symantec 和微软签名的文件）或社区信任 为良
好（安全性较低，包括第三方公司签名的文件）的文件。
以上的智能扫描选项同时对于文件系统自动防护和手动扫描生效。同时，一旦启用
了这个选项，在手动扫描时对于扫描过的文件进行标记（包括是否扫描和当前病毒
定义版本），一旦对同一个文件进行再一次的手动扫描时，如果该文件和病毒定义
版本没有变化，会跳过对这个文件的扫描。在文件系统自动防护中，也增加了文件
扫描缓存技术，以减少不必要的扫描。
15. 什么是 SONAR? 它是怎样工作的？
答：SONAR 是 Symantec Endpoint Protection 12.1 种的主动性威胁防护模块，用
来完全替代 11.x 中的 Truscan 主动型威胁防护。SONAR 使用一种启发式系统检测
新出现的威胁，该系统利用 Symantec 在线情报 网并且对计算机进行主动本地监
视。SONAR 还会检测您应该监视的计算机上的更 改或行为。SONAR 不会检测应用
程序类型，但会检测进程的行为方式。SONAR 只会在应用程 序具有恶意行为时才
7 SEP 12.1 常见问题及解答
13. Symantec 信誉度数据在客户端保存在什么地方？是否每一次“智能扫描”都要连接到互联网上的 Symantec 的信誉数
据库查询？会起作用，而无论应用程序类型如何。例如，如果某个特洛伊 ***或击键记录程序
没有恶意行为，则 SONAR 不会检测它。SONAR 检测以下项目：
■ 启发式威胁：SONAR 使用启发式技术来确定未知文件是否具有 可疑行为以及可
能会具有较高风险还是较低风险。 另外，它还会使用信誉数据来确定威胁是具
有较高 风险还是较低风险。
■ 系统更改：SONAR 会检测试图修改客户端计算机上的 DNS 设 置或主机文件的
应用程序或文件。
■ 呈现不良行为的可信应用程序：某些无毒可信文件可能会伴随可疑行为。SONAR
会检测这些文件的可疑行为事件。例如，某个最常 见的文档共享应用程序可能
会创建可执行文件
16. Symantec Endpoint Protection12.1 的客户端会把哪些信息提交给 Symantec 安全响应中心？会不会造成用户信息泄漏？
答：客户端电脑必需可以连接到互联网，才能把威胁检测相关信息提交给 Symantec
安全响应中心。配置提交至 Symantec 安全响应中心
1. 选择“更改设置”>“客户端管理”。
2. 在“提交”选项卡上，选中“允许此计算机自动将选定的匿名安全信息转发给
Symantec”。此选项允许 Symantec Endpoint Protection 提交在计算机上发
现的威胁的相关信息。Symantec 建议您保持此选项的启用状态。
3. 选择要提交的信息类型：
■ 文件信誉：基于文件信誉检测到的文件的相关信息。这些文件的相关信息
构成 “Symantec 智能扫描”信誉数据库，从而帮助保护计算机免受新的和
新兴 风险的侵害。
■ 防病毒检测：有关病毒和间谍软件扫描检测的信息。
■ 防病毒高级启发式检测：有关通过 Bloodhound 及其他病毒和间谍软件扫描
启发式技术检测到的潜在 威胁的信息。 这些检测是静默检测，不会显示在
风险日志中。有关这些检测的信息用于 进行统计分析。
■ SONAR 检测：有关 SONAR 所检测到的威胁的信息，包括高/低风险检测、
系统更改事件 和可信应用程序出现的可疑行为。
■ SONAR 启发式：SONAR 启发式检测是静默检测，不会显示在风险日志中。
此信息用于进行 统计分析。
Symantec 安全响应中心只收集威胁相关信息，对于用户的文档，数据等信息不会
进行收集。传输的过程中数据是经过加密的，不会被第三方截获破译。Symantec
安全响应中的数据库内的数据也不会被第三方访问。
SEP 12.1 常见问题及解答
16. Symantec Endpoint Protection12.1 的客户端会把哪些信息提交给 Symantec 安全响应中心？会不会造成用户信息泄
漏？
817. Symantec Endpoint Protection12.1 的设备和应用程序控制和 11.x 版本 相比有什么变化？
答：有以下的变化：
■ SEP12.1 支持在 64 位操作系统上的设备和应用程序控制。
■ 应用程序控制的驱动模块 sysplant.sys 在 SEP12.1 的客户端是默认启动的，即
时在管理控制台没有添加任何应用程序控制策略。除非在控制台取消勾选“启
用应用程序控制”。
■ 可以在管理控制台添加进程到白名单，对于白名单内的进程，应用程序控制不
监控它的行为。
第三部分：管理和使用常见问题
18. 在安装完 SEP12.1 的客户端后发现 Sylink.xml 不在 \Program
files\Symantec\Symantec Endpoint Protection\，请问是否还在使用它作为 通信文件？
1. sylink.xml 在 SEP12.1 仍然作为通信文件使用，但在客户端的位置变更为
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec
Endpoint Protection\12.1.x.x.x\Data\Config
2. 现在客户端更新 sylink.xml 文件的的方法，是从“疑难解答”导入，不需要重
新启动服务。也可以使用工具 SylinkDrop.exe.
3. 从 SEPM 当中可以通过导出通信设置，导出某个组的 sylink.xml 文件。
4. SEPm 导出的客户端安装包（无论是 exe 还是文件夹形式），都是包含
sylink.xml 文件的。
19. SP12.1 需要使用 License, 如果没有安装 License 会怎样？
答：安装 SEPM 以后，会有 60 天的试用期。在试用期以内，所有功能使用不受影
响；但是一旦超过试用期，SEPM 和 SEP 客户端无法通过 LiveUpdate 获得内容更
新，SEP 客户端也无法从 SEPM 或者 GUP 获得内容更新。不仅包括 SEPM, SEP 客
户端同样需要 License 才能进行 LiveUpdate 和从 SEPM 或者 GUP 获得内容更新。
SEP 客户端获得 License 的途径有以下 2 种：
一是客户端安装软件包自带的 License 从 SEPM 导出）；
二是通过 SEPM- 客户端的 Sylink 通信，从 SEPM 获得最新的 License。
20. 如果已经安装的 License 过期会怎样？
答：对于 SEP12.1 正式版本，正式 License 过期以后，会在 SEPM 的控制台给与
License 过期的提示，同时发送提示邮件给注册的管理员的邮件账号，但是 SEPM
的 LiveUpdate 功能不受影响；SEP 客户端的 LiveUpdate 和从 SEPM 以及 GUP 过
的更新的功能也不会受影响。对于 SEP12.1 中小企业版本，正式 License 过期以
9 SEP 12.1 常见问题及解答
17. Symantec Endpoint Protection12.1 的设备和应用程序控制和 11.x 版本相比有什么变化？后，SEPM 和 SEP 客户端无法通过 LiveUpdate 获得内容更新，SEP 客户端也无法
从 SEPM 或者 GUP 获得内容更新。
21. 如果安装的 SEP 客户端数目超过 License 规定的点数会怎样？
答：对于 SEP12.1 正式版本，过度部署以后，会在管理控制台给与 License 过度部
署的提示，同时发送提示邮件给注册的管理员的邮件账号，但是 SEPM 的 LiveUpdate
功能不受影响；SEP 客户端的 LiveUpdate 和从 SEPM 以及 GUP 过的更新的功能也
不会受影响。
对于 SEP12.1 中小企业版本，有 20% 的宽限部署点数，在 20% 以内的过度部署的
客户端功能不受影响；超过 20% 部分的过度部署客户端无法使用 LivceUpdate，也
无法从 SEPM 或者 GUP 获得内容更新。但是 SEPM 的功能不会受到影响。License
席位也会自动被 SEPM 释放。如果客户端从 SEPM 被删除，该客户端的 License 席
位会被 SEPM 回收，SEPM 可以把一个 License 席位给与另一个过度部署的客户端。
22. 我想从 SEP11.0 升级到 SEP12.1 Enterprise 版本，联系 Symantec 获得 了 SEP12.1 的安装介质，但是没有 License, 能否进行升级？
答：可以。如果 SEPM 是从 11.0 升级到 12.1，SEPM 会自动选择使用介质中自带
的 Upgrade License，在没有更新新的正式 License 之前，使用时间和客户端点数
上都不受限制，所有功能都可以正常使用。
23. 非受管客户端如何使用 License?
答：使用安装光盘里面的客户端安装包，安装出来的非受管客户端不需要使用
License, 其功能不受限制。但是一旦变成受管客户端以后，就会受到所在站点的
License 限制。
24. 多个 SEPM 站点复制以后，License 如何计算？
答：多个 SEPM 站点复制以后，会共享同一套 License 体系，共同计算所有站点的
License 点数和客户端总数目。
25. SNAC 是否需要额外的 License?
答：对于 SANC 功能，其功能起用方式和 SEP11.0 相同，只要 SEPM 使用 SNAC 安
装包升级，客户端的 SNAC 模块会自动启用。没有针对 SNAC 的专门的 License 文
件，只需要有 SEP 的有效的 License 即可。
26. 为什么在浏览器中输入 http://SEPM 的 IP 地址 :8014/reporting 以后， 不能登录进入报告页面？
答：在 Syamntec Endpoint Protection12.1 开始，管理服务器使用 Apache 替代 IIS
作为提供报告服务器的模块，同时使用 SSL 的方式默认在 8445 端口提供报告服务。
因此需要在浏览器中输入 https://SEPM 的 IP 地址: 8445/reporting
SEP 12.1 常见问题及解答
21. 如果安装的 SEP 客户端数目超过 License 规定的点数会怎样？
10第四部分：虚拟化常见问题
27. Symantec Endpoint Protection12.1 支持哪些虚拟化平台？
您可以使用 Symantec Endpoint Protection 客户端保护受支持的操作系统的虚拟实
例。在受支持的操作系统的虚拟实例上可以安装和维护 Symantec Endpoint
Protection Manager。 Implementation_guide_SEP12.1.pdf, 71 页表 2-10。在虚拟
化平台上的安装系统要求与实际机器上相同。
28. 如何使用 Virtual Image Exception 工具？
为了提高虚拟桌面基础架构 (VDI) 环境中的性能和安全性，您可以利用基本映像构
建虚拟机。借助 Symantec Virtual Image Exception 工具，您可以让客户端不扫描
基本映像文件中是否存在威胁，这样就可以减少磁盘 I/O 上的资源负载。另外，它
还能提高 VDI 环境中的 CPU 扫描进程性能。
注意：Symantec Endpoint Protection 支持对受管客户端和非受管客户端使用 Virtual
Image Exception 工具。
步骤 1：在基本映像上，对所有文件执行完全扫描以确保文件未感染病毒。如果
Symantec Endpoint Protection 客户端隔离了感染病毒的文件，您必须修 复或删除
隔离文件以将其从隔离区移除。
步骤 2：确保客户端的隔离区为空。
步骤 3：从命令行运行 Virtual Image Exception 工具以标记基本映像文件。
1. 从 Symantec Endpoint Protection 产品光盘，将下面的文件下载到基本映像：
/Tools/VirtualImageException/vietool.exe
2. 以管理权限打开命令提示符。
3. 利用正确的参数运行 Virtual Image Exception 工具。例如，键入：vietool
c:--generate
步骤 4：在 Symantec Endpoint Protection Manager 中启用该功能，以便客户端在
运行 扫描时知道查找并忽略标记的文件。
步骤 5：从基本映像删除 Virtual Image Exception 工具。
29. Shared Insight Cache 的工作方式
客户端在扫描某个文件中是否存在病毒和间谍软件后，它会将扫描结果提交到  Shared
Insight Cache。扫描结果以投票的形式进行提交。客户端仅提交未感染病毒的文件
的投票。当 Shared Insight Cache 收到投票时，如果客户端没有最新病毒定义，则
服务器会 忽略该投票。 如果有可用的新定义，则新定义将成为 Shared  Insight Cache
的最新 已知定义并且会将投票计数设置为 1。随后，当客户端对 Shared Insight
Cache 发出请求以确定客户端是否应扫描某个文 件时，客户端将提交该请求。
11 SEP 12.1 常见问题及解答
第四部分：虚拟化常见问题客户端可以批量提交多个缓存请求和多个更新请求。Shared Insight Cache 确定收
到的文件是否大于或等于投票计数阈值。如果大于或 等于投票计数阈值，Shared
Insight Cache 将返回未感染病毒的结果，这表示客户 端不需要对该文件进行病毒
扫描。为了使缓存大小可管理，Shared Insight Cache 采用了一种调整算法。此算
法可确 保缓存大小不会超过内存使用阈值。此缓存调整算法会先删除最旧的缓存条
目。最 旧的条目是具有最旧时间戳的条目。
30. Shared Insight Cache 的一些知识
■ 虽然 shared  Insight Cache 设计和安装上要求在虚拟化平台上运行，并且服务于
虚拟化平台上的客户端。但是实际上也可以服务于物理机上的 SEP 客户端。
■ shared Insight Cache 收集的文件的投票包括所有类型的文件，并不仅局限于
Symantec 信誉度检查的 6 类可执行文件。
■ Shared Insight Cache 仅对执行调度扫描和手动扫描的客户端可用。
SEP 12.1 常见问题及解答
30. Shared Insight Cache 的一些知识
12

转载于:https://blog.51cto.com/lukepeng/1251406