增强搜索功能
• 用户端搜索功能增强
– – – – – – 计算机名 服务器名 Officescan组 AD域 IP地址 安全状态
* 支持通配符*
OSCE产品架构
• • • •
OfficeScan server Smart Scan server OfficeScan client software Web-based management console
Cloud Virus Agent Pattern iCRC$OTH.zzz
Left-over of the non-CRC parts from the original VSAPI pattern
Creation Technology Location Distribution
By AM team in PH Traditional VSAPI file scanning On AU & each client
By AM team in PH iCRC + new VSAPI for iCRC On AU & each client
Via AU to each client
(DAILY)
Via AU to each client
(WEEKLY)
Scanning Takes Place at…
Client machines
云服务端病毒码更新
更新组件 • Smart Scan Pattern （icrc.tbl）生成bf.ptn提供给client更新 • Smart Scan Agent Pattern（icrc.oth）提供给client更新
更新日志 C:\Program Files\Trendmicro\OfficeScan\PCCSRV\WSS\AU_Data\AU_Log 更新源： /activeupdate
云安全扫描它是如何工作的？
基于云的扫描服务
本地云扫描服务 internet云扫描服务
云查询 否 是否查询到 ？ 是
传递 CRC
添加到文件缓存
结束
进行处理
云客户端病毒码
(ICRC$OTH.nnn)
检查本地文件缓存 FILE CACHE
传递 CRC
本地文件缓存
开始 扫描: file.exe 查询本地的云客户 端病毒码 是 进行处理
to look up CRC query algorithm)
Hale Waihona Puke Cloud Virus Pattern (LT) iCRC$TBL.yyy
This is the so-called CRC pattern AM team converted from the original VSAPI pattern By AM team in PH iCRC + new VSAPI for iCRC On AU & CRC scan servers Via AU to CRC scan servers only, not to clients (DAILY) N/A (Used for CRC queries)
Guest User
扩展平台支持
• Windows 2008（32bit & 64bit） • Vmware虚拟平台
–Microsoft Virtual Server 2005 R2 with Service Pack 1 –VMware ESX/ESXi Server 3.5 (Server Edition) –VMware Server 1.0.3 or above (Server Edition) –VMware Workstation and Workstation ACE Edition 6.0
产品功能增强
• 性能控制
– 监控CPU耗用，自动调整扫描速度(手动\预设扫描)
• 增加预设扫描控制，客户端可控制
– 延迟 – 跳过 – 停止
• 更细化的Web reputation设置
– 策略可分发到一个、多个、所有客户端
AD域集成
• • • • 与微软AD域集成，部署安全策略 检测未受防病毒软件保护的终端，并安装 可为AD域中账号分配不同权限 生成兼容性报表
CCFR病毒码
TRADITIONAL VSAPI File Name Description LPT$VPN.aaa
(We all know what this is)
Cloud Virus Index Pattern (LS) iCRC$LDS.xxx
VSAPI looks up the algorithm/formula recorded in this pattern file to calculate CRC for each file By AM team in PH iCRC + new VSAPI for iCRC On AU, CRC scan servers & each client Via iCRC communication protocol to each client (QUARTERLY) N/A (Used by VSAPI engine
Client machines (The sequence of CRC query & Other pattern scan depend on different file types)
集成云服务器病毒码更新
•Smart Scan Agent Pattern=icrc.oth.*** •Smart Scan Pattern= icrc.tbl.*** •Smart filter Pattern=BF.ptn
是 本地过滤算法 计算CRC
查询本地的智能过 滤器BF.ptn 否 不是病毒
举例说明
如H1N1排查过滤： 1.入境人员体温过滤（TMFilter） a.若体温>37度，咽痛，H1N1样本检测为阳性，直接隔离治疗（other pattern）； b.若体温<=37度，对该人员进行特征（生成CRC值）分析，如张三09/5/2 乘过HW1001航班，李四从 09/5/2 乘过HW1002航班，咽痛咳嗽，王五09/5/2 乘过HW1002航班，无其它异样，特征结果直接递 交到医疗队(ICRC Handler) 3. 医疗队对这些特征进行比对分析（ICRC Handler） a.王五特征不在该特征表中（BF），直接放行； b. 张三、王五，看一下是否在上次排查时需隔离名单中（file cache）； b.1张三乘过HW1001航班，在上次排查时需隔离名单（file cache）,直接隔离 b.2李四由于咽痛咳嗽，不在上次排查时需隔离名单中，需进医院进一步处理（Scan server） 4.医院根据李四的咽痛咳嗽的特征进行打针、开药方等处理。
设备控制
可配置客户端用户允许或禁止访问以下设备 • 即插即用设备（包括USB auto_run功能） • 光盘 • 软盘 • 网络资源
OSCE应用程序保护控制
• 防止本身程序被插入病毒等 – 保护OSCE文件被修改 – 保护OSCE系统进程被恶意关闭 – 保护OSCE系统注册表被修改
* 仅支持x86平台
可配置 Power User 无权限操作 可以查看所有其它项 无权限操作 可以查看所有其它项
Networked computer>Client Installation Networked computer>Firewall Logs Scan Now Client目录树设置 插件管理器 Administrator>User Roles Administrator>User Accounts 插件管理器 Administrator>User Roles Administrator>User Accounts
OfficeScan 10.0
10.0新功能
• • • • • • 智能扫描Smart Scan AD域集成 基于角色的管理 设备控制 扩展平台支持 增强CPU性能，用户控制和Web信誉管理
基于角色管理
• 不同角色不同权限
Role Administrator 权限 所有配置 分配其它管理员 项目
更小的网络流量
• 使用Https查询（发送/接受+http流量+SSL 加密）= 600 bytes • 使用HTTP 查询 (发送/接受 + HTTP overheads) = 400 bytes
对比
CCFR病毒码
85% = CRC
iCRC$TBL 云端（本地云、Internet 云） 生 成 Cloud Virus Pattern containing virus CRC patterns
– 单独安装于Vmware – 单独的控制台，单独管理 – 支持超过1000 clients
文件信誉服务拓扑
云安全扫描 （Smart Scan）
远端或移动设备用户
基于internet云的扫描服务
云扫描服务 AU更新服务
公司内部用户
基于本地云的扫描服务
Officescan 服务器 本地云服务器
云安全扫描（Smart Scan）
Smart Scan server
• Integrated Smart Scan Server
– – – – 整合于officescan server 可由officescan server控制台管理 支持最多1000 clients 需激活osce &wrs
• Standalone Smart Scan Server
BF.PTN OSCE客户端 Smart Filter Pattern projection of Cloud Virus Pattern
15% = Non-CRC
OSCE 客户端 Virus Pattern